Els serveis d’intel·ligència dels Països Baixos (MIVD i AIVD) han publicat un avís de ciberseguretat el març del 2026 en el qual adverteixen d’una ofensiva a gran escala d’actors estatals russos dirigida a funcionaris, militars i personalitats rellevants.

Segons l’informe del Servei d’Intel·ligència i Seguretat de Defensa (MIVD) i del Servei General d’Intel·ligència i Seguretat (AIVD) dels Països Baixos, agents vinculats a l’estat rus estan duent a terme una campanya mundial per comprometre comptes de les aplicacions de missatgeria Signal i WhatsApp. Entre els objectius identificats hi ha diplomàtics, funcionaris públics, personal militar i, presumiblement, periodistes. L’informe confirma que empleats del govern neerlandès ja n’han estat víctimes.

Com funcionen els atacs

Els serveis neerlandesos descriuen dos mètodes principals d’atac, tots dos basats en enginyeria social i no en vulnerabilitats tècniques de les pròpies aplicacions:

El primer consisteix en la suplantació del servei de suport de Signal. La víctima rep un missatge d’un suposat “Signal Security Support Chatbot” que l’alerta d’una activitat sospitosa al seu compte i li sol·licita un codi de verificació i el PIN personal. Amb aquestes dades, l’actor pren el control total del compte i el vincula a un número de telèfon propi, cosa que deixa la víctima sense accés.

El segon mètode consisteix en l’ús de codis QR i enllaços maliciosos. L’actor envia un codi QR o un enllaç amb el pretext d’afegir la víctima a un grup de xat, però en realitat el que fa és vincular el seu propi dispositiu al compte de la víctima. Això li permet llegir tots els missatges —inclòs l’historial— i fins i tot enviar missatges en nom de la víctima, mentre aquesta no nota res anormal.

Recomanacions per protegir-se

L’informe subratlla que les aplicacions de missatgeria no són adequades per transmetre informació delicada o classificada. A més, recomana diverses mesures preventives: revisar regularment la llista de dispositius vinculats al compte, activar el bloqueig de registre (Registration Lock) a Signal, no compartir mai codis de verificació ni el PIN, ignorar invitacions a grups de desconeguts i activar la funció de missatges que desapareixen automàticament.

Els serveis adverteixen també que Signal no té mecanismes centralitzats per recuperar un compte compromès, de manera que la pèrdua d’accés pot ser irreversible. En cas de sospita de compromís, cal avisar tots els contactes a través d’un altre canal —correu electrònic o telèfon— i notificar-ho al responsable de seguretat de l’organització.

Una amenaça que va més enllà dels governs

Tot i que la campanya se centra en objectius governamentals i militars, l’avís recorda que qualsevol persona d’interès per als serveis russos —incloent-hi periodistes i activistes— pot ser un objectiu. Els serveis holandesos emfatitzen que no és Signal ni WhatsApp el que ha estat compromès, sinó comptes individuals d’usuaris, cosa que fa que la responsabilitat de la protecció recaigui en bona part en els mateixos usuaris.

Font: MIVD | AIVD, Cybersecurity Advisory — “Phishing via messaging apps Signal and WhatsApp”, març del 2026. Document classificat TLP:CLEAR (distribució sense restriccions).