Hard2bit
← Volver al blog

Cuando el cifrado no es el objetivo: secuestro de cuentas de Signal y WhatsApp

Por Adrián González · CEO · Publicado: 01 de julio de 2026 · Actualizado: 01 de julio de 2026
secuestro de cuentas de Signal y WhatsApp

El 30 de junio de 2026, el programa Rewards for Justice del Departamento de Estado de Estados Unidos puso precio a dos grupos rusos: hasta 10 millones de dólares por información sobre UNC5792 y UNC4221.

La acusación es grave: campañas de phishing dirigidas contra cuentas de Signal y WhatsApp utilizadas por funcionarios estadounidenses, liderazgo militar, personal aliado y otros perfiles de alto valor.

Pero el dato que más debería importar a una empresa no es la recompensa. Es otro: los atacantes no rompieron el cifrado de Signal ni de WhatsApp.

Aun así, según las alertas públicas de las autoridades estadounidenses, consiguieron acceso no autorizado a miles de cuentas individuales de aplicaciones de mensajería de uso general.

Ese matiz debería inquietar a cualquier organización cuyos directivos, equipos legales, responsables de operaciones corporativas, consejeros, asesores externos o cargos públicos utilizan mensajería cifrada para conversaciones sensibles.

El cifrado de extremo a extremo hizo su trabajo: proteger el mensaje mientras viaja. El problema apareció después, en la cuenta, en el dispositivo vinculado y en la recuperación.

Lo que ahora vale 10 millones no es una vulnerabilidad criptográfica. Es el abuso de funciones legítimas pensadas para la comodidad del usuario.

Resumen ejecutivo: la lección para empresas

Este caso no demuestra que Signal o WhatsApp sean inseguros por diseño. Demuestra algo más incómodo: una conversación puede seguir estando cifrada y, aun así, quedar expuesta si un atacante consigue vincular un dispositivo, robar una clave de recuperación o convencer a la víctima de entregar un PIN o código.

Para una empresa, las prioridades son claras:

  1. Identificar perfiles de alto riesgo: dirección, consejo, legal, finanzas, M&A, comunicación, seguridad, operaciones críticas y relaciones institucionales.
  2. Revisar qué canales usan realmente para conversaciones sensibles.
  3. Definir qué información no debe circular por aplicaciones personales de mensajería.
  4. Formar de forma específica a esos perfiles, no solo con formación genérica anual.
  5. Revisar periódicamente dispositivos vinculados en Signal, WhatsApp y otras aplicaciones.
  6. Prohibir compartir PIN, códigos, claves de recuperación o códigos QR con supuestos soportes técnicos.
  7. Definir un canal rápido para reportar mensajes sospechosos.
  8. Preparar una respuesta si una cuenta de mensajería queda comprometida.

Este ataque se parece mucho a otros modelos de secuestro de sesión: el atacante no necesita romper la contraseña si consigue que la víctima autorice un flujo legítimo. Es la misma lógica que vemos en el device code phishing en Microsoft 365⁠ o en el secuestro de cuentas en Microsoft 365⁠: la sesión se convierte en el activo.

El ataque no rompe el cifrado: se instala en la sesión

Conviene separar dos cosas que se confunden a menudo.

El cifrado de extremo a extremo protege el contenido de un mensaje frente a quien lo intercepte en tránsito, e incluso frente al propio proveedor del servicio. Lo que no protege es el punto donde ese mensaje se descifra para que una persona lo lea: los dispositivos autorizados de la cuenta.

Ahí está la palanca.

Signal y WhatsApp permiten vincular dispositivos adicionales a una cuenta: cliente de escritorio, versión web o dispositivos complementarios. Cada dispositivo autorizado puede recibir mensajes y participar en la conversación dentro del modelo legítimo de la aplicación.

Si el atacante consigue que la víctima autorice un dispositivo bajo su control, no necesita romper el cifrado. Simplemente recibe la conversación como un dispositivo más de la cuenta.

Dicho de forma directa: la conversación sigue apareciendo como cifrada, pero uno de los extremos autorizados ya no pertenece solo a la víctima.

La diferencia técnica entre Signal y WhatsApp importa menos para el defensor que la idea común: una cuenta con varios dispositivos vinculados amplía la superficie de confianza más allá del teléfono principal.

Cómo funciona: dispositivos vinculados, QR y confianza del usuario

Google Threat Intelligence Group documentó en febrero de 2025 una técnica que desde entonces se ha ido refinando: abuso de la función de dispositivos vinculados en Signal por actores alineados con Rusia.

La mecánica, a nivel conceptual, es sencilla:

  1. El atacante prepara un señuelo creíble.
  2. La víctima cree que está uniéndose a un grupo, verificando una cuenta o siguiendo una instrucción de soporte.
  3. En realidad, aprueba la vinculación de un dispositivo controlado por el atacante.
  4. Desde ese momento, el atacante puede acceder a mensajes desde ese dispositivo autorizado.

No hace falta malware. No hace falta adivinar una contraseña. No hace falta explotar una CVE.

El ataque se apoya en una decisión humana tomada dentro de una función legítima.

Este detalle lo hace especialmente peligroso en entornos directivos: la víctima no siempre ve “algo raro”. Ve un QR, una invitación, una pantalla parecida a la real o un supuesto mensaje de soporte que parece encajar con el contexto.

Técnica 1: invitaciones a grupos manipuladas

Una de las técnicas atribuidas a estos actores consiste en manipular páginas o flujos de invitación a grupos.

La víctima cree que está aceptando una invitación legítima para unirse a una conversación de trabajo. Pero la acción real no es unirse al grupo: es vincular un nuevo dispositivo a su cuenta.

No hay adjunto. No hay ejecutable. No hay alerta clásica de antivirus.

Solo hay una pantalla convincente y una acción que el usuario interpreta mal.

Para un directivo, abogado, asesor externo o responsable de comunicación, este tipo de señuelo es muy creíble. Las invitaciones a grupos se han normalizado. Los canales informales se crean rápido. Y las decisiones se toman muchas veces fuera de herramientas corporativas.

Ese es el problema.

Técnica 2: kits de phishing con códigos QR

Otra técnica observada es el uso de kits de phishing con códigos QR.

El atacante imita una aplicación, portal o flujo en el que la víctima confía y le pide escanear un QR para continuar. En realidad, ese QR puede estar diseñado para vincular un dispositivo del atacante o conducir a instrucciones falsas de recuperación.

En una empresa, el patrón se traslada con facilidad:

  • “Escanea este código para entrar al grupo del comité”.
  • “Vincula tu dispositivo para seguir usando la versión de escritorio”.
  • “Valida tu cuenta para evitar la desactivación”.
  • “Actualiza la seguridad de Signal/WhatsApp”.
  • “Soporte necesita confirmar tu dispositivo”.

El QR tiene una ventaja para el atacante: salta muchos controles corporativos. Una pasarela de correo puede analizar enlaces, pero no siempre detecta el riesgo cuando el usuario escanea con el móvil un código mostrado en una pantalla.

Este patrón se conecta con otras técnicas de ingeniería social⁠ y con campañas como ClickFix y falsos CAPTCHA⁠: el atacante no fuerza el sistema; convence al usuario de hacer algo que parece razonable.

Técnica 3: robo de PIN, códigos y claves de recuperación

La evolución más reciente, advertida por FBI y CISA, va un paso más allá: los atacantes se hacen pasar por soporte técnico y convencen a la víctima para entregar códigos, PIN o claves de recuperación.

Aquí el objetivo no es solo vincular un dispositivo, sino ganar persistencia o acceder a mensajes históricos cuando la función de backup lo permite.

El punto clave para cualquier organización es simple: ningún soporte legítimo debería pedir a un usuario que entregue códigos de verificación, PIN, claves de recuperación o frases secretas.

Si alguien lo pide, es un incidente potencial.

Reinstalar la aplicación o volver a registrar el número puede no bastar si el atacante conserva una clave de recuperación válida o si no se rota correctamente el mecanismo de recuperación. Por eso, ante sospecha, la respuesta debe ir más allá de “cierra sesión y vuelve a entrar”.

Lo que sabemos y lo que no

Es importante tratar este caso con rigor.

Lo que sí sabemos:

  • Rewards for Justice ofrece hasta 10 millones de dólares por información sobre UNC5792.
  • El anuncio vincula a UNC5792 con servicios de inteligencia rusos y menciona también a UNC4221.
  • Las campañas apuntaron a cuentas de Signal y WhatsApp de funcionarios estadounidenses, liderazgo militar y personal aliado.
  • FBI y CISA han advertido de campañas contra aplicaciones de mensajería de uso general.
  • Las autoridades han subrayado que no se comprometió el cifrado de extremo a extremo ni las aplicaciones como tal.
  • Google documentó el abuso de dispositivos vinculados en Signal por actores alineados con Rusia.
  • NCSC publicó recomendaciones específicas para personas de alto riesgo.

La conclusión correcta es que el cifrado puede estar intacto y la cuenta, aun así, comprometida.

No es solo un problema de gobiernos

Es tentador archivar este caso como espionaje entre estados, lejos de la empresa privada.

Sería un error.

Los mismos métodos pueden reutilizarse contra objetivos corporativos cuando hay algo que ganar:

  • Operaciones de compra o venta de empresas.
  • Litigios sensibles.
  • Negociaciones laborales o societarias.
  • Propiedad industrial.
  • Información financiera.
  • Estrategia comercial.
  • Crisis reputacionales.
  • Acceso de proveedores a infraestructura crítica.
  • Conversaciones entre consejo, comité de dirección y asesores.

En una empresa, los equivalentes de los “altos cargos” son claros: CEO, CFO, COO, CISO, dirección legal, dirección de operaciones, consejo, asesores externos, responsables de comunicación y personas con acceso a decisiones sensibles.

Y hay un factor que agrava el riesgo: la mensajería en la sombra.

Conversaciones que deberían ir por canales gestionados terminan en el WhatsApp personal del consejero delegado, el Signal del asesor jurídico o un grupo informal con proveedores, fuera de la trazabilidad corporativa.

Ese desvío es cómodo.

Y precisamente por eso es atractivo para un atacante paciente.

Por qué tus controles habituales no ven nada

Este ataque cae en los huecos de muchos programas de seguridad.

No hay malware que ejecutar, así que el EDR puede no ver nada. No hay CVE que parchear, porque no se explota un fallo de software. No hay inicio de sesión clásico, porque el atacante no siempre intenta autenticarse como la víctima: consigue que la propia víctima autorice un flujo legítimo.

Además, estas aplicaciones suelen estar en teléfonos personales o en dispositivos parcialmente gestionados. Eso limita la visibilidad del equipo de seguridad.

La pasarela de correo no inspecciona fácilmente un QR escaneado desde otra pantalla. El SIEM no recibe telemetría completa de una aplicación de consumo. El equipo de seguridad no ve siempre qué dispositivos están vinculados a la cuenta personal de un directivo.

Es un punto ciego por diseño, no solo por descuido.

Merece la pena decirlo con claridad: una contraseña fuerte y el MFA clásico no bastan contra este escenario si el ataque se apoya en vincular un dispositivo o en convencer a la víctima para entregar un código de recuperación.

La defensa debe desplazarse hacia gobierno de canales, revisión de dispositivos vinculados, protección de perfiles de alto riesgo y respuesta rápida.

Qué sí puedes vigilar

Con aplicaciones de consumo no gestionadas, la telemetría corporativa es limitada. Fingir lo contrario no ayuda.

Pero sí hay controles útiles.

1. Revisión periódica de dispositivos vinculados

Para perfiles de alto riesgo, revisar dispositivos vinculados debería ser una rutina.

No hace falta convertirlo en un proyecto complejo. Es una comprobación periódica de ajustes.

Un dispositivo que nadie reconoce debe tratarse como incidente.

2. Alertas de nuevo dispositivo vinculado

Si una aplicación notifica que se ha vinculado un nuevo dispositivo sin que el usuario lo haya hecho, esa notificación es una señal de detección.

El problema es que muchos usuarios la ignoran o no saben a quién reportarla.

La solución pasa por educación específica y un canal rápido de comunicación con seguridad.

3. Mensajes de supuesto soporte

Cualquier mensaje que pida códigos, PIN, claves de recuperación o acciones urgentes sobre la cuenta debe considerarse sospechoso.

Ningún soporte legítimo debería pedir estos secretos.

4. Dominios, señuelos e infraestructura

La inteligencia de amenazas⁠ puede aportar lo que la aplicación no da: dominios de phishing, infraestructura reutilizada, marcas suplantadas, patrones de mensajes y campañas activas.

Esa información puede alimentar bloqueos en DNS, proxy, navegación segura y concienciación dirigida.

5. Reporte ejecutivo rápido

Un directivo que recibe un mensaje raro y sabe a quién reenviarlo en 30 segundos vale más que muchas reglas de correlación.

En este ataque, la persona es parte del sistema de detección.

La detección temprana casi siempre empieza por una duda bien canalizada.

Defensa práctica para perfiles de alto riesgo

Las medidas útiles no son exóticas, pero deben aplicarse con disciplina.

1. Revisar y podar dispositivos vinculados

En Signal, WhatsApp y cualquier aplicación similar, los perfiles de alto riesgo deberían revisar periódicamente qué dispositivos tienen vinculados.

Cualquier dispositivo desconocido debe eliminarse de inmediato y escalarse a seguridad.

2. Usar passkeys o recuperación resistente al phishing cuando esté disponible

Cuando la aplicación y la plataforma lo permitan, conviene activar passkeys o mecanismos de recuperación resistentes al phishing.

No todas las funciones están disponibles igual en todas las plataformas, países o versiones, por lo que la política debe formularse así: usar el método más resistente disponible y revisar periódicamente las opciones de seguridad de cada aplicación.

3. No compartir nunca códigos, PIN ni claves de recuperación

Esta regla debe ser absoluta.

Ningún soporte legítimo pide:

  • PIN.
  • Códigos de verificación.
  • Claves de recuperación.
  • Códigos QR de vinculación.
  • Frases secretas.
  • Capturas de pantallas de seguridad.

Si alguien lo pide, se reporta.

4. Activar mensajes que desaparecen, con expectativas realistas

Los mensajes temporales ayudan a reducir exposición histórica, pero no impiden que un dispositivo vinculado lea mensajes en tiempo real mientras la sesión está activa.

Sirven para limitar daños, no para evitar el compromiso.

5. Verificar por otro canal antes de unirse a grupos sensibles

Si llega una invitación a un grupo de dirección, crisis, legal, M&A o asuntos sensibles, conviene verificarla por un canal independiente.

Especialmente si incluye QR, instrucciones de vinculación o pasos que el usuario no esperaba.

6. Definir qué no debe ir por mensajería personal

Algunas conversaciones no deberían ocurrir en aplicaciones personales de consumo.

Cada organización debe decidir qué información requiere canales corporativos gestionados, con retención, trazabilidad, DLP, control de acceso y respuesta.

Esto no significa prohibir toda mensajería informal. Significa no delegar en una aplicación personal decisiones críticas de negocio sin gobierno.

Programa de protección para perfiles de alto riesgo

La formación anual genérica no basta para este tipo de amenaza.

Una organización madura debería tener un programa específico para perfiles de alto riesgo.

Ese programa debería cubrir:

  • Quiénes son objetivo plausible.
  • Qué aplicaciones usan realmente.
  • Qué conversaciones mantienen fuera de canales corporativos.
  • Qué señales deben reportar.
  • Cómo revisar dispositivos vinculados.
  • Qué hacer ante un QR sospechoso.
  • Qué códigos o claves nunca deben compartir.
  • Cómo actuar si sospechan que alguien conoce una conversación privada.
  • Qué canal interno usar para pedir ayuda urgente.

Esto encaja bien con una función de CISO virtual⁠ o con un programa de gobierno de seguridad para dirección: no se trata solo de tecnología, sino de proteger a quienes toman decisiones sensibles.

También puede apoyarse en un cuadro de mando de ciberresiliencia para el consejo⁠, incorporando indicadores sobre canales críticos, formación ejecutiva, revisión de accesos y preparación ante crisis.

Qué hacer si sospechas que una cuenta ha sido comprometida

Si aparece un dispositivo extraño, si la víctima recibió instrucciones de soporte, si compartió un PIN o si el atacante parece conocer conversaciones privadas, la cuenta debe tratarse como potencialmente comprometida.

La respuesta debería incluir:

  1. Desvincular todos los dispositivos no reconocidos.
  2. Revisar dispositivos vinculados restantes.
  3. Cambiar PIN o mecanismos de recuperación.
  4. Rotar claves de recuperación o backup si existen.
  5. Actualizar la aplicación.
  6. Revisar conversaciones sensibles recientes.
  7. Avisar a contactos relevantes si hubo suplantación.
  8. Preservar evidencias: mensajes, dominios, capturas, fechas y números.
  9. Revisar si el ataque llegó por correo, SMS, redes sociales o mensajería.
  10. Analizar si hubo exposición de información corporativa.
  11. Valorar notificación interna, contractual o regulatoria.
  12. Reforzar el proceso con el resto de perfiles de alto riesgo.

Si hay información empresarial sensible afectada, esto entra en el terreno de respuesta a incidentes⁠, no de simple soporte al usuario.

La comparación con Microsoft 365 es útil: igual que en un robo de sesión corporativa, el objetivo no es solo recuperar la cuenta, sino entender qué vio el atacante, durante cuánto tiempo y qué pudo hacer después.

Qué implica para crisis corporativas

Hay otro punto importante: los canales de mensajería suelen usarse precisamente en los momentos de mayor presión.

Durante una crisis cibernética, una investigación interna, una negociación crítica o una incidencia reputacional, muchas decisiones se toman en grupos rápidos de mensajería.

Eso los convierte en objetivo.

Si un atacante compromete una cuenta de un perfil clave durante una crisis, puede leer deliberaciones internas, anticipar movimientos, manipular mensajes o suplantar a una persona de confianza.

Por eso el plan de comunicación de crisis cibernética en las primeras 24 horas⁠ debe incluir también los canales que se usarán para coordinar a dirección, legal, comunicación y seguridad.

No basta con decidir qué se va a decir al exterior. Hay que decidir por dónde se va a coordinar la respuesta.

Relación con identidad, sesiones y Zero Trust

Aunque este caso ocurre en aplicaciones de mensajería, la lógica es la misma que en muchos ataques modernos de identidad: el atacante deja de pelear contra la contraseña y busca una sesión, un token, un dispositivo autorizado o un flujo legítimo de recuperación.

Eso conecta con varios riesgos ya conocidos:

  • Robo de tokens.
  • Device code phishing.
  • Sesiones persistentes.
  • Dispositivos no gestionados.
  • Recuperación de cuenta débil.
  • Canales personales fuera del control corporativo.
  • Exceso de confianza en “si está cifrado, está seguro”.

La respuesta no es desconfiar de todo, sino aplicar una lógica de Zero Trust⁠ también a los canales de comunicación: verificar dispositivos, limitar exposición, revisar sesiones, gobernar acceso y asumir que la confianza debe renovarse.

Qué implica para NIS2, DORA y ENS

La lectura normativa es más directa de lo que parece.

NIS2⁠ hace responsable al órgano de dirección de aprobar, supervisar y formarse en medidas de gestión del riesgo. Si ese órgano utiliza canales inseguros o no gobernados para tomar decisiones sensibles, ese canal entra en el análisis de riesgo.

DORA⁠ empuja a las entidades financieras a gobernar la resiliencia operativa digital, incluyendo comunicación, gestión de incidentes, terceros, continuidad y respuesta. Una cuenta de mensajería comprometida en plena crisis puede afectar directamente a esa resiliencia.

El ENS⁠ exige medidas de protección, trazabilidad y control sobre la información y las comunicaciones en el sector público y sus proveedores. Si determinadas comunicaciones se trasladan a canales personales no gestionados, se crea un hueco operativo y documental.

En los tres casos, el mensaje es el mismo: la seguridad de los canales que la dirección utiliza de verdad está dentro del alcance, aunque esos canales sean aplicaciones de consumo.

Dejarlos fuera del análisis porque son “personales” es precisamente el hueco que esta campaña explota.

Para organizaciones que trabajan con varios marcos, conviene revisar también cómo se relacionan ENS, ISO 27001, NIS2 y DORA⁠, porque todos terminan exigiendo lo mismo con distinto lenguaje: gobierno, control de acceso, gestión de incidentes, formación, trazabilidad y mejora continua.

Qué debería decidir una empresa ahora

Después de esta campaña, cualquier empresa con perfiles de alto riesgo debería responder a estas preguntas:

  1. ¿Quiénes son nuestros perfiles más sensibles?
  2. ¿Qué aplicaciones de mensajería usan realmente?
  3. ¿Qué información se está tratando fuera de canales corporativos?
  4. ¿Hay normas claras sobre qué no debe ir por WhatsApp, Signal o Telegram?
  5. ¿Revisan periódicamente dispositivos vinculados?
  6. ¿Saben que ningún soporte legítimo pide PIN, códigos o claves?
  7. ¿Existe un canal rápido para reportar mensajes sospechosos?
  8. ¿Tenemos procedimiento si una cuenta personal usada para trabajo se compromete?
  9. ¿Sabemos cómo preservar evidencias sin destruir la trazabilidad?
  10. ¿Está esto incluido en formación de dirección, crisis y cumplimiento?

Estas preguntas pueden abordarse dentro de una auditoría de seguridad informática⁠, una revisión de seguridad Microsoft 365⁠ cuando el riesgo se extiende a identidad corporativa, o un programa específico de protección de perfiles de alto riesgo liderado por CISO/vCISO.

La conclusión incómoda

La conclusión no es que Signal o WhatsApp hayan dejado de ser útiles. Tampoco es que el cifrado no sirva.

La conclusión es más incómoda: el cifrado protege el mensaje en tránsito, pero no protege una cuenta mal vinculada, una clave de recuperación robada o un directivo convencido de escanear el QR equivocado.

Lo que sabemos es sólido: la técnica está documentada, atribuida y ahora tiene recompensa pública.

Lo que no controlamos por defecto es el teléfono personal de un directivo un domingo por la tarde.

Entre esos dos extremos está el trabajo real: reducir la superficie, entrenar a quien de verdad es objetivo, gobernar los canales sensibles y asumir que la comodidad de vincular un dispositivo tiene un coste.

Mejor gestionarlo antes de que lo gestione otro.

¿Tienes controlados los canales que usa tu dirección en una crisis?

En Hard2bit ayudamos a empresas a proteger identidades, sesiones, canales críticos y perfiles de alto riesgo frente a ataques de ingeniería social, secuestro de cuentas y compromiso de comunicación ejecutiva.

Podemos ayudarte con:

Si quieres revisar cómo se comunican tus perfiles críticos, qué canales deberían estar gobernados y cómo responder ante una cuenta comprometida, puedes contactar con nuestro equipo desde la página de contacto de Hard2bit⁠.

Fuentes recomendadas

  • Rewards for Justice: UNC5792
    https://rewardsforjustice.net/rewards/unc5792/
  • FBI / IC3 PSA: Russian Intelligence Services Targeting Commercial Messaging Applications
    https://www.ic3.gov/PSA/2026/PSA260320
  • Google Threat Intelligence Group: Signals of Trouble — Russia-aligned threat actors targeting Signal Messenger
    https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger/
  • NCSC: Messaging app targeting guidance
    https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targeting
  • The Hacker News: FBI warns Russian hackers target Signal backup recovery keys
    https://thehackernews.com/2026/06/fbi-warns-russian-intelligence-hackers.html

Preguntas frecuentes

¿Rompen los atacantes el cifrado de Signal o WhatsApp?

No. Ni la campaña rusa por la que se ofrecen diez millones de dólares ni las técnicas asociadas rompen el cifrado de extremo a extremo. El atacante no descifra el mensaje: consigue que un dispositivo bajo su control quede vinculado de forma legítima a la cuenta de la víctima y, desde ahí, recibe cada conversación ya descifrada. La criptografía sigue intacta; lo que falla es el control de qué dispositivos tienen acceso a la cuenta.

¿Cómo leen los mensajes sin instalar malware?

Aprovechando la función de dispositivos vinculados. Signal y WhatsApp permiten conectar clientes de escritorio o web a una misma cuenta, y cada dispositivo vinculado recibe los mensajes ya en claro. El atacante engaña a la víctima para que apruebe la vinculación de un dispositivo que él controla, con una invitación de grupo manipulada, un código QR o instrucciones falsas, y a partir de ahí lee la conversación en tiempo real, sin ejecutar ningún programa en el teléfono.

¿Sirve de algo el MFA o la verificación en dos pasos?

Ayuda, pero no es suficiente por sí solo frente a esta técnica. El MFA protege el inicio de sesión, y aquí el atacante no inicia sesión: abusa de la vinculación de dispositivos o roba la clave de recuperación. Las passkeys endurecen el proceso de recuperación y son un buen refuerzo. Aun así, la medida imprescindible es revisar con regularidad los dispositivos vinculados y no compartir jamás claves ni códigos.

¿A quién apuntan estas campañas?

Las autoridades describen objetivos de alto riesgo: altos cargos y diplomáticos, personal de defensa e inteligencia, periodistas y organizaciones que trabajan sobre Rusia y Ucrania. En clave empresarial, ese perfil se traduce en el consejo, el comité de dirección, los equipos legales y de operaciones corporativas, y los proveedores con acceso a infraestructura crítica. Cualquier persona cuyas conversaciones tengan valor estratégico es un objetivo plausible.

¿Por qué es tan peligrosa la clave de recuperación de la copia de seguridad?

Porque otorga persistencia. Si la víctima entrega su clave de recuperación o su PIN, esa clave sigue siendo válida aunque más tarde reinstale la aplicación o vuelva a registrarse con el mismo número. Reinstalar no expulsa al atacante. Por eso ningún soporte legítimo pide estas claves, y por eso, ante una sospecha, hay que rotar la clave de recuperación además de desvincular dispositivos.

¿Qué puede hacer una empresa si sus directivos usan Signal o WhatsApp para temas sensibles?

Primero, decidir a nivel de política qué conversaciones pueden ir por aplicaciones de consumo y cuáles deben quedarse en canales corporativos gestionados. Después, dar a los perfiles de alto riesgo instrucciones a medida: activar passkeys, revisar periódicamente los dispositivos vinculados, usar mensajes que desaparecen y no compartir nunca códigos de recuperación. Y contar con un procedimiento de respuesta que trate la cuenta como comprometida de forma persistente ante cualquier señal.

¿Qué relación tiene esto con NIS2, DORA o el ENS?

En NIS2, el órgano de dirección responde de las medidas de gestión del riesgo, y la seguridad de los canales que la dirección usa para decidir entra en ese alcance. DORA obliga a las entidades financieras a gobernar el factor humano y tecnológico de su resiliencia operativa. El ENS fija medidas de protección para las comunicaciones del personal del sector público y sus proveedores. En los tres marcos, la seguridad de los canales que realmente usa el liderazgo forma parte del cumplimiento, aunque sean aplicaciones de consumo.