La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una alerta el lunes indicando que actores maliciosos están utilizando activamente software espía comercial y troyanos de acceso remoto (RAT) para atacar a los usuarios de aplicaciones de mensajería móvil.
“Estos ciberactores utilizan sofisticadas técnicas de ingeniería social y de focalización para distribuir software espía y obtener acceso no autorizado a la aplicación de mensajería de la víctima, facilitando la entrega de cargas útiles maliciosas adicionales que pueden comprometer aún más el dispositivo móvil de la víctima”, dijo la agencia.
CISA citó como ejemplo varias campañas que han salido a la luz desde principios de año. Algunos de estos incluyen:
- La aplicación de mensajería Signal ha sido atacada por múltiples actores de amenazas vinculados a Rusia al explotar la función de Dispositivos Vinculados del servicio para secuestrar cuentas de usuarios objetivo.
- Campañas de software espía de Android con nombres en código ProSpy y ToSpy que se hacen pasar por aplicaciones como Signal y ToTok para dirigirse a usuarios en los Emiratos Árabes Unidos y distribuir malware que obtiene acceso persistente a dispositivos Android comprometidos y extrae datos.
- Una campaña de software espía para Android llamada ClayRat se ha dirigido a usuarios en Rusia a través de canales de Telegram y páginas de phishing similares, haciéndose pasar por aplicaciones populares como WhatsApp, Google Photos, TikTok y YouTube para engañar a los usuarios para que las instalen y roben datos confidenciales.
- Una campaña de ataque dirigido que probablemente encadenó dos vulnerabilidades en iOS y WhatsApp (CVE-2025-43300 y CVE-2025-55177) y apuntó a menos de 200 usuarios de WhatsApp.
- Una campaña de ataque dirigido que aprovechó una vulnerabilidad de Samsung (CVE-2025-21042) para entregar un software espía de Android llamado LANDFALL a dispositivos Galaxy en Medio Oriente.
La agencia dijo que los actores de amenazas utilizan múltiples tácticas para lograr el compromiso, incluidos códigos QR de vinculación de dispositivos, exploits sin clic y la distribución de versiones falsas de aplicaciones de mensajería.
CISA también señaló que estas actividades se centran en personas de alto nivel, en particular altos funcionarios gubernamentales, militares y políticos actuales y anteriores, así como organizaciones de la sociedad civil e individuos en los Estados Unidos, Medio Oriente y Europa.
Para abordar la amenaza, la agencia alienta a las personas objetivo a revisar y cumplir las siguientes mejores prácticas:
- Utilice únicamente comunicación cifrada de extremo a extremo (E2EE)
- Habilite la autenticación Fast Identity Online (FIDO) resistente al phishing
- Alejarse de la autenticación multifactor (MFA) basada en el servicio de mensajes cortos (SMS)
- Utilice un administrador de contraseñas para almacenar todas las contraseñas
- Establecer un PIN de proveedor de telecomunicaciones para proteger cuentas de teléfonos móviles
- Actualice el software periódicamente
- Opte por la última versión de hardware del fabricante del teléfono móvil para maximizar los beneficios de seguridad
- No utilice una red privada virtual (VPN) personal.
- En iPhones, active el modo de bloqueo, inicie sesión en iCloud Private Relay y revise y limite los permisos de aplicaciones confidenciales
- En teléfonos Android, elija teléfonos de fabricantes con sólidos registros de seguridad, use Rich Communication Services (RCS) solo cuando E2EE esté habilitado, habilite la Protección avanzada de navegación segura en Chrome, asegúrese de que Google Play Protect esté habilitado y revise y restrinja los permisos de las aplicaciones.
About The Author
