El Departamento de Estado de EE. UU. ofrece una recompensa de 10 millones de dólares por información sobre dos grupos de hackers estatales rusos, UNC5792 y UNC4221, acusados de llevar a cabo una campaña de phishing sostenida contra usuarios de Signal y WhatsApp vinculados a gobiernos de la OTAN, mandos militares y la sociedad civil.
La recompensa, anunciada dentro del programa Rewards for Justice del Departamento de Estado el 29 de junio de 2026, es una de las mayores ofertas públicas hasta la fecha por información sobre operativos cibernéticos rusos que atacan cuentas de aplicaciones de mensajería cifrada en lugar del propio cifrado de esas apps.
¿Quiénes son UNC5792 y UNC4221?
Los investigadores de seguridad vinculan a UNC5792 con el Servicio de Guardia Fronteriza del FSB, y a UNC4221 con la inteligencia militar rusa. Ambos grupos han llevado a cabo campañas de phishing paralelas contra cuentas de Signal y WhatsApp desde al menos 2025, según avisos actualizados este año por el FBI y CISA.
Un engaño de phishing por la clave de respaldo, no un fallo de Signal
Los atacantes no rompen el cifrado de Signal ni de WhatsApp. En su lugar, se hacen pasar por soporte oficial y contactan directamente a sus objetivos, afirmando que una verificación en dos pasos obligatoria requiere volver a introducir la clave de recuperación de respaldo de Signal. Las víctimas que acceden entregan la única credencial que desbloquea todo su historial de mensajes y permite a los atacantes vincular en silencio un segundo dispositivo a la cuenta.
- Suplantación: Los mensajes parecen provenir del soporte de Signal o WhatsApp.
- Pretexto: Un falso paso de verificación de seguridad obligatorio.
- Botín: La propia clave de recuperación de respaldo de la víctima, escrita directamente en el chat.
- Resultado: Acceso completo de lectura a conversaciones pasadas y vinculación silenciosa de dispositivos.
Periodistas y ONG, objetivos explícitos
El Departamento de Estado y el FBI describen un grupo de víctimas que va mucho más allá del personal uniformado. Además de funcionarios gubernamentales, diplomáticos, de defensa e inteligencia de EE. UU. y la OTAN, la campaña apuntó específicamente a periodistas que cubren Rusia y Ucrania, ONG que apoyan a Ucrania, analistas políticos e investigadores centrados en asuntos de seguridad rusos. Para los reporteros y activistas que confían en Signal precisamente porque se considera resistente a la vigilancia, la campaña es un recordatorio de que el eslabón más débil rara vez está en el propio protocolo.
Miles de cuentas, una sola recompensa
Según funcionarios, miles de cuentas de mensajería comercial han sido comprometidas mediante esta técnica en ambas campañas. La recompensa de 10 millones de dólares busca atraer a personas con información privilegiada o cómplices dispuestos a identificar a los operadores individuales detrás de UNC5792 y UNC4221, siguiendo el mismo esquema que Rewards for Justice ha usado contra otros grupos de hackers vinculados a estados.
Cómo protegerte
- Nunca compartas tu clave de recuperación de respaldo de Signal ni el PIN de verificación en dos pasos de WhatsApp con nadie, incluidas cuentas que digan ser "soporte".
- Revisa regularmente los dispositivos vinculados en Signal (Ajustes -> Dispositivos vinculados) y WhatsApp (Ajustes -> Dispositivos vinculados) y elimina cualquiera que no reconozcas.
- Activa el bloqueo de registro o la verificación en dos pasos con un PIN que solo tú conozcas.
- Trata por defecto cualquier mensaje no solicitado sobre "verificación requerida" como phishing, sin importar cuán oficial parezca.
Una VPN no detiene este ataque en concreto, ya que el phishing ocurre dentro de la propia app de mensajería y no a nivel de red - pero para periodistas y personal de ONG que operan en o informan sobre Rusia y Ucrania, enrutar el tráfico a través de una VPN sigue siendo importante para ocultar su ubicación y actividad de navegación frente a los mismos actores estatales detrás de estas campañas de phishing.