El FBI y la CISA acaban de actualizar —este mismo viernes— una alerta conjunta sobre una campaña de phishing del aparato de inteligencia ruso que ya no se limita a secuestrar cuentas de Signal: ahora roba las Backup Recovery Keys para acceder a todo el historial de conversaciones, incluso las antiguas. Los equipos de caza de amenazas de Google y Mandiant, que siguen la pista bajo los códigos UNC5792 y UNC4221, confirman que los atacantes han dado un salto cualitativo desde que en marzo de 2026 comenzaran a clonar dispositivos mediante códigos de verificación.
En esta redacción llevamos meses monitorizando la evolución de esta campaña. Los servicios rusos no intentan romper el cifrado de extremo a extremo de Signal; simplemente engañan a la víctima para que les entregue la llave de la caja fuerte. Una técnica de HUMINT pura, aunque suene a ciberataque. Le pongo en antecedentes.
La mecánica del robo: así vacían la memoria de Signal
Todo arranca con un mensaje de texto que simula ser del soporte oficial de Signal. El anzuelo afirma que, tras una oleada de ataques de hackers iraníes y de países postsoviéticos, la aplicación introduce una verificación en dos pasos obligatoria. La primera fase instruye a la víctima para que active la copia de seguridad, genere la clave de recuperación y la copie en el portapapeles. Hasta aquí, el usuario está mejorando su propia seguridad. Pero la segunda fase es la trampa.
Días después, otro mensaje —siempre suplantando a Signal— alerta de un riesgo de pérdida permanente de datos por un fallo de sincronización y le pide que pegue esa misma clave de recuperación en un supuesto formulario de verificación. Al compartir la Backup Recovery Key, la víctima entrega al atacante la posibilidad de restaurar toda su copia de seguridad en un dispositivo controlado por el FSB. Mensajes privados, chats grupales y archivos multimedia quedan expuestos. Y lo peor, como subraya la nota del FBI, es que crear una cuenta nueva con el mismo número de teléfono no invalida la clave robada: el daño es persistente mientras no se genere manualmente una nueva clave.
La sofisticación del gancho es notable. Los atacantes imitan el tono burocrático de las actualizaciones de seguridad y mencionan investigaciones conjuntas con el gobierno estadounidense y socios europeos. Cualquier usuario con prisas caería. La inteligencia rusa ha perfeccionado el arte del spear phishing contextualizado, y esta campaña demuestra que van dos pasos por delante de la conciencia de seguridad media.
De la frontera ucraniana a Washington: el patrón de objetivos y la atribución al FSB fronterizo
El FBI y la CISA atribuyen esta actividad a los Servicios de Inteligencia Rusos (RIS), con implicación directa de oficiales del Servicio Federal de Seguridad (FSB) destinados en la Guardia de Fronteras y de otras células que operan para el estamento militar. Los blancos no son civiles al azar: apuntan a antiguos y actuales funcionarios gubernamentales estadounidenses e internacionales, militares, figuras políticas, periodistas y altos cargos situados en Ucrania. Es decir, cualquiera cuyo historial de chat pueda contener información clasificada, planes de defensa o contactos sensibles.
Sigo de cerca al FSB desde los tiempos de Litvinenko. Este cuerpo fronterizo —los mismos que arrestaron al periodista Evan Gershkovich en Ekaterimburgo— maneja una red de HUMINT que se ha modernizado sin perder su brutalidad clásica. La campaña contra Signal encaja en la estrategia rusa de compensar su inferioridad en ciberdefensa con una agresividad quirúrgica en el engaño humano. No necesitan un zero-day cuando basta con un SMS bien redactado. Recuerdo lo que escribí en El quinto elemento: “El próximo 11S empezará con un clic”. Esta campaña me da la razón.
Ucrania es el epicentro, pero la alerta del FBI menciona expresamente a Europa. Si usted trabaja en un ministerio de Defensa europeo o en una ONG que opera en el Donbás, asuma que está en la diana. Y que su móvil con Signal puede ser la puerta de entrada a décadas de información confidencial.
La inteligencia rusa ha dejado de perseguir el cifrado; ahora persigue la llave humana que lo desbloquea.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es un híbrido SIGINT-HUMINT en el que el arma principal no es un malware, sino la ingeniería social. Estamos ante un phishing con dos fases que convierte la copia de seguridad —una funcionalidad legítima diseñada para proteger al usuario— en el propio canal de exfiltración. Los rusos han entendido que Signal es seguro mientras el usuario no entregue voluntariamente la Backup Recovery Key; por eso invierten en manipular el factor humano.
Las agencias implicadas son claras. Por el lado atacante, la Guardia de Fronteras del FSB y, muy probablemente, células del GRU que ya habían colaborado en operaciones como NotPetya o el envenenamiento de Skripal. Por el lado defensor, la CISA y el FBI, pero también los servicios de inteligencia ucranianos y los equipos de seguridad de la Alianza Atlántica. ¿Y los terceros? Hablo del CNI y del CCN-CERT. Aunque España no aparezca mencionada explícitamente, cualquier campaña que apunte a funcionarios europeos y periodistas toca de lleno el perímetro de seguridad nacional. Y Marruecos, siempre atento a las brechas en el flanco sur, observa cómo se erosiona la confianza en las comunicaciones cifradas.
El nivel de clasificación del material que puede quedar expuesto es, en muchos casos, Secreto o incluso Top Secret si el objetivo es un alto mando militar. La nota del FBI no detalla víctimas concretas, pero basta imaginar el historial de un oficial de enlace de la OTAN en Kiev durante dos años para comprender el daño potencial. El precedente histórico más cercano es la campaña de phishing del FSB contra cuentas de Yahoo en 2014, que comprometió a diplomáticos, periodistas y disidentes. Aquello se resolvió con sanciones y un acuerdo de extradición frustrado; esto, en plena guerra de Ucrania, tiene una carga geopolítica mucho más explosiva. Me recuerda a los brush passes del KGB en los años setenta: entonces se robaban documentos en estaciones de metro; ahora se roban claves de respaldo con un SMS.
Permítame una posición editorial: el CNI debería emitir una alerta similar dirigida a las administraciones autonómicas y a los grupos parlamentarios que manejan información sensible a través de mensajería. No porque vayan a ser atacados mañana, sino porque los rusos exportan estas tácticas a todos los teatros. Ya escribí en Desnudando a Google que “alguien tenía que decir que el rey Google va desnudo”; hoy ese rey se llama confianza ciega en el cifrado. La evolución de esta campaña demuestra que el eslabón más débil nunca es el código, sino la decisión humana que aprieta el botón de pegar.
El FBI recomienda a las víctimas que denuncien a través de su centro de quejas de delitos en internet (IC3). Pero la prevención real pasa por desterrar el automatismo mental de confiar en cualquier mensaje que lleve el logo de Signal. Para eso, el CCN-CERT podría impulsar una microformación obligatoria en organismos públicos, como ya hizo con el ransomware en 2023. El próximo hito en este caso llegará cuando Mandiant publique el informe técnico completo —previsto para antes de septiembre, según fuentes intercomunitarias— y sepamos cuántas cuentas de alto perfil han sido realmente comprometidas. Mientras tanto, en el tablero de la inteligencia, los rusos han movido ficha y tenemos que asumir que algunas partidas de ajedrez ya se están jugando sobre el historial de chats que creíamos protegidos.
