El pasado martes, el reconocido activista iraní Nariman Gharib, radicado en el Reino Unido, encendió las alarmas en el ecosistema de la ciberseguridad. A través de sus redes sociales, compartió capturas de pantalla de un enlace malicioso que recibió mediante un mensaje directo.
Su advertencia fue tajante: “No hagas clic en enlaces sospechosos”. Gharib, quien monitoriza meticulosamente el pulso digital de las protestas en Irán desde el exterior, identificó que esta ofensiva no era un evento aislado, sino una operación dirigida específicamente a individuos con un alto perfil en actividades relacionadas con la situación política iraní.
Esta ofensiva cibernética se manifiesta en un contexto crítico, mientras Irán enfrenta el apagón de internet más prolongado de su historia reciente, con protestas antigubernamentales y una represión violenta que se extiende por todo el territorio.
Dado que tanto el gobierno iraní como sus adversarios regionales son actores sumamente activos en el ciberespacio ofensivo, se han propuesto a investigar a fondo los mecanismos técnicos detrás de este incidente. Poco después de su denuncia pública, Gharib facilitó el enlace completo de la estafa, lo que permitió capturar y analizar el código fuente de la página de destino.
Tras un análisis exhaustivo de dicho código y con la colaboración de investigadores de seguridad de primer nivel, se ha determinado que esta campaña de phishing en WhatsApp tenía objetivos múltiples y alarmantes: el robo de credenciales de Gmail, el secuestro de cuentas de mensajería y la ejecución de vigilancia en tiempo real mediante el acceso a la ubicación, fotografías y grabaciones de audio de las víctimas.
Tabla de Contenidos
El origen de la brecha y el análisis del código malicioso
Nuestra investigación nos permitió identificar una vulnerabilidad crítica, pero no en los usuarios, sino en la infraestructura de los propios atacantes. Descubrimos que el servidor donde se almacenaban las respuestas de las víctimas estaba expuesto y era accesible sin necesidad de contraseña.
Esta falta de higiene operativa por parte de los hackers nos ofreció una ventana sin precedentes a la magnitud del ataque. Logramos visualizar en tiempo real cómo decenas de personas introducían involuntariamente sus datos privados en el sitio fraudulento. La lista de afectados es diversa y denota una selección estratégica de objetivos. Entre las víctimas identificadas se encuentran:
-
Un académico de Oriente Medio especializado en estudios de seguridad nacional.
-
El director ejecutivo de una empresa israelí fabricante de drones.
-
Un alto ministro del gabinete libanés.
-
Periodistas de renombre y ciudadanos residentes en los Estados Unidos.
El proceso de infección comenzaba con un mensaje que contenía un enlace aparentemente inofensivo. Los atacantes recurrieron a DuckDNS, un proveedor de DNS dinámico, para gestionar su infraestructura. Esta herramienta permite asociar subdominios fáciles de recordar a direcciones IP que cambian con frecuencia, lo que facilita la evasión de sistemas de detección automatizados.
Aunque se han en contacto con los responsables de DuckDNS, estos se limitaron a solicitar un informe formal de abuso, dejando en el aire si la desactivación del sitio fue por su intervención o por decisión de los atacantes.
La infraestructura oculta tras el engaño de la campaña de phishing en WhatsApp
El uso de DuckDNS tenía como objetivo principal enmascarar la ubicación real de la página de phishing, intentando simular la apariencia de un enlace legítimo de la plataforma de mensajería. Sin embargo, se pudo rastrear que el sitio estaba alojado originalmente bajo el dominio alex-fabow.online, registrado a principios de noviembre de 2025.
Este dominio formaba parte de una red más amplia de servidores dedicados que seguían un patrón sospechoso, sugiriendo que la campaña de phishing en WhatsApp también se expandió para suplantar servicios de videoconferencia mediante dominios como meet-safe.online y whats-login.online.
Métodos de infiltración: del robo de Gmail al secuestro de cuentas
Dependiendo del perfil del objetivo y del dispositivo utilizado, el enlace malicioso desplegaba diferentes flujos de ataque. En algunos casos, se presentaba una página de inicio de sesión de Gmail falsa que solicitaba no solo la contraseña, sino también el código de autenticación de dos factores (2FA). Al analizar los registros expuestos, se hallaron más de 850 entradas de información sensible.
Estos registros funcionaban como un registrador de pulsaciones (keylogger), capturando cada intento, incluso aquellos donde el usuario cometía errores ortográficos antes de introducir la clave correcta.
Además de las credenciales, los atacantes recolectaban el “user agent” de cada víctima, un fragmento de texto que revela el sistema operativo y la versión del navegador. Esto confirma que la campaña fue diseñada con una precisión multiplataforma, optimizada para comprometer dispositivos Windows, macOS, iPhone y Android por igual.
El peligro del secuestro de sesiones mediante códigos QR
Para aquellos usuarios que no caían en la trampa de Gmail, los atacantes utilizaban un señuelo basado en la función de vinculación de dispositivos. Al abrir el enlace, se mostraba una interfaz con la estética oficial de la aplicación y un código QR. El pretexto era invitar al usuario a una supuesta “sala de reuniones virtual”.
Si la víctima escaneaba el código con su teléfono, permitía instantáneamente que el atacante vinculara la cuenta de la víctima a un dispositivo bajo su control. Esta técnica, aunque conocida en el ámbito de la ciberseguridad, sigue siendo extremadamente efectiva para acceder a historiales de mensajes y contactos sin levantar sospechas inmediatas.
¿Estado o crimen organizado?: el enigma de la autoría en esta campaña de phishing en WhatsApp
Determinar quién está detrás de una operación de este calibre es siempre un desafío complejo. No obstante, las evidencias técnicas y el contexto político nos ofrecen pistas valiosas. Por un lado, la naturaleza de los objetivos (académicos, políticos y periodistas) sugiere una operación de espionaje estatal.
Grupos vinculados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) tienen un largo historial de ataques de spear-phishing similares, utilizando ingeniería social para infiltrarse en círculos diplomáticos y de defensa.
Sin embargo, hay matices que complican esta atribución. El interés por obtener acceso a la ubicación constante del dispositivo, así como la activación de la cámara y el micrófono para capturar ráfagas de audio y fotos cada pocos segundos, es una táctica de vigilancia intrusiva que encaja con el espionaje político, pero también podría ser utilizada por cibercriminales avanzados para extorsión financiera.
Expertos en amenazas digitales señalan que el gobierno iraní ha externalizado frecuentemente sus operaciones de hackeo a grupos criminales para mantener una negación plausible. El hecho de que algunos dominios fueran creados meses antes de las protestas actuales indica una preparación previa de la infraestructura, lo que refuerza la teoría de una operación sostenida en el tiempo y no de un ataque oportunista.
Hacia una cultura de resistencia digital preventiva
La seguridad absoluta en la red es un mito, pero la prevención es nuestra herramienta más poderosa. Este incidente subraya que incluso las herramientas de seguridad más robustas, como la autenticación de dos factores, pueden verse comprometidas si caemos en la trampa de la ingeniería social.
Nosotros, como usuarios conscientes, debemos entender que el eslabón más débil siempre será la curiosidad o la urgencia provocada por un mensaje inesperado. Es imperativo que, ante cualquier solicitud de escaneo de códigos QR o ingreso de credenciales en sitios externos, verifiquemos la autenticidad de la fuente por canales secundarios.
La vigilancia digital no es solo una preocupación de activistas o políticos; en un mundo interconectado, la integridad de nuestra identidad digital es la primera línea de defensa contra la represión y el crimen.
1
0
Average Rating