- Campaña de phishing en Signal dirigida a ministros, parlamentarios y altos cargos en Alemania y otros países europeos.
- Hasta 300 cuentas de políticos habrían sido comprometidas mediante falsos avisos de seguridad y supuestos mensajes de soporte.
- Las autoridades alemanas investigan posibles delitos de espionaje y señalan a Rusia como principal sospechosa.
- Los atacantes habrían accedido a chats, archivos y contactos, generando dudas sobre la integridad de las comunicaciones oficiales.
Las autoridades alemanas han encendido todas las alarmas ante una gran campaña de phishing en la aplicación Signal que ha puesto en el punto de mira a altos funcionarios, parlamentarios y personal militar. La investigación, abierta a nivel federal, se centra en una operación de ciberespionaje que habría permitido a los atacantes tomar el control de cientos de cuentas de mensajería cifrada utilizadas por responsables políticos.
En pleno contexto de tensiones con Moscú y de incremento de las amenazas híbridas en Europa, las miradas del Gobierno alemán y de los servicios de inteligencia se dirigen a Rusia como posible origen de los ataques. Aunque la atribución formal aún está en marcha, la magnitud del incidente y su foco en figuras clave de la administración y del Parlamento han elevado el asunto al más alto nivel político.
Investigación federal en Alemania por ciberespionaje en Signal
Desde mediados de febrero de 2026, la Fiscalía Federal alemana lleva a cabo una investigación preliminar para esclarecer el alcance y la autoría de los ciberataques contra usuarios de Signal. El caso se instruye bajo la sospecha de posible espionaje, una calificación que ya da idea de la gravedad del incidente para la seguridad del Estado.
Un portavoz del Gobierno confirmó que la hipótesis principal de trabajo sitúa a Rusia detrás de la campaña de phishing, si bien los fiscales han evitado por ahora citar oficialmente a un país concreto en sus comunicados. La línea de investigación se enmarca en un patrón más amplio de ciberoperaciones hostiles detectadas desde la invasión rusa de Ucrania en 2022.
Paralelamente, los servicios de inteligencia interior (BfV) y la autoridad federal de ciberseguridad (BSI) habían emitido ya en febrero avisos sobre una ofensiva de phishing en Signal, advirtiendo especialmente a cargos públicos y a personal con acceso a información sensible. Estas alertas previas encajan ahora con los datos que están saliendo a la luz sobre el volumen real de cuentas afectadas.
La apertura de diligencias por espionaje no solo busca identificar a los responsables, sino también determinar si se ha producido filtración de información clasificada o de alto valor político y diplomático. Esta vertiente es especialmente delicada, dado el uso generalizado de aplicaciones de mensajería cifrada en la comunicación cotidiana de ministros, asesores y parlamentarios.
Según fuentes gubernamentales citadas por medios locales, la campaña de phishing habría sido técnicamente detenida, pero las autoridades siguen rastreando sus efectos, incluidos posibles movimientos posteriores de los atacantes una vez obtuvieron acceso a las cuentas comprometidas.
Método del ataque: falsos avisos de seguridad y suplantación del soporte de Signal
El modus operandi detectado en Alemania sigue un patrón similar al observado en otras operaciones de ciberespionaje recientes: los atacantes se hicieron pasar por un supuesto “chatbot de seguridad” o por el equipo de soporte oficial de Signal. El objetivo era ganarse la confianza de las víctimas y empujarlas a entregar sus credenciales o códigos de verificación.
Los mensajes fraudulentos advertían de actividad sospechosa o intentos de acceso no autorizados en la cuenta de Signal del usuario. A continuación, se instaba a la persona afectada a actuar con rapidez para “proteger” su cuenta y proteger su número de teléfono, lo que en la práctica abría la puerta al secuestro del perfil.
Entre las instrucciones más habituales figuraban introducir un PIN de verificación o escanear un código QR que, en realidad, vinculaba la cuenta a un dispositivo controlado por los atacantes. Una vez completado ese proceso, los ciberdelincuentes podían tomar el control total del perfil en Signal.
Con la cuenta ya comprometida, los hackers obtenían acceso al historial de chats, a las conversaciones en tiempo real y a las libretas de direcciones asociadas. También era posible descargar fotos, documentos y otros archivos compartidos, además de identificar nuevas potenciales víctimas entre los contactos de altos cargos.
Otro aspecto especialmente preocupante para los servicios de seguridad es que, tras apoderarse de las cuentas, los atacantes podían hacerse pasar por la persona suplantada en sus grupos y chats individuales. Esto abre la posibilidad de difundir mensajes falsos, manipular conversaciones sensibles o lanzar nuevas rondas de phishing desde perfiles aparentemente fiables.
Alcance del incidente: cientos de cuentas políticas bajo sospecha
La revista alemana Der Spiegel y otras cabeceras europeas han desvelado que alrededor de 300 cuentas de Signal pertenecientes a políticos y altos funcionarios habrían sido comprometidas en el marco de esta campaña. Aunque el Gobierno no ha facilitado un número oficial, las filtraciones apuntan a un impacto significativo en la clase política alemana.
Entre los objetivos figurarían legisladores de distintos partidos, el presidente del Bundestag y un alto cargo del partido CDU del canciller Friedrich Merz, según fuentes citadas en la prensa alemana. También se habrían visto afectados funcionarios públicos, diplomáticos e incluso periodistas que utilizan Signal para proteger sus comunicaciones.
Konstantin von Notz, diputado y vicepresidente del comité parlamentario de supervisión de los servicios de inteligencia, calificó la situación de “extremadamente preocupante” y advirtió de que el número real de afectados probablemente será mayor. A su juicio, el “número de casos no denunciados seguirá aumentando en los próximos días”.
Esta incertidumbre ha disparado las dudas sobre si la integridad de las comunicaciones de los parlamentarios y otros altos cargos sigue realmente garantizada. Aunque Signal ofrece un cifrado de extremo a extremo robusto, el ataque no ha ido contra la tecnología en sí, sino contra el eslabón humano, explotando la confianza de los usuarios.
En respuesta a la gravedad del caso, las autoridades han comenzado a contactar personalmente con numerosos políticos para alertarles del riesgo, proporcionarles pautas de seguridad y revisar posibles brechas. La prioridad ahora es detectar cualquier indicio de uso malicioso de la información obtenida.
Aumento de la presión cibernética rusa sobre Europa
El episodio encaja en un contexto más amplio en el que Alemania y otros países europeos denuncian un incremento constante de ciberataques, operaciones de desinformación y campañas de espionaje atribuidas a actores vinculados a Rusia desde 2022. Berlín, que se ha convertido en el mayor proveedor europeo de ayuda militar a Kiev, se considera un objetivo prioritario.
En febrero, los servicios de inteligencia de Países Bajos se unieron a las advertencias alemanas, poniendo sobre la mesa la existencia de una campaña cibernética global atribuida a hackers rusos contra dignatarios y funcionarios públicos. Esa coincidencia de avisos refuerza la tesis de un patrón coordinado de acciones en varios países de la UE.
En el caso alemán, este nuevo ataque se suma a otros incidentes notables, como el hackeo de los sistemas informáticos del Bundestag y de la oficina de la entonces canciller Angela Merkel en 2015, que también fueron vinculados por las autoridades a grupos de ciberespionaje cercanos al Kremlin.
Moscú, por su parte, ha negado de forma reiterada estar detrás de estas actividades y rechaza las acusaciones de espionaje y sabotaje digital. La embajada rusa en Berlín no ha respondido a las peticiones de comentario sobre los ataques en Signal, manteniendo la misma línea de silencio que en otros casos similares.
Como reflejo del clima de tensión diplomática, el embajador alemán en Rusia, Alexander Graf Lambsdorff, fue convocado por el Ministerio de Exteriores ruso en relación con supuestos contactos entre políticos alemanes y organizaciones calificadas de terroristas por Moscú. Aunque no se ha establecido un vínculo directo con la campaña en Signal, el episodio ilustra el deterioro de las relaciones bilaterales.
Impacto en la confianza digital y retos para la ciberseguridad europea
La ofensiva de phishing llega en un momento en el que muchos cargos públicos, periodistas y activistas habían apostado por Signal como alternativa más privada frente a otras plataformas. El cambio se aceleró después de que WhatsApp anunciase que compartiría determinados metadatos con su matriz Meta, lo que generó un trasvase de usuarios hacia servicios con un modelo sin ánimo de lucro y mayor énfasis en la privacidad.
Este incidente pone de relieve que, aun utilizando aplicaciones con cifrado robusto, la seguridad global de las comunicaciones depende también del comportamiento de los usuarios. Un simple descuido al pulsar en un enlace o al facilitar un código de verificación puede anular las capas técnicas de protección diseñadas por los desarrolladores.
Para las instituciones europeas, el caso supone un toque de atención sobre la necesidad de reforzar los protocolos de uso de aplicaciones de mensajería en entornos gubernamentales. No se trata solo de elegir herramientas seguras, sino de establecer normas claras sobre cómo gestionar códigos, enlaces y supuestos avisos de seguridad.
En Alemania, los servicios de inteligencia y la autoridad de ciberseguridad han intensificado las campañas de concienciación dirigidas específicamente a parlamentarios, asesores y personal de alto nivel, un colectivo que por su exposición mediática y política resulta especialmente atractivo para los atacantes.
Más allá del caso alemán, la Unión Europea enfrenta el reto de coordinar mejor la respuesta ante este tipo de ciberamenazas transfronterizas. El intercambio rápido de información entre servicios de inteligencia, equipos de respuesta a incidentes (CERT) y autoridades nacionales resulta clave para detectar patrones y frenar nuevas oleadas de ataques.
Todo apunta a que la campaña de phishing en Signal contra altos funcionarios se convertirá en un caso de estudio sobre cómo los actores estatales o respaldados por Estados explotan las herramientas digitales más seguras a través de la ingeniería social. El episodio deja al descubierto puntos débiles en la cultura de seguridad digital de las élites políticas europeas y obliga a replantear prácticas que hasta ahora se consideraban razonablemente seguras.
La combinación de un volumen significativo de cuentas afectadas, la posible implicación de un actor estatal y la sensibilidad de las comunicaciones comprometidas hace que este ataque de phishing en Signal se sitúe ya entre los incidentes de ciberseguridad más delicados para Alemania y sus socios europeos en los últimos años, reforzando la sensación de que la batalla por la seguridad digital de las instituciones se juega tanto en los sistemas como en la forma de usarlos.