La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió el lunes una alerta advirtiendo sobre delincuentes que aprovechan activamente el software espía comercial y los troyanos de acceso remoto (RAT) para atacar a los usuarios de aplicaciones de mensajería móvil.
«Estos actores cibernéticos utilizan técnicas sofisticadas de ingeniería social y de focalización para entregar software espía y obtener acceso no autorizado a la aplicación de mensajería de la víctima, facilitando el despliegue de cargas útiles maliciosas adicionales que pueden comprometer aún más el dispositivo móvil de la víctima», dijo la agencia.
CISA citó como ejemplos múltiples campañas que han salido a la luz desde principios de año. Algunos de ellos incluyen –
- El objetivo de la aplicación de mensajería Signal por parte de múltiples actores de amenazas alineados con Rusia aprovechando la función de «dispositivos vinculados» del servicio para secuestrar cuentas de usuarios objetivo.
- Campañas de software espía de Android con nombres en código ProSpy y ToSpy que se hacen pasar por aplicaciones como Signal y ToTok para dirigirse a usuarios en los Emiratos Árabes Unidos y entregar malware que establece acceso persistente a dispositivos Android comprometidos y extrae datos.
- Una campaña de software espía para Android llamada ClayRat se ha dirigido a usuarios en Rusia que utilizan canales de Telegram y páginas de phishing similares haciéndose pasar por aplicaciones populares como WhatsApp, Google Photos, TikTok y YouTube para engañar a los usuarios para que las instalen y robar datos confidenciales.
- Una campaña de ataque dirigido que probablemente encadenó dos fallas de seguridad en iOS y WhatsApp (CVE-2025-43300 y CVE-2025-55177) dirigidas a menos de 200 usuarios de WhatsApp.
- Una campaña de ataque dirigido que implicó la explotación de una falla de seguridad de Samsung (CVE-2025-21042) para entregar un software espía de Android denominado LANDFALL a dispositivos Galaxy en el Medio Oriente.
La agencia dijo que los actores de amenazas utilizan múltiples tácticas para lograr el compromiso, incluidos códigos QR que vinculan dispositivos, exploits sin clic y distribución de versiones falsificadas de aplicaciones de mensajería.
CISA también señaló que estas actividades se centran en personas de alto valor, principalmente funcionarios gubernamentales, militares y políticos de alto rango actuales y anteriores, junto con organizaciones de la sociedad civil e individuos en los Estados Unidos, Medio Oriente y Europa.
Para contrarrestar la amenaza, la agencia insta a las personas más objetivo a revisar y cumplir con las siguientes mejores prácticas:
- Utilice únicamente comunicaciones cifradas de extremo a extremo (E2EE)
- Habilite la autenticación resistente al phishing de Fast Identity Online (FIDO)
- Aléjese de la autenticación multifactor (MFA) basada en el servicio de mensajes cortos (SMS)
- Utilice un administrador de contraseñas para almacenar todas las contraseñas
- Establecer un PIN de proveedor de telecomunicaciones para proteger cuentas de teléfonos móviles
- Actualizar periódicamente el software
- Opte por la última versión de hardware del fabricante del teléfono móvil para maximizar los beneficios de seguridad
- No utilice una red privada virtual (VPN) personal
- En iPhones, habilite el modo de bloqueo, inscríbase en iCloud Private Relay y revise y restrinja los permisos de aplicaciones confidenciales
- En teléfonos Android, elija teléfonos de fabricantes con un sólido historial de seguridad, utilice solo Rich Communication Services (RCS) si E2EE está habilitado, active la Protección mejorada para una navegación segura en Chrome, asegúrese de que Google Play Protect esté activado y audite y limite los permisos de las aplicaciones.