Por Canuto Una nueva alerta del FBI apunta a una campaña de ciberespionaje atribuida a hackers vinculados al gobierno iraní, quienes habrían usado Telegram como canal de mando y control para robar archivos, tomar capturas de pantalla y grabar llamadas de Zoom a disidentes, periodistas y grupos opositores en distintas partes del mundo.
***
- El FBI aseguró que atacantes ligados al Ministerio de Inteligencia y Seguridad de Irán usan Telegram para controlar equipos infectados.
- Las víctimas son engañadas mediante enlaces maliciosos que se hacen pasar por apps legítimas como Telegram y WhatsApp.
- La alerta también menciona a Handala y Homeland Justice, dos grupos que Washington vincula con el MOIS.
El Buró Federal de Investigaciones de Estados Unidos advirtió sobre una campaña de malware atribuida a hackers del gobierno iraní que estaría usando Telegram como herramienta para robar información sensible a disidentes, grupos de oposición y periodistas críticos del régimen en distintas partes del mundo.
La advertencia describe una operación en dos etapas. Primero, los atacantes se acercan a sus objetivos haciéndose pasar por un contacto conocido o por personal de soporte técnico. Luego persuaden a la víctima para abrir un enlace hacia un archivo malicioso que aparenta ser una aplicación legítima, entre ellas Telegram o WhatsApp.
Una vez instalado el malware, la segunda fase conecta el equipo comprometido con bots de Telegram. Ese mecanismo permite a los operadores tomar control remoto de la computadora, extraer archivos, capturar pantallas y grabar llamadas de Zoom, según detalló el FBI en la alerta publicada el viernes.
El caso, reportado por TechCrunch, vuelve a poner el foco sobre una práctica conocida en ciberseguridad. El uso de servicios de mensajería populares como canal de mando y control ayuda a mezclar actividad maliciosa con tráfico ordinario de red, lo que complica la detección por parte de defensores y herramientas antimalware.
Cómo operaría la campaña señalada por el FBI
La alerta indica que el engaño inicial depende de la suplantación de confianza. Los atacantes no solo aparentan ser un contacto legítimo, sino que también se presentan como soporte técnico, una táctica frecuente en operaciones de espionaje digital porque reduce la sospecha del objetivo y acelera la instalación del archivo malicioso.
Ese archivo se hace pasar por software reconocido. En este caso, las aplicaciones imitadas incluyen Telegram y WhatsApp, dos plataformas con uso masivo y presencia global. La elección no parece casual, ya que un archivo que aparenta ser una app habitual puede resultar más creíble en entornos donde la comunicación segura es crítica para activistas y periodistas.
Después de la infección, el malware enlaza el dispositivo a bots de Telegram administrados por los atacantes. Desde allí, los operadores pueden impartir instrucciones remotas y vigilar a la víctima. El FBI afirmó que esta capacidad incluye el robo de archivos, la toma de capturas de pantalla y la grabación de llamadas realizadas por Zoom.
El alcance de esas funciones sugiere una operación orientada al espionaje y la recopilación de inteligencia, más que a la disrupción inmediata. Para sectores como periodistas, opositores y grupos disidentes, ese tipo de acceso puede exponer fuentes, comunicaciones privadas, documentos sensibles y rutinas personales.
Por qué Telegram aparece en este tipo de ataques
En ciberseguridad, el abuso de plataformas legítimas para encubrir operaciones maliciosas no es nuevo. Cuando el tráfico hacia una app es normal en una organización o en un hogar, distinguir entre uso ordinario y uso hostil se vuelve más difícil. Esa es una de las razones por las que servicios de mensajería, almacenamiento o colaboración suelen ser aprovechados como infraestructura de apoyo por actores maliciosos.
En este caso, el FBI explicó que Telegram habría sido usado como mecanismo para controlar a distancia los dispositivos comprometidos. La ventaja técnica para los atacantes es que las comunicaciones con la plataforma pueden parecer legítimas desde la perspectiva de muchas herramientas defensivas, reduciendo la probabilidad de que la actividad destaque de inmediato.
Esto no implica que la plataforma en sí misma haya participado en la campaña. De hecho, ni el FBI ni la empresa ofrecieron comentarios adicionales más allá de la alerta conocida públicamente. Sin embargo, el episodio refleja un desafío recurrente para compañías tecnológicas cuyos servicios pueden ser reutilizados por terceros con fines ilícitos.
Para el lector no especializado, conviene distinguir entre una app usada por millones de personas y el uso encubierto que un atacante puede hacer de su infraestructura. La noticia se enfoca en esta segunda dimensión: cómo una herramienta legítima puede convertirse en una capa de camuflaje para un esquema de espionaje.
El vínculo con el MOIS y el contexto geopolítico
Según el FBI, los responsables de la campaña trabajarían para el Ministerio de Inteligencia y Seguridad de Irán, conocido como MOIS por sus siglas en inglés. La agencia estadounidense presentó los ataques como un ejemplo de los intentos del aparato de ciberoperaciones iraní de promover la “agenda geopolítica” del régimen.
La alerta también mencionó a Handala, un supuesto grupo hacktivista proiraní y propalestino. No obstante, no quedó claro si los ataques descritos en esta advertencia específica fueron ejecutados por ese grupo. Aun así, su inclusión sugiere que Washington ve una relación relevante entre estas campañas y estructuras ya observadas en incidentes recientes.
A comienzos de este mes, Handala se atribuyó un ataque contra el gigante de tecnología médica Stryker. Ese incidente derivó en el borrado de decenas de miles de dispositivos de empleados. En una presentación 8-K ante la Comisión de Bolsa y Valores de Estados Unidos, la empresa dijo el lunes que seguía recuperándose del hackeo.
La semana pasada, el Departamento de Justicia de Estados Unidos acusó a Handala de ser una fachada del gobierno iraní, específicamente del MOIS, y de estar detrás del ataque a Stryker. En paralelo, el FBI desmanteló e incautó dos sitios web vinculados a Handala y otros dos relacionados con otro grupo hacktivista iraní llamado Homeland Justice.
En la alerta más reciente, el FBI sostuvo que ambos grupos están vinculados y controlados por el MOIS. Esa afirmación refuerza la tesis de que algunas marcas presentadas como hacktivismo independiente en realidad podrían funcionar como coberturas de operaciones estatales con fines de influencia, presión o espionaje.
Implicaciones para la seguridad digital
Más allá de la atribución geopolítica, el episodio sirve como recordatorio de una amenaza práctica y cotidiana. Los ataques comienzan con ingeniería social, no con exploits sofisticados visibles para la víctima. El usuario recibe un mensaje creíble, abre un enlace y ejecuta un archivo que parece conocido. En ese punto, la seguridad depende tanto de la higiene digital como de la tecnología.
Para periodistas, activistas y organizaciones de la sociedad civil, el riesgo es especialmente alto porque su trabajo suele involucrar comunicaciones delicadas, fuentes humanas y archivos sensibles. Un acceso remoto capaz de tomar pantallas y grabar videollamadas puede comprometer no solo información, sino también redes enteras de contactos.
También existe una lectura más amplia para empresas y equipos de ciberseguridad. Si un actor hostil puede usar bots de una plataforma popular para operar malware, entonces la vigilancia del tráfico saliente y el análisis contextual se vuelven tan importantes como el bloqueo de archivos maliciosos en la fase inicial del ataque.
TechCrunch informó que ni el FBI ni Telegram respondieron a solicitudes adicionales de comentarios. Aun así, la información disponible dibuja una campaña con objetivos políticos claros, un método de intrusión centrado en el engaño y un uso táctico de servicios legítimos para dificultar la detección.
La advertencia llega en un momento en que las fronteras entre hacktivismo, espionaje y operaciones estatales son cada vez menos nítidas. En ese entorno, los nombres de grupos como Handala o Homeland Justice importan menos que la estructura que presuntamente los dirige y las capacidades operativas que logran desplegar.
Para los usuarios, la lección inmediata es concreta. Desconfiar de enlaces enviados incluso por supuestos conocidos, verificar canales de soporte y evitar instalar archivos fuera de fuentes oficiales sigue siendo una de las defensas más efectivas frente a campañas que combinan manipulación psicológica y malware de control remoto.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Hardware
La IA acelera su avance global mientras chips, robots y energía tensan la economía tecnológica
Empresas
Elon Musk revela TERAFAB mientras la IA acelera una carrera global por chips, datos y poder
Empresas
Nvidia proyecta USD $1 billón en ingresos para 2027 mientras Anthropic gana terreno a OpenAI
Empresas