¿Un amigo te envió un enlace extraño por Telegram? Lamentablemente, ya no es tu amigo.
Los servicios de inteligencia iraníes ya pueden interceptar mensajes privados y escuchar llamadas.
La Oficina Federal de Investigación de EE. UU. ha revelado detalles de una campaña cibernética atribuida a estructuras del Ministerio de Inteligencia y Seguridad de Irán (MOIS). Los ataques no se realizan de forma directa, sino mediante herramientas habituales: los atacantes convirtieron Telegram en un canal de control de malware y lo usan para vigilar y robar datos de objetivos seleccionados en todo el mundo.
Según la Oficina, las operaciones comenzaron al menos en el otoño de 2023 y afectaron primero a disidentes iraníes, periodistas y miembros de organizaciones cuyas posturas difieren de las autoridades de Irán. Al mismo tiempo, las herramientas permiten atacar prácticamente a cualquier persona que entre en el campo de interés de los servicios de inteligencia. La base de la campaña fue un código malicioso multietapa para Windows que, tras la infección, otorga acceso remoto al dispositivo.
Los atacantes operan mediante ingeniería social. Contactan por mensajería, se hacen pasar por conocidos o por personal de soporte técnico y convencen de instalar un archivo. Los programas maliciosos se disfrazan como servicios populares como KeePass, WhatsApp o Telegram. Al ejecutarse, el sistema se conecta de forma imperceptible a un bot de control en Telegram, a través del cual se realiza el control posterior y la recopilación de información.
La segunda etapa se consolida en el sistema y garantiza acceso persistente. Con ella, los operadores pueden grabar la pantalla y el audio, copiar archivos, comprimir datos con contraseña y enviarlos a servidores vinculados a Telegram. En casos aislados, los módulos maliciosos se activaron durante llamadas de Zoom, registrando conversaciones y lo que ocurría en la pantalla.
La Oficina presta atención especial al grupo Handala, que en el verano de 2025 declaró haber llevado a cabo una serie de ataques con publicación de datos robados. Parte de ese material, según la agencia, se obtuvo mediante el malware descrito. Se relaciona al grupo con otro proyecto, Homeland Justice, que también actúa en interés de los servicios de inteligencia iraníes.
La táctica combina ataques técnicos y presión informativa. Los datos robados pueden ser alterados o publicados selectivamente a través de canales controlados, aumentando el daño reputacional para las víctimas. El uso de Telegram como infraestructura de control permite ocultar la actividad entre el tráfico legítimo y dificulta la detección.
La Oficina recomienda prestar más atención a archivos y mensajes incluso de contactos conocidos, actualizar regularmente los sistemas y utilizar protección antivirus. Un nivel adicional de seguridad lo ofrecen las contraseñas únicas y la autenticación de dos factores.