Berlín ha confirmado lo que en los corrillos del oficio se rumoreaba desde principios de mes: una campaña de phishing sobre Signal atribuida a inteligencia rusa ha golpeado a cargos políticos y diplomáticos alemanes. La operación, detectada por equipos del BND y de la BSI, no es un incidente más. Es una intrusión deliberada contra el corazón institucional de Alemania.
Le adelanto que esto cambia el cálculo de riesgo de cualquier ministerio europeo que haya asumido Signal como canal por defecto. Sigo de cerca la evolución del tradecraft ruso en Europa Central desde la oleada de 2022, y lo que veo aquí encaja con el patrón clásico del GRU adaptado al móvil.
Anatomía de la operación: cómo se cuela el GRU en Signal
El vector técnico es conocido pero brutalmente eficaz. Los operadores envían a la víctima un código QR o un enlace que aparenta ser una invitación legítima de un grupo de trabajo, una embajada o una mesa parlamentaria. Al escanearlo, la víctima activa sin saberlo la función linked devices de Signal y vincula su cuenta a un dispositivo controlado por el atacante. A partir de ese momento, cada mensaje recibido por el cargo se replica en tiempo real en el equipo del operador ruso.
No hay zero-day. No hay exploit sofisticado contra el cifrado de extremo a extremo. Hay ingeniería social pulida y el aprovechamiento de una funcionalidad legítima de la aplicación. La cifra del cifrado, valga el juego de palabras, sigue intacta. Lo que se ha comprometido es la confianza del usuario.
Según la propia BSI alemana, la campaña se apoya en infraestructura previa ya catalogada por Mandiant en operaciones de UNC5792 y, en parte, de Sandworm, dos clústeres atribuidos al GRU. La atribución técnica es prudente pero converge: dominios de C2 reciclados de campañas contra Ucrania, plantillas en alemán con errores típicos de traducción automática y horarios de actividad alineados con la franja horaria de Moscú.
El blanco preferido no es el ministro estrella. Son los asesores, los jefes de gabinete y el segundo escalón diplomático, esa capa que mueve borradores, agendas reales y posiciones internas antes de que se filtren al canal oficial. Por mi experiencia siguiendo este oficio, ahí es donde se obtiene oro de inteligencia con menos coste y menos riesgo de detección.
El CCN-CERT español ha pedido información técnica a sus homólogos alemanes. Me consta por fuentes en La Moncloa que la consulta se cursó en cuanto trascendió el alcance.
El historial: por qué el GRU vuelve a Berlín cada cierto tiempo
Berlín es plaza histórica del espionaje ruso. Lo era cuando se llamaba KGB y Markus Wolf dirigía la HVA desde el otro lado del Muro, y lo sigue siendo bajo las siglas actuales. La capital alemana concentra embajadas, sede del BND, grandes think tanks de política exterior y, sobre todo, el centro neurálgico de la posición europea sobre Ucrania. Para Yasenevo y para el Aquarium —sede histórica del GRU—, Berlín es un objetivo prioritario y permanente.
Cabe recordar el precedente de 2024, cuando una conversación interna de la Luftwaffe sobre los misiles Taurus fue interceptada y filtrada por inteligencia rusa, con la consiguiente humillación pública del canciller Scholz. Aquella intercepción no fue por Signal, sino por un fallo de configuración en WebEx, pero la lección la ignoró media cancillería. La conclusión que se sacó entonces —que las comunicaciones cifradas civiles bastaban si se gestionaban con cuidado— acaba de saltar por los aires.
Y no es el primer aviso sobre Signal. Mandiant publicó en 2025 un informe técnico describiendo exactamente este vector contra mandos militares ucranianos en el frente. La novedad de Berlín es que la misma técnica se ha portado, sin apenas variaciones, al teatro político occidental.
Los topos de Cambridge tardaron décadas en ser detectados. Hoy un linked device mal vigilado expone una cuenta entera en horas.
El cifrado de extremo a extremo protege el mensaje en tránsito, pero no protege al ministro que escanea un QR a las once de la noche pensando que entra en un grupo de trabajo del Bundestag.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es híbrido: ciberespionaje con componente HUMINT en la fase de captación. No es un APT puro porque no hay malware persistente; tampoco es HUMINT clásico porque no hay agente reclutado. Es lo que algunos en el oficio empiezan a llamar device-level intrusion: explotación de funciones legítimas del dispositivo de la víctima mediante engaño dirigido. Una categoría que el CNI y el CCN-CERT van a tener que codificar formalmente, porque hoy cae en tierra de nadie entre la ciberseguridad y la contrainteligencia tradicional.
Las agencias implicadas se reparten así. Atacan operadores del GRU, probablemente la unidad 26165 (APT28 / Fancy Bear) en colaboración con clústeres adyacentes; el SVR observa y aprovecha derivados, sin protagonismo operativo confirmado. Defienden el BND y la BSI, con apoyo técnico del NCSC británico y del GCHQ —Berlín sigue dependiendo de Londres en atribución técnica fina, eso no ha cambiado—. Miran con interés Five Eyes en bloque, el CNI español, la DGSE francesa, el AISE italiano y, fuera del círculo OTAN, el MSS chino, que toma nota del manual para sus propias campañas contra eurodiputados.
El nivel de clasificación estimado del material comprometido es delicado. A juzgar por el perfil de las víctimas —asesores parlamentarios, segundo escalón del Auswärtiges Amt, gabinetes de defensa— estimo material en franja Confidencial y Reservado, con probabilidad alta de roces ocasionales con Secreto cuando algún cargo haya usado Signal para asuntos que debían haber ido por canal SINA. No es Top Secret, pero es lo bastante sensible como para reconstruir posiciones negociadoras alemanas sobre Ucrania, sobre el flanco oriental de la OTAN y sobre el dossier energético.
El precedente que tengo en la cabeza es Operación Ghost Stories, el desmantelamiento por el FBI de la red de ilegales rusos en 2010. Entonces el coste para Moscú fue diez agentes quemados a cambio de años de cosecha. Hoy, con esta arquitectura digital, el coste de una operación equivalente es marginal y el rendimiento, comparable. Ahí está la asimetría que llevo años denunciando.
Reconozco que la atribución técnica todavía tiene flecos. La superposición de infraestructura entre clústeres del GRU es deliberada y está pensada para confundir el análisis forense. No descarto que parte de la operación responda a un proxy bielorruso o a un contratista privado al servicio de Moscú. La cautela aquí no es retórica: es oficio.
El próximo hito a vigilar es la comparecencia del presidente del BND ante la Comisión de Control Parlamentario del Bundestag prevista para mediados de mayo, y el informe técnico ampliado que la BSI debería publicar antes del verano. En paralelo, el Centro de Inteligencia y Situación de la UE (INTCEN) trabaja en una alerta común que probablemente llegará a las cancillerías europeas en las próximas semanas.
Lo que esto significa para España
No se equivoque conmigo: si la operación ha funcionado en Berlín, asuma que se ha intentado en Madrid. El uso de Signal entre asesores ministeriales españoles es masivo y, en muchos casos, no está sujeto a protocolo formal. Lo escribí hace años en El quinto elemento: el próximo 11S empezará con un clic. No me refería a un atentado físico, me refería a esto. A la erosión silenciosa de la confianza en los canales que dábamos por seguros.
El CCN-CERT tiene desde hace meses una guía sobre uso de mensajería cifrada en la administración. Le pongo en contexto: esa guía recomienda explícitamente revisar la sección de linked devices cada quince días y desactivar la vinculación cuando no se use. Cumple esa norma una minoría. Lo sé porque lo he preguntado.
El CNI ha activado, según fuentes consultadas por esta redacción, una revisión técnica de los terminales de uso oficial en los gabinetes de Presidencia, Exteriores y Defensa. La revisión no es rutinaria. Es reactiva.
Y aquí entra la lectura confidencial. La operación de Berlín llega en un momento delicado para la cooperación germano-española en materia de inteligencia. Berlín pidió a Madrid en marzo más implicación en el seguimiento de redes financieras rusas que operan a través de Canarias y la Costa del Sol. Aquella petición está aún sin respuesta formal. Si el BND comparte ahora el dossier técnico completo de esta campaña, el aragonés que ocupa hoy un papel relevante en la coordinación de inteligencia europea tendrá que decidir cuánto pone España encima de la mesa a cambio.
Por mi experiencia, este tipo de intercambios se cierran en los pasillos, no en los comunicados. Y se cobran luego.
Tengo claro que la lección operativa para cualquier responsable público que lea esto es triple: revisar manualmente los dispositivos vinculados en Signal y WhatsApp, exigir verificación fuera de banda antes de aceptar invitaciones a grupos sensibles, y asumir que ningún canal civil sustituye a un sistema clasificado para asuntos clasificados. Sostengo desde hace tiempo que los primeros que atacamos nuestra intimidad somos nosotros mismos, y en política aplica con la misma crudeza.
Berlín ha aprendido la lección a un coste alto. Ojalá Madrid no tenga que aprenderla del mismo modo.
