El Servicio de Seguridad de Ucrania (SBU) y el FBI han confirmado esta semana que los servicios de inteligencia rusos llevan años pirateando cuentas de mensajería de altos cargos, militares y activistas en Ucrania, Europa y Estados Unidos.
La artimaña: SMS que imitan al soporte de Signal
El método es asombrosamente simple: un SMS a primera hora imitando al soporte de la aplicación. Los operadores envían mensajes que suplantan a los equipos de soporte de Signal, instando a los objetivos a entregar credenciales, códigos de verificación o PINs. La hora elegida no es casual: los mensajes llegan mayoritariamente por la mañana, cuando el destinatario está menos alerta. Es ingeniería social de manual, tan vieja como la propia inteligencia de señales.
La campaña no se detiene ahí. Ahora los atacantes han dado un salto cualitativo: en vez de limitarse a robar códigos de verificación de un solo uso, cuyo valor expira en segundos, han comenzado a recabar claves de recuperación de Signal. La clave de recuperación desbloquea el historial completo y no caduca nunca, aunque la víctima cree una cuenta nueva con el mismo número.
Claves de recuperación y QR: el botín sin fecha de caducidad
El FBI ya advirtió en su aviso del 26 de junio sobre esta evolución. En lugar de los códigos temporales, los piratas exigen la Signal Backup Recovery Key. Los códigos QR silencian cualquier alarma y ligan el dispositivo del atacante a la cuenta de la víctima, tal como documentó Google Threat Intelligence Group en 2025. No requiere malware ni vulnerabilidades de día cero: basta un SMS falso.
Las autoridades ucranianas han difundido recomendaciones que, aunque parecen de sentido común, siguen fallando en la vida real: revisar las sesiones activas, activar un PIN alfanumérico complejo, no proporcionar jamás claves a nadie y desconfiar de los enlaces, incluso si llegan de contactos de confianza.
La operación no se limita a una élite. Según el comunicado del SBU, «los servicios especiales rusos atacan no solo a organizaciones, funcionarios o figuras públicas, sino también a cuentas personales de ucranianos de a pie». No es una campaña de élite: apunta a altos cargos y también a ciudadanos corrientes. Es recolección masiva con un enfoque por capas: los blancos de alto valor reciben ataques más elaborados; el resto, el SMS tramposo de turno.
La clave de recuperación de Signal abre una puerta que nunca se cierra, transformando cada cuenta comprometida en un archivo enemigo permanente.
Dossier Moncloa: Ojos en la Sombra
Lo veo con claridad: estamos ante una evolución lógica del manual del FSB. Hace años que el servicio ruso perfecciona el phishing como arma de inteligencia —desde los días de APT28 contra partidos europeos—, pero la fijación con Signal es reciente y estratégica. Signal se ha convertido en el estándar de facto para comunicaciones sensibles entre militares ucranianos y funcionarios de la OTAN. Hackearla mediante ingeniería social, en lugar de mediante criptoanálisis, es un reconocimiento tácito de su fortaleza. La inteligencia rusa ha comprendido que el eslabón más débil no es el código, sino la persona que lo usa.
El vector de amenaza es una operación de ciberespionaje que combina inteligencia de señales con manipulación psicológica. Los agentes del FSB no necesitan infiltrarse físicamente; les basta con un SMS bien redactado. La atribución técnica, avalada por Google, el FBI y CISA, vincula la campaña a los clusters UNC5792 y UNC4221, ambos bajo control del FSB. Quien defiende —el SBU y el FBI— ha respondido con avisos públicos que son casi un gesto de impotencia: la mejor defensa sigue siendo la concienciación del usuario.
En España, el CNI y el CCN‑CERT siguen de cerca la evolución de estas campañas. Me consta que la alerta ha llegado a la Casa de Castelló y que los analistas de señales están revisando posibles infecciones en la comunidad ucraniana residente y en enlaces diplomáticos. Aunque el grueso de los objetivos se sitúa en Ucrania y Estados Unidos, ningún país de la UE puede sentirse excluido. La lógica de recolección masiva del FSB convierte cualquier cuenta de Signal en un potencial informe de inteligencia. Más aún cuando los servicios rusos mantienen lazos en el Mediterráneo que podrían facilitar la extensión de la campaña.
El nivel de clasificación del material comprometido es, a juzgar por los perfiles de las víctimas, al menos ‘Secreto’ en lo que respecta a planificación militar ucraniana. Pero la naturaleza dispersa de la campaña sugiere que también se está nutriendo de datos sin clasificar pero sensibles: horarios de despliegues, patrones de comportamiento. El FSB está construyendo un tapiz de inteligencia a base de miles de conversaciones robadas. Eso, permítame, es el verdadero peligro.
Sostengo desde hace tiempo en Moncloa.com que el próximo conflicto se ganará en el espacio cognitivo. La campaña rusa contra Signal no es un ciberataque al uso: es una operación de contrainteligencia de alcance global que explota la confianza en la mensajería segura. La moraleja es cruda: no hay cifrado que proteja de un usuario despistado.
