Meta ha anunciado recientemente la detección y el bloqueo de una nueva campaña de spear-phishing orquestada por NSO Group. El objetivo de estos ataques era engañar a los usuarios de WhatsApp para que hicieran clic en enlaces maliciosos alojados en dominios externos. Una vez que la víctima accedía al enlace, los atacantes intentaban comprometer el dispositivo siguiendo un patrón similar a las campañas de “un solo clic” asociadas anteriormente con el spyware Pegasus.
La infraestructura detectada utilizaba dominios específicos como fr24cast[.]com, ghazacast[.]com e ikhwancast[.]com. Aunque WhatsApp cuenta con cifrado de extremo a extremo para los mensajes, este tipo de ataques busca sacar al usuario de la plataforma segura hacia sitios web controlados por los atacantes. Meta también identificó la creación de cuentas y grupos de prueba dentro de la aplicación, herramientas que el grupo de espionaje utilizaba para validar sus vectores de infección antes de lanzarlos masivamente.
A pesar de que el cifrado protege el contenido de las conversaciones, no evita que un actor sofisticado intente explotar vulnerabilidades en el dispositivo mediante ingeniería social. En incidentes previos, NSO Group ya había sido sancionado por explotar servidores de WhatsApp para desplegar spyware. Esta nueva actividad subraya que la vigilancia sobre los canales de comunicación corporativos debe ser constante, especialmente ante actores que operan con recursos de nivel estatal.
Para mitigar estos riesgos, se recomienda a las organizaciones y perfiles de alto valor activar configuraciones de seguridad restrictivas. Esto incluye deshabilitar la previsualización de enlaces, restringir la visibilidad de la información de perfil únicamente a contactos conocidos y, fundamentalmente, mantener tanto la aplicación como el sistema operativo del móvil actualizados. Estas medidas reducen significativamente la superficie de ataque disponible para herramientas de espionaje avanzado.
Qué significa para tu empresa: El uso de aplicaciones de mensería para fines corporativos introduce vectores de riesgo que el firewall perimetral tradicional no siempre puede controlar. En Ingeniería Telemática S.A.S., enfatizamos que la seguridad moderna debe basarse en la gestión de identidad y MFA para proteger el acceso a la información sensible, complementada con una higiene digital rigurosa que limite la exposición de los colaboradores ante tácticas de ingeniería social altamente dirigidas.
Fuente original: The Hacker News — ver artículo →