En el corazón de un conflicto que ha definido la geopolítica del siglo XXI, la batalla no solo se libra solo en las trincheras y en los campos de batalla, también se libra en los bolsillos de millones de personas, en las pantallas de sus teléfonos inteligentes, en los mensajes de texto que llegan a cualquier hora del día o de la noche. La guerra moderna ya no se limita al terreno físico; se extiende al dominio digital, donde cada mensaje de texto puede ser una trampa, cada notificación puede ser una emboscada, y cada credencial robada puede revelar los secretos mejor guardados de una nación en guerra.

En junio de 2026, Ucrania reveló al mundo una campaña de inteligencia de una sofisticación inquietante: servicios de inteligencia rusos estaban enviando mensajes de texto falsos que se hacían pasar por soporte técnico de aplicaciones de mensajería populares como Telegram, Viber, WhatsApp y Signal, con el objetivo de robar las credenciales de acceso de sus usuarios. Este no es un ataque técnico convencional. No explota vulnerabilidades en el código fuente de las aplicaciones ni utiliza malware sofisticado. Es algo más antiguo, más humano: es la ingeniería social llevada a su máxima expresión en el contexto de un conflicto armado.

Más del 80% de la población ucraniana utiliza Telegram como su principal aplicación de mensajería. Viber mantiene una cuota significativa, especialmente entre la población mayor. WhatsApp es utilizado principalmente por usuarios que se comunican con contactos internacionales. Signal es empleado por periodistas, activistas y personal gubernamental que requiere comunicaciones de mayor seguridad.

La concentración de comunicaciones críticas —personales, militares, gubernamentales, periodísticas— en plataformas de mensajería convierte a los usuarios de estas aplicaciones en objetivos de alto valor para la inteligencia rusa. Comprometer la cuenta de un solo usuario puede proporcionar acceso a información sensible, permitir la suplantación de identidad y facilitar operaciones de influencia y desinformación.

Y aquí es donde entra en juego la campaña de mensajes de soporte falsos.

El ataque es, en su esencia, sorprendentemente simple. Un usuario recibe un mensaje de texto en su teléfono móvil. El mensaje parece provenir de un número de teléfono que coincide con el número oficial de soporte de la aplicación de mensajería que utiliza. El mensaje dice algo como: “Su cuenta de Telegram ha sido detectada en un nuevo dispositivo. Para verificar su identidad, ingrese el código de verificación enviado a este número” o “Hemos detectado actividad inusual en su cuenta de Signal. Por su seguridad, confirme su número de teléfono y código de acceso.”

El usuario, que confía en el número de teléfono del remitente y que puede sentir urgencia por proteger su cuenta, responde al mensaje o hace clic en el enlace incluido. Y en ese momento, la trampa se cierra.

Pero para entender por qué este ataque funciona, debemos comprender los principios psicológicos que explota.

El Principio de Autoridad

El psicólogo Stanley Milgram demostró en los años 60 que las personas tienen una tendencia innata a obedecer a figuras de autoridad. Cuando un mensaje parece provenir de una fuente oficial, como por ejemplo: el número de soporte de una aplicación de mensajería, el usuario tiende a confiar en él sin cuestionar su legitimidad. El número de teléfono actúa como un sello de autoridad que reduce la capacidad crítica del usuario.

El Principio de Urgencia

Los mensajes de soporte falsos utilizan el lenguaje de la urgencia: “su cuenta será suspendida”, “verifique inmediatamente”, “actividad inusual detectada”. La urgencia reduce el tiempo disponible para el pensamiento crítico y la verificación, motivando al usuario a actuar de forma impulsiva.

El Principio de Reciprocidad

Cuando un mensaje parece ofrecer ayuda: ”soporte técnico”, “verificación de seguridad”, el usuario tiende a responder de forma positiva, esperando que la ayuda sea real. Es un principio psicológico fundamental: cuando alguien nos ofrece ayuda, nos sentimos obligados a corresponder.

Estos tres principios: autoridad, urgencia y reciprocidad, combinados en un solo mensaje SMS crean una tormenta perfecta de manipulación psicológica que es extremadamente difícil de resistir, especialmente para personas que no tienen formación en ciberseguridad.

La Evolución de la amenaza

La campaña de mensajes de soporte falsos no apareció de la noche a la mañana. Es el resultado de una evolución continua que refleja el aprendizaje organizacional de los servicios de inteligencia rusos y su adaptación al contexto del conflicto ucraniano.

La Fase Inicial: Campaña “VOICE-OF-SUPPORT” (2024-2025)

Las primeras versiones de esta campaña, identificadas por analistas del Centro de Respuesta a Incidentes de Ciberseguridad de Ucrania (CERT-UA) en 2024, presentaban mensajes de soporte falsos con características rudimentarias. Los mensajes contenían errores gramaticales, números de teléfono inconsistentes y diseños de phishing menos refinados. Los atacantes utilizaban software de spoofing de SMS básico y servidores de phishing alojados en proveedores de hosting gratuitos.

A pesar de su simplicidad, estas campañas iniciales fueron sorprendentemente efectivas. La falta de concienciación sobre el phishing SMS, la urgencia del contexto bélico y la dependencia crítica de las aplicaciones de mensajería crearon un entorno donde incluso los ataques más básicos podían tener éxito.

La Fase de Maduración: Campaña “SUPPORT-FAKE” (2025-2026)

A medida que los usuarios ucranianos se volvieron más conscientes de las amenazas de phishing, los atacantes evolucionaron. La campaña “SUPPORT-FAKE”, identificada en 2025, presentó mejoras significativas en la sofisticación:

- Mejora en la suplantación de números: Los atacantes mejoraron su capacidad de spoofing de SMS, utilizando gateways SMS comerciales y, en algunos casos, acceso a infraestructura de telecomunicaciones comprometida para hacer que los mensajes parezcan provenir de números oficiales con mayor precisión.

- Lenguaje contextualizado: Los mensajes dejaron de ser plantillas genéricas para incorporar referencias a eventos recientes, actualizaciones reales de las aplicaciones y situaciones específicas. Un mensaje podía referirse a una actualización real de Telegram que había sido lanzada días antes, aumentando la credibilidad del mensaje.

- Segmentación de objetivos: Los atacantes comenzaron a segmentar sus campañas, dirigiendo mensajes más sofisticados a perfiles de alto valor (funcionarios gubernamentales, periodistas, miembros de fuerzas armadas) y mensajes más genéricos a la población general.

- Coordinación temporal: Los envíos masivos se realizaron en ventanas temporales específicas, sugiriendo una coordinación centralizada y una planificación estratégica.

La Fase Actual: Sofisticación Avanzada (2026)

En 2026, la campaña ha alcanzado un nivel de sofisticación que refleja la inversión sostenida de los servicios de inteligencia rusos en capacidades de guerra de información. Los mensajes son prácticamente indistinguibles de los mensajes oficiales de soporte, los números de teléfono son suplantados con precisión, y los servidores de phishing están alojados en infraestructura que ofrece alto nivel de anonimato y resistencia a la takedown.

Los Actores detrás de la cortina

La atribución de esta campaña a servicios de inteligencia rusos se basa en múltiples indicadores que apuntan a la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU), específicamente a unidades especializadas en operaciones de información y guerra electrónica.

El GRU ha demostrado históricamente un interés particular en las operaciones de guerra de información contra Ucrania. Desde las campañas de desinformación en redes sociales hasta los ataques de ransomware contra infraestructura crítica, el GRU ha sido el actor principal en las operaciones de inteligencia rusa contra objetivos ucranianos.

Las unidades específicas más probables incluyen la Unidad 26165 (conocida públicamente como Fancy Bear o APT28), que tiene un historial de campañas de phishing y robo de credenciales, y las unidades de guerra electrónica del GRU, que están especializadas en la suplantación de señales de comunicación, incluyendo SMS spoofing y el uso de IMSI catchers (estaciones base falsas) para interceptar comunicaciones móviles.

La sofisticación en la suplantación de números de teléfono, la coordinación temporal de los ataques y el enfoque estratégico en aplicaciones de mensajería son consistentes con las capacidades y prioridades de estas unidades.

El Impacto real

Para comprender el verdadero impacto de esta campaña, debemos ir más allá del acto técnico de robar credenciales y examinar las consecuencias operacionales, estratégicas y humanas.

Espionaje de Comunicaciones

Cada cuenta comprometida es una ventana a las comunicaciones privadas de su propietario. Para un funcionario gubernamental, esto significa que los atacantes pueden leer conversaciones sobre políticas, estrategias y operaciones. Para un periodista, significa que las fuentes pueden ser identificadas y su trabajo comprometido. Para un miembro de las fuerzas armadas, significa que la coordinación operativa puede ser monitoreada.

Suplantación de Identidad

Una vez que los atacantes controlan una cuenta, pueden enviar mensajes en nombre del usuario comprometido. Esto permite a los atacantes difundir desinformación a través de canales legítimos, crear confusión entre contactos, manipular la percepción pública y, en el peor de los casos, emitir órdenes falsas que pueden tener consecuencias operacionales reales.

Infiltración de Redes de Comunicación

Los grupos de mensajería son particularmente vulnerables. Una cuenta comprometida en un grupo privado de Telegram puede proporcionar a los atacantes acceso a conversaciones entre múltiples personas, revelando información sobre redes de contacto, estructuras organizacionales y planes operacionales.

Erosión de la Confianza

El impacto más sutil pero potencialmente más dañino es la erosión de la confianza. Cuando los usuarios no pueden distinguir entre mensajes legítimos y falsos, la confianza en las plataformas de mensajería se debilita. En un contexto donde la comunicación digital es la columna vertebral de la sociedad ucraniana, esta erosión de la confianza puede tener consecuencias profundas para la cohesión social y la resiliencia nacional.

Cómo Protegerse en un Mundo de Amenazas Híbridas

La defensa contra esta amenaza requiere un enfoque en capas, similar a las murallas de un castillo medieval. Ninguna medida individual es suficiente, pero juntas crean una defensa robusta que puede resistir incluso los ataques más sofisticados.

Capa 1: Educación y Concienciación

La primera y más importante línea de defensa es la educación del usuario. Los usuarios deben entender que los mensajes de soporte falsos existen, cómo funcionan y cómo identificarlos. Deben saber que las aplicaciones de mensajería nunca solicitan contraseñas o códigos de verificación por mensaje de texto, y que siempre pueden verificar la autenticidad de un mensaje contactando al soporte a través de canales oficiales.

Los programas de concienciación deben ser continuos, no eventos únicos. Los ataques evolucionan constantemente, y la educación debe evolucionar con ellos. Las simulaciones de phishing SMS, los talleres interactivos y los recordatorios regulares son herramientas esenciales para mantener a los usuarios alerta.

Capa 2: Protección Técnica de Cuentas

La segunda capa de defensa es la protección técnica de las cuentas. La habilitación de la verificación en dos pasos con contraseña de sesión es la medida más efectiva que un usuario puede tomar para proteger su cuenta. A diferencia de la verificación por SMS, que es vulnerable a la suplantación de números de teléfono, la verificación con contraseña de sesión requiere que el atacante adivine una contraseña adicional que no puede ser interceptada a través de SMS.

Los usuarios también deben verificar periódicamente los dispositivos conectados a sus cuentas, configurar notificaciones de inicio de sesión y utilizar gestores de contraseñas para generar y almacenar contraseñas fuertes y únicas.

Capa 3: Protección del Canal SMS

La tercera capa de defensa es la protección del canal SMS. Los proveedores de telecomunicaciones deben implementar frameworks de autenticación de mensajería como STIR/SHAKEN para verificar la identidad del remitente. Los usuarios deben configurar listas de números bloqueados basadas en IOCs compartidos por centros de respuesta a incidentes y deshabilitar el reenvío automático de SMS para prevenir la interceptación de códigos de verificación.

Capa 4: Detección y Respuesta

La cuarta capa de defensa es la detección y respuesta. Los sistemas de monitoreo deben estar configurados para detectar patrones de phishing SMS, picos anómalos en el volumen de mensajes y actividad sospechosa en las cuentas de mensajería. Los planes de respuesta a incidentes deben incluir procedimientos específicos para el compromiso de cuentas de mensajería, incluyendo la contención inmediata, la erradicación del acceso del atacante y la recuperación de la cuenta.

Capa 5: Resiliencia Organizacional

La quinta y última capa de defensa es la resiliencia organizacional. Las organizaciones deben desarrollar planes de continuidad del negocio que incluyan canales de comunicación alternativos para situaciones en las que las aplicaciones de mensajería estén comprometidas. Los ejercicios regulares de recuperación de cuentas comprometidas, la implementación de gestión de dispositivos móviles (MDM) para dispositivos corporativos y la actualización continua de políticas de seguridad son elementos esenciales de una estrategia de resiliencia.

Conclusión

La campaña de inteligencia rusa que utiliza mensajes de soporte falsos para robar credenciales de aplicaciones de mensajería es más que un ataque técnico. Es un reflejo de la naturaleza misma de la guerra moderna: híbrida, asimétrica, centrada en el humano y sin fronteras claras entre lo militar y lo civil.

En este contexto, cada usuario de un teléfono móvil es, involuntariamente, un soldado en un campo de batalla digital. Cada mensaje de texto que recibe puede ser una orden legítima o una trampa mortal. Cada credencial que protege es un activo estratégico. Cada verificación que realiza es un acto de resistencia.

La defensa contra esta amenaza no requiere tecnología avanzada ni recursos ilimitados. Requiere concienciación, disciplina y una comprensión clara de que en la guerra moderna, la línea entre el frente y la retaguardia ha desaparecido. El teléfono en tu bolsillo no es solo un dispositivo de comunicación. Es una ventana a tu mundo digital, y cada ventana necesita un cerrojo.

Proteger tus credenciales, verificar la autenticidad de los mensajes que recibes y mantener tus cuentas seguras no es solo una buena práctica de ciberseguridad. En el contexto de un conflicto armado, es un acto de defensa nacional.

Fuentes:

CERT Ucrania: https://cert.gov.ua/article/6315762

Telegram: https://t.me/SBUkr/17916

FBI: https://www.ic3.gov/PSA/2026/PSA260626

FBI: https://www.ic3.gov/PSA/2026/PSA260320