Ciberdelincuentes usan WhatsApp Desktop para robar información

(Financiero News–Panamá) El uso de WhatsApp como canal para compartir información laboral o institucional confidencial se ha convertido en una nueva puerta de entrada para ciberamenazas dirigidas.

De acuerdo con el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, a inicios de 2025 se detectó una campaña del grupo “Mysterious Elephant”, clasificado como Amenaza Persistente Avanzada (APT), enfocada en infiltrarse en redes institucionales y gubernamentales con el fin de robar documentos, imágenes, archivos comprimidos y otros datos compartidos mediante la versión de escritorio o web de la aplicación de mensajería.

La investigación aclara que los atacantes no vulneran los servidores ni la aplicación de WhatsApp en sí, sino que comprometen los equipos de las víctimas —computadores de trabajo o personales— desde los cuales localizan y extraen archivos enviados o recibidos. Este tipo de filtraciones fuera de los canales corporativos puede tener consecuencias profundas: comprometen la seguridad de la información, afectan la reputación institucional y exponen a las organizaciones a pérdidas económicas y daños de confianza difíciles de revertir.

El informe detalla que Mysterious Elephant ha evolucionado en sus tácticas y herramientas, combinando el desarrollo de software propio con componentes de código abierto modificados. Para acceder inicialmente a las redes, los atacantes emplean técnicas de ingeniería social, como correos electrónicos personalizados o documentos infectados con malware, capaces de descargar cargas maliciosas al abrirse. Una vez dentro del sistema, el grupo utiliza cadenas de herramientas que les permiten escalar privilegios, desplazarse entre equipos y extraer información de manera silenciosa.

Entre las técnicas detectadas destaca el uso de PowerShell, una herramienta legítima de Windows aprovechada para ejecutar órdenes sin levantar sospechas. Estos scripts se comunican con servidores controlados por los delincuentes, manteniendo el acceso remoto y dificultando la detección. Una de las herramientas clave, llamada BabShell, actúa como una puerta de acceso directa entre el computador afectado y los atacantes, permitiéndoles recopilar datos básicos del usuario, ejecutar programas y controlar el sistema a distancia.

BabShell también sirve como punto de activación para componentes más avanzados, como MemLoader HidenDesk, capaz de ejecutar código dañino directamente en la memoria del sistema sin dejar rastros visibles. Este tipo de técnicas permite a los atacantes permanecer ocultos durante largos periodos, consolidando su control sobre las redes comprometidas.

“La operación de este grupo está diseñada para pasar desapercibida y mantenerse activa incluso cuando se intenta detenerla. Su infraestructura cambia constantemente, se adapta con rapidez y complica el rastreo por parte de los equipos de seguridad”, explicó Fabio Assolini, director de Investigación y Análisis para América Latina en Kaspersky. “El verdadero riesgo no es solo el robo de información, sino la pérdida de control y visibilidad sobre lo que ocurre dentro del entorno digital de una institución. Al usar canales cotidianos como las aplicaciones de mensajería, los atacantes se mimetizan con el tráfico habitual y extraen datos sin generar alertas”.

Kaspersky advierte que las organizaciones deben reforzar sus prácticas de seguridad digital y adoptar políticas estrictas sobre el intercambio de información confidencial.

La creciente sofisticación de campañas como la de Mysterious Elephant evidencia que los ciberataques evolucionan al ritmo del uso digital cotidiano. En un entorno donde las comunicaciones laborales se mezclan con plataformas personales, la seguridad ya no depende solo de la tecnología, sino también de la conciencia y disciplina digital de cada usuario.