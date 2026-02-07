Alemania alertó sobre una campaña de phishing pensada para secuestrar cuentas de Signal usando ingeniería social y aprovechándose de la confianza del usuario. La idea central es tan simple como peligrosa: los atacantes se hacen pasar por personal de soporte de Signal y presionan a la víctima para que entregue un PIN o códigos de verificación; con eso, abren el camino para tomar control de la cuenta o espiar mensajes entrantes.

Alemania alerta: un ataque dirigido (y con objetivos claros)

El aviso no viene de un blog cualquiera. Se trata de un comunicado conjunto de dos organismos alemanes, la Oficina Federal para la Protección de la Constitución (BfV) y la Oficina Federal de Seguridad de la Información (BSI), que advirtieron sobre ataques de phishing realizados a través de servicios de mensajería, con Signal como uno de los objetivos principales. En su advertencia, las agencias describen un escenario de ataques altamente dirigidos, es decir, no el típico correo masivo mal escrito, sino operaciones que parecen diseñadas para víctimas específicas.

Y aquí hay un detalle importante para entender por qué esto preocupa y es que la campaña se enfoca en personas con alto valor informativo, como figuras vinculadas a la política, el ámbito militar y la diplomacia, además de periodistas (incluidos periodistas de investigación). Si tu trabajo implica hablar con fuentes, manejar documentos sensibles o coordinar coberturas delicadas, este tipo de ataque puede ser un atajo brutal para comprometer conversaciones futuras, suplantar tu identidad ante tus contactos o infiltrarse en grupos.

Las autoridades también ponen sobre la mesa algo que a veces se pierde en la conversación pública: en este caso, no hace falta malware ni explotar una vulnerabilidad “de película”. El éxito depende de una variable humana: que el usuario crea estar hablando con soporte legítimo y entregue información que, en condiciones normales, jamás compartiría.

¿Cómo funciona el ataque de phishing?

El mecanismo, tal como lo describen las alertas y el reporte, gira alrededor de suplantación de identidad. El atacante inicia contacto haciéndose pasar por “Signal Support” (o alguna variante creíble) y arma un guion clásico: “detectamos actividad sospechosa”, “tu cuenta será bloqueada”, “necesitamos verificar tu identidad”, “esto debe hacerse ya”. La urgencia es el combustible del phishing, porque reduce tu capacidad de sospechar, revisar y confirmar.

¿Y qué piden exactamente? Elementos como el PIN o un código de verificación (por ejemplo, el que llega por SMS cuando alguien intenta registrar un número). En el momento en que la víctima comparte ese dato, el atacante puede avanzar hacia el secuestro de la cuenta (registrándola en un dispositivo bajo su control) o al menos hacia un escenario donde puede operar como si fuera la víctima: enviar mensajes, escribir a grupos o moverse por la lista de contactos para escalar el ataque.

El reporte también describe otra vía que puede ser especialmente peligrosa por lo “silenciosa” y es abusar del proceso de vinculación de dispositivos, por ejemplo, induciendo al usuario a escanear un código QR. Ese tipo de acceso puede permitir que el atacante lea mensajes entrantes o monitoree la actividad sin necesidad de expulsar a la víctima de su sesión de inmediato, lo que retrasa la detección. En otras palabras, no siempre se siente como un “me robaron la cuenta”; a veces se siente como “todo normal”… hasta que ya no.

¿Qué hacer para evitar ser víctima de esta estafa?

La regla de oro es aburrida, pero salva cuentas: nadie de soporte te va a pedir tus códigos, tu PIN o que “verifiques” con urgencia por chat. Si alguien te escribe como supuesto soporte dentro de una app y te pide un dato sensible, trátalo como fraude hasta que se demuestre lo contrario.

En el plano práctico, hay medidas concretas que reducen el riesgo:

Activa Registration Lock (bloqueo de registro), porque añade una capa extra para impedir que otra persona registre tu número sin autorización.



(bloqueo de registro), porque añade una capa extra para impedir que otra persona registre tu número sin autorización. Revisa tus dispositivos vinculados y elimina los que no reconozcas; si el ataque intenta colarse por vinculación, este chequeo puede delatarlo.



Si recibes mensajes insistentes sobre “actividad sospechosa”, corta la conversación y verifica por canales oficiales (sin seguir enlaces ni instrucciones enviadas por ese chat).

El contexto de la advertencia alemana deja una conclusión clara y es que Signal puede ser una herramienta muy útil para privacidad, pero ninguna app te protege si terminas entregando la llave. Y en 2026, esa “llave” suele ser un PIN, un código temporal o un QR que parece inofensivo cuando alguien te mete prisa.

