%3Aquality(100)&w=640&q=75){kind=logo}
El cifrado por sí solo no es una estrategia de seguridad
Las aplicaciones para consumidores carecen de controles de identidad y dispositivos, lo que pone en riesgo los datos confidenciales.
11 de marzo de 2026
·Blog
·Comunicaciones seguras
%3Aquality(100)&w=3840&q=75)
Los servicios de inteligencia holandeses han confirmado lo que los arquitectos de seguridad empresarial saben desde hace tiempo: las aplicaciones de mensajería para consumidores, independientemente de su implementación de cifrado, son estructuralmente inadecuadas para las comunicaciones confidenciales del gobierno y el ejército. La razón no es la criptografía. Es la ausencia total de identidad verificada y de registro controlado de dispositivos.
Una campaña global. Aplicaciones para consumidores. Resultados predecibles.
El 9 de marzo de 2026, el Servicio de Inteligencia y Seguridad Militar (MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos emitieron un advertencia conjunta en el que confirmaban una campaña coordinada a gran escala por parte del Estado ruso para comprometer cuentas en aplicaciones de mensajería de uso general utilizadas por funcionarios gubernamentales, funcionarios públicos, personal militar y periodistas. Se ha confirmado que hay empleados del Gobierno neerlandés entre las víctimas.
El método técnico es preciso y silencioso: ingeniería social, no vulnerabilidades de día cero. Los atacantes se hicieron pasar por los equipos de asistencia de estas plataformas de consumo y se pusieron en contacto directamente con los objetivos con advertencias falsas sobre «actividad sospechosa» o «posibles fugas de datos». Los objetivos que respondieron fueron manipulados para que entregaran los códigos de verificación por SMS y los números PIN, cediendo así el acceso completo a la cuenta sin necesidad de desplegar ni una sola línea de malware.
En una segunda técnica, los atacantes aprovecharon las funciones de vinculación de dispositivos diseñadas para comodidad del usuario, que permiten acceder a las cuentas desde un dispositivo secundario, como un ordenador portátil. Una vez utilizadas de forma indebida, estas funciones permiten acceder a los archivos históricos de mensajes, y las víctimas suelen desconocer que han sido víctimas de un ataque. Ambas técnicas comparten una misma causa fundamental: las aplicaciones de mensajería para consumidores autentican a los usuarios con un número de teléfono y un código. No hay verificación de identidad. No hay registro controlado de dispositivos. La puerta está integrada en el producto.
«A pesar de su opción de cifrado de extremo a extremo, las aplicaciones de mensajería para consumidores no deben utilizarse como canales para información clasificada, confidencial o sensible».
— Vicealmirante Peter Reesink, director del Servicio de Inteligencia Militar neerlandés (MIVD)
La brecha de identidad y dispositivos que nadie quiere nombrar
Esta campaña no rompió el cifrado. No requirió una vulnerabilidad de día cero. Solo necesitó un número de teléfono, un mensaje SMS y un objetivo que no tenía motivos para sospechar que su plataforma de mensajería no tenía forma de verificar quién solicitaba el acceso.
Las aplicaciones de mensajería para consumidores están diseñadas para su adopción en el mercado masivo. La autenticación está diseñada para ser fluida: un número de teléfono, un código SMS de un solo uso y un PIN opcional. El registro de dispositivos es autoservicio: los usuarios pueden vincular dispositivos secundarios escaneando un código QR. Los flujos de recuperación de cuentas existen específicamente para permitir el acceso sin el dispositivo original. Cada una de estas características es una decisión de producto correcta para una aplicación de consumo con mil millones de usuarios. Cada una de ellas es una brecha de seguridad inaceptable en un entorno de comunicaciones clasificadas o sensibles.
Factor de ataque | Detalle |
Vector de ataque | Ingeniería social dirigida a usuarios de aplicaciones de mensajería de consumo mediante la suplantación de identidad en plataformas. |
Método de explotación | Phishing para obtener códigos de verificación SMS y números PIN: credenciales de las que dependen las aplicaciones de consumo por diseño. |
Técnica secundaria | Uso indebido de las funciones de vinculación de dispositivos secundarios mediante códigos QR maliciosos. |
Fallo de raíz | Sin verificación de dispositivos, sin vinculación de identidades, sin control administrativo de sesiones. |
Datos afectados | Sesiones activas, chats grupales y archivos históricos completos de mensajes. |
Dificultad de detección | Alto: las víctimas suelen desconocer que la cuenta se ha vinculado a un dispositivo hostil. |
Agente malicioso | APT respaldadas por el Estado ruso (confirmadas por el MIVD y el AIVD neerlandeses, marzo de 2026) |
No se trata de un incidente aislado. En 2025, Google Threat Intelligence documentó que actores rusos desplegaban tácticas idénticas contra el personal militar ucraniano, incrustando códigos QR maliciosos en páginas de phishing diseñadas para parecerse a aplicaciones militares oficiales. El aviso holandés confirma que estas mismas TTP se están utilizando ahora a gran escala contra objetivos gubernamentales de la OTAN. Entre los actores maliciosos implicados se encuentran APT44 (Sandworm) y UNC5792, que operan bajo la dirección directa del Estado ruso.
La verificación de identidad y dispositivos no son características. Son requisitos previos.
Una implementación de comunicaciones seguras tiene dos capas innegociables. La primera es la seguridad del canal: cifrado de extremo a extremo que protege el contenido de los mensajes en tránsito y en reposo. Las aplicaciones de mensajería para consumidores han resuelto en gran medida esta capa. La segunda capa, la que se explotó en el aviso holandés, es la identidad y la integridad del dispositivo: garantía criptográfica de que la persona que envía un mensaje es quien la organización ha verificado que es, en un dispositivo que la organización controla.
Sin ambas capas, el cifrado de canales es como una puerta cerrada con llave que se ha dejado fuera. La violación holandesa no requirió forzar la cerradura. Solo fue necesario pedirle a alguien que entregara la llave, y un sistema que no tenía forma de saber si la solicitud era legítima.
El requisito de seguridad de dos capas
Capa 1 — Seguridad del canal: cifrado de extremo a extremo con propiedad de claves empresariales. Contenido de los mensajes protegido en tránsito y en reposo, con claves criptográficas que nunca salen del control de la organización.
Capa 2 — Identidad e integridad del dispositivo: identidad del usuario verificada criptográficamente vinculada a un dispositivo gestionado por la empresa. No se permite el registro sin autorización administrativa. No se permite el acceso sin ambos factores presentes.
Las comunicaciones seguras de BlackBerry son el estándar para las misiones críticas.
BlackBerry® Secure Communications se diseñó para cerrar ambas capas. La superficie de ataque explotada en el aviso holandés no existe dentro de la arquitectura de la solución BlackBerry porque las condiciones estructurales que la hicieron posible (inscripción de dispositivos de autoservicio, autenticación basada en SMS, flujos de recuperación de cuentas de consumidores) nunca se introdujeron.
01 | Verificación de identidad criptográfica Capa base Todos los usuarios de BlackBerry Secure Communications se registran con una credencial de identidad criptográfica emitida y gestionada por la empresa. La autenticación no se basa en un número de teléfono ni en un código SMS de un solo uso. No hay ninguna credencial que un atacante pueda suplantar, ya que dicha credencial no existe en la ruta de autenticación. La identidad se verifica en el momento del registro y se vuelve a verificar en cada sesión. |
02 | Inscripción de dispositivos controlados por la empresa Capa base Los dispositivos se registran en BlackBerry Secure Communications únicamente a través de un proceso de aprovisionamiento autorizado por la empresa. Ningún usuario puede registrar por sí mismo un dispositivo secundario. Ningún código QR escaneado fuera del flujo de trabajo de aprovisionamiento puede vincular un dispositivo a una cuenta. Toda la categoría de abuso de vinculación de dispositivos, la segunda técnica utilizada en la campaña holandesa, es estructuralmente imposible. |
03 | Enlace de sesión y certificación continua de dispositivos Capa base Las sesiones activas están vinculadas al dispositivo verificado. Si se sustituye, se pierde o se comporta de forma anómala un dispositivo, la sesión se invalida. La certificación continua garantiza que un dispositivo verificado no pueda sustituirse silenciosamente en mitad de una sesión. Los administradores reciben alertas sobre actividades anómalas del dispositivo y pueden terminar las sesiones de forma remota en tiempo real. |
04 | Cifrado de extremo a extremo con propiedad de claves empresariales Las claves de cifrado se generan y gestionan dentro de los límites de la empresa, no mediante una plataforma de consumo de terceros. No existe ninguna entidad externa de gestión de claves cuyo equipo de asistencia pueda suplantarse, ya que la autoridad de claves nunca sale de la organización. Las organizaciones conservan el control criptográfico total y pueden aplicar políticas de rotación, revocación y auditoría de claves. |
05 | Auditoría administrativa, control de acceso y borrado remoto Cada inscripción, sesión, enlace de dispositivo y evento de acceso se registra y puede ser auditado por los administradores de la empresa. Los controles de acceso basados en roles regulan quién puede comunicarse con quién. Los dispositivos comprometidos o perdidos pueden borrarse de forma remota. El acceso silencioso prolongado que caracterizó la violación de seguridad en los Países Bajos —las víctimas no se dieron cuenta durante días o semanas— es difícil de mantener en un entorno con total visibilidad administrativa. |
06 | Sin dependencia de la infraestructura de nube del consumidor BlackBerry Secure Communications no envía datos a través de la infraestructura de la nube de los consumidores ni de servidores de terceros. Los datos de los mensajes permanecen dentro de los límites de control de la organización. No hay ningún proceso de recuperación de cuentas de consumidores que se pueda usar de forma indebida, ninguna operación de soporte externo que se pueda suplantar y ningún cambio en la política de la plataforma que pueda alterar la postura de seguridad de la organización sin su autorización explícita. |
07 | Criptografía validada según FIPS 140-2 e implementación soberana Para implementaciones gubernamentales y de defensa, BlackBerry Secure Communications es compatible con la criptografía validada por FIPS 140-2 y la implementación local o en la nube soberana. La postura de seguridad está regida por la organización, no por la hoja de ruta del producto o los términos de servicio de una plataforma de consumo. |
El estándar está cambiando. La brecha permanece.
La declaración del director del MIVD es la orientación oficial más clara que ha recibido el sector de la seguridad en años. La mensajería cifrada para consumidores no sustituye a las comunicaciones seguras para empresas. La advertencia neerlandesa no supone un nuevo ataque. Representa el resultado inevitable y previsible de implementar herramientas diseñadas para el uso de los consumidores en entornos que requieren resistencia ante adversidades.
La superficie de ataque no es una vulnerabilidad que se pueda corregir. Es una característica arquitectónica de las aplicaciones de mensajería para consumidores que no se puede eliminar sin destruir la usabilidad que las hace viables como productos de consumo. Las organizaciones que requieren comunicaciones seguras para información clasificada, confidencial o crítica para las operaciones necesitan una plataforma diseñada desde cero para ese requisito, con identidad verificada y registro de dispositivos controlado como capas fundamentales y no opcionales.
Las aplicaciones de mensajería para consumidores cifran el canal. No verifican la identidad de la persona. No controlan el dispositivo. Esas dos lagunas no son casos extremos, sino que constituyen el ataque. La pregunta que debe plantearse toda organización que maneje comunicaciones confidenciales es si esas lagunas son aceptables. Para los empleados del Gobierno neerlandés cuyas cuentas fueron comprometidas en marzo de 2026, la respuesta llegó antes de que se planteara la pregunta.
El cifrado por sí solo no es una estrategia de seguridad
Las aplicaciones para consumidores carecen de controles de identidad y dispositivos, lo que pone en riesgo los datos confidenciales.
11 de marzo de 2026
·Blog
·Comunicaciones seguras
Los servicios de inteligencia holandeses han confirmado lo que los arquitectos de seguridad empresarial saben desde hace tiempo: las aplicaciones de mensajería para consumidores, independientemente de su implementación de cifrado, son estructuralmente inadecuadas para las comunicaciones confidenciales del gobierno y el ejército. La razón no es la criptografía. Es la ausencia total de identidad verificada y de registro controlado de dispositivos.
Una campaña global. Aplicaciones para consumidores. Resultados predecibles.
El 9 de marzo de 2026, el Servicio de Inteligencia y Seguridad Militar (MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos emitieron un advertencia conjunta en el que confirmaban una campaña coordinada a gran escala por parte del Estado ruso para comprometer cuentas en aplicaciones de mensajería de uso general utilizadas por funcionarios gubernamentales, funcionarios públicos, personal militar y periodistas. Se ha confirmado que hay empleados del Gobierno neerlandés entre las víctimas.
El método técnico es preciso y silencioso: ingeniería social, no vulnerabilidades de día cero. Los atacantes se hicieron pasar por los equipos de asistencia de estas plataformas de consumo y se pusieron en contacto directamente con los objetivos con advertencias falsas sobre «actividad sospechosa» o «posibles fugas de datos». Los objetivos que respondieron fueron manipulados para que entregaran los códigos de verificación por SMS y los números PIN, cediendo así el acceso completo a la cuenta sin necesidad de desplegar ni una sola línea de malware.
En una segunda técnica, los atacantes aprovecharon las funciones de vinculación de dispositivos diseñadas para comodidad del usuario, que permiten acceder a las cuentas desde un dispositivo secundario, como un ordenador portátil. Una vez utilizadas de forma indebida, estas funciones permiten acceder a los archivos históricos de mensajes, y las víctimas suelen desconocer que han sido víctimas de un ataque. Ambas técnicas comparten una misma causa fundamental: las aplicaciones de mensajería para consumidores autentican a los usuarios con un número de teléfono y un código. No hay verificación de identidad. No hay registro controlado de dispositivos. La puerta está integrada en el producto.
«A pesar de su opción de cifrado de extremo a extremo, las aplicaciones de mensajería para consumidores no deben utilizarse como canales para información clasificada, confidencial o sensible».
— Vicealmirante Peter Reesink, director del Servicio de Inteligencia Militar neerlandés (MIVD)
La brecha de identidad y dispositivos que nadie quiere nombrar
Esta campaña no rompió el cifrado. No requirió una vulnerabilidad de día cero. Solo necesitó un número de teléfono, un mensaje SMS y un objetivo que no tenía motivos para sospechar que su plataforma de mensajería no tenía forma de verificar quién solicitaba el acceso.
Las aplicaciones de mensajería para consumidores están diseñadas para su adopción en el mercado masivo. La autenticación está diseñada para ser fluida: un número de teléfono, un código SMS de un solo uso y un PIN opcional. El registro de dispositivos es autoservicio: los usuarios pueden vincular dispositivos secundarios escaneando un código QR. Los flujos de recuperación de cuentas existen específicamente para permitir el acceso sin el dispositivo original. Cada una de estas características es una decisión de producto correcta para una aplicación de consumo con mil millones de usuarios. Cada una de ellas es una brecha de seguridad inaceptable en un entorno de comunicaciones clasificadas o sensibles.
Factor de ataque | Detalle |
Vector de ataque | Ingeniería social dirigida a usuarios de aplicaciones de mensajería de consumo mediante la suplantación de identidad en plataformas. |
Método de explotación | Phishing para obtener códigos de verificación SMS y números PIN: credenciales de las que dependen las aplicaciones de consumo por diseño. |
Técnica secundaria | Uso indebido de las funciones de vinculación de dispositivos secundarios mediante códigos QR maliciosos. |
Fallo de raíz | Sin verificación de dispositivos, sin vinculación de identidades, sin control administrativo de sesiones. |
Datos afectados | Sesiones activas, chats grupales y archivos históricos completos de mensajes. |
Dificultad de detección | Alto: las víctimas suelen desconocer que la cuenta se ha vinculado a un dispositivo hostil. |
Agente malicioso | APT respaldadas por el Estado ruso (confirmadas por el MIVD y el AIVD neerlandeses, marzo de 2026) |
No se trata de un incidente aislado. En 2025, Google Threat Intelligence documentó que actores rusos desplegaban tácticas idénticas contra el personal militar ucraniano, incrustando códigos QR maliciosos en páginas de phishing diseñadas para parecerse a aplicaciones militares oficiales. El aviso holandés confirma que estas mismas TTP se están utilizando ahora a gran escala contra objetivos gubernamentales de la OTAN. Entre los actores maliciosos implicados se encuentran APT44 (Sandworm) y UNC5792, que operan bajo la dirección directa del Estado ruso.
La verificación de identidad y dispositivos no son características. Son requisitos previos.
Una implementación de comunicaciones seguras tiene dos capas innegociables. La primera es la seguridad del canal: cifrado de extremo a extremo que protege el contenido de los mensajes en tránsito y en reposo. Las aplicaciones de mensajería para consumidores han resuelto en gran medida esta capa. La segunda capa, la que se explotó en el aviso holandés, es la identidad y la integridad del dispositivo: garantía criptográfica de que la persona que envía un mensaje es quien la organización ha verificado que es, en un dispositivo que la organización controla.
Sin ambas capas, el cifrado de canales es como una puerta cerrada con llave que se ha dejado fuera. La violación holandesa no requirió forzar la cerradura. Solo fue necesario pedirle a alguien que entregara la llave, y un sistema que no tenía forma de saber si la solicitud era legítima.
El requisito de seguridad de dos capas
Capa 1 — Seguridad del canal: cifrado de extremo a extremo con propiedad de claves empresariales. Contenido de los mensajes protegido en tránsito y en reposo, con claves criptográficas que nunca salen del control de la organización.
Capa 2 — Identidad e integridad del dispositivo: identidad del usuario verificada criptográficamente vinculada a un dispositivo gestionado por la empresa. No se permite el registro sin autorización administrativa. No se permite el acceso sin ambos factores presentes.
Las comunicaciones seguras de BlackBerry son el estándar para las misiones críticas.
BlackBerry® Secure Communications se diseñó para cerrar ambas capas. La superficie de ataque explotada en el aviso holandés no existe dentro de la arquitectura de la solución BlackBerry porque las condiciones estructurales que la hicieron posible (inscripción de dispositivos de autoservicio, autenticación basada en SMS, flujos de recuperación de cuentas de consumidores) nunca se introdujeron.
01 | Verificación de identidad criptográfica Capa base Todos los usuarios de BlackBerry Secure Communications se registran con una credencial de identidad criptográfica emitida y gestionada por la empresa. La autenticación no se basa en un número de teléfono ni en un código SMS de un solo uso. No hay ninguna credencial que un atacante pueda suplantar, ya que dicha credencial no existe en la ruta de autenticación. La identidad se verifica en el momento del registro y se vuelve a verificar en cada sesión. |
02 | Inscripción de dispositivos controlados por la empresa Capa base Los dispositivos se registran en BlackBerry Secure Communications únicamente a través de un proceso de aprovisionamiento autorizado por la empresa. Ningún usuario puede registrar por sí mismo un dispositivo secundario. Ningún código QR escaneado fuera del flujo de trabajo de aprovisionamiento puede vincular un dispositivo a una cuenta. Toda la categoría de abuso de vinculación de dispositivos, la segunda técnica utilizada en la campaña holandesa, es estructuralmente imposible. |
03 | Enlace de sesión y certificación continua de dispositivos Capa base Las sesiones activas están vinculadas al dispositivo verificado. Si se sustituye, se pierde o se comporta de forma anómala un dispositivo, la sesión se invalida. La certificación continua garantiza que un dispositivo verificado no pueda sustituirse silenciosamente en mitad de una sesión. Los administradores reciben alertas sobre actividades anómalas del dispositivo y pueden terminar las sesiones de forma remota en tiempo real. |
04 | Cifrado de extremo a extremo con propiedad de claves empresariales Las claves de cifrado se generan y gestionan dentro de los límites de la empresa, no mediante una plataforma de consumo de terceros. No existe ninguna entidad externa de gestión de claves cuyo equipo de asistencia pueda suplantarse, ya que la autoridad de claves nunca sale de la organización. Las organizaciones conservan el control criptográfico total y pueden aplicar políticas de rotación, revocación y auditoría de claves. |
05 | Auditoría administrativa, control de acceso y borrado remoto Cada inscripción, sesión, enlace de dispositivo y evento de acceso se registra y puede ser auditado por los administradores de la empresa. Los controles de acceso basados en roles regulan quién puede comunicarse con quién. Los dispositivos comprometidos o perdidos pueden borrarse de forma remota. El acceso silencioso prolongado que caracterizó la violación de seguridad en los Países Bajos —las víctimas no se dieron cuenta durante días o semanas— es difícil de mantener en un entorno con total visibilidad administrativa. |
06 | Sin dependencia de la infraestructura de nube del consumidor BlackBerry Secure Communications no envía datos a través de la infraestructura de la nube de los consumidores ni de servidores de terceros. Los datos de los mensajes permanecen dentro de los límites de control de la organización. No hay ningún proceso de recuperación de cuentas de consumidores que se pueda usar de forma indebida, ninguna operación de soporte externo que se pueda suplantar y ningún cambio en la política de la plataforma que pueda alterar la postura de seguridad de la organización sin su autorización explícita. |
07 | Criptografía validada según FIPS 140-2 e implementación soberana Para implementaciones gubernamentales y de defensa, BlackBerry Secure Communications es compatible con la criptografía validada por FIPS 140-2 y la implementación local o en la nube soberana. La postura de seguridad está regida por la organización, no por la hoja de ruta del producto o los términos de servicio de una plataforma de consumo. |
El estándar está cambiando. La brecha permanece.
La declaración del director del MIVD es la orientación oficial más clara que ha recibido el sector de la seguridad en años. La mensajería cifrada para consumidores no sustituye a las comunicaciones seguras para empresas. La advertencia neerlandesa no supone un nuevo ataque. Representa el resultado inevitable y previsible de implementar herramientas diseñadas para el uso de los consumidores en entornos que requieren resistencia ante adversidades.
La superficie de ataque no es una vulnerabilidad que se pueda corregir. Es una característica arquitectónica de las aplicaciones de mensajería para consumidores que no se puede eliminar sin destruir la usabilidad que las hace viables como productos de consumo. Las organizaciones que requieren comunicaciones seguras para información clasificada, confidencial o crítica para las operaciones necesitan una plataforma diseñada desde cero para ese requisito, con identidad verificada y registro de dispositivos controlado como capas fundamentales y no opcionales.
Las aplicaciones de mensajería para consumidores cifran el canal. No verifican la identidad de la persona. No controlan el dispositivo. Esas dos lagunas no son casos extremos, sino que constituyen el ataque. La pregunta que debe plantearse toda organización que maneje comunicaciones confidenciales es si esas lagunas son aceptables. Para los empleados del Gobierno neerlandés cuyas cuentas fueron comprometidas en marzo de 2026, la respuesta llegó antes de que se planteara la pregunta.
%3Aquality(100)&w=3840&q=75)