WhatsApp se ha convertido en un importante canal para ciberataques, poniendo en riesgo a empresas y gobiernos que intercambian datos confidenciales a través de la mensajería.

A comienzos de 2025, el equipo GReAT de Kaspersky identificó la operación Mysterious Elephant, un grupo APT que logró infiltrarse en sistemas para robar documentos y archivos mediante WhatsApp Desktop.

Los atacantes no accedieron a la aplicación ni a los servidores, sino que comprometieron dispositivos para extraer información confidencial enviada o recibida.

Esta táctica se vale del uso cotidiano de la mensajería, operando de manera discreta durante meses para recopilar credenciales y datos estratégicos.

Las incidencias de seguridad resultan en pérdidas económicas, daños a la reputación y rupturas de confianza con socios comerciales.

Las organizaciones enfrentan profundos riesgos al mezclar sus canales de comunicación personales y laborales.

Mysterious Elephant ha evolucionado sus tácticas al integrar herramientas propias junto a código abierto modificado para evadir la detección.

El acceso inicial se establece a través de spear-phishing y documentos maliciosos que descargan programas dañinos al abrirse.

Una vez en el sistema, el grupo eleva privilegios y realiza movimientos laterales para extraer datos de redes comprometidas.

Se valen de scripts PowerShell legítimos de Windows para ejecutar comandos y descargar malware sin generar alertas.

Estos scripts se conectan a servidores controlados, asegurando una presencia continua y discreta.

La infraestructura del grupo cambia constantemente, dificultando su rastreo.

BabShell funciona como una puerta trasera remota, conectando equipos infectados directamente con los atacantes para un control a distancia.

Este sistema permite recopilar información básica como nombres de usuario y ejecutar comandos maliciosos.

Además, activa MemLoader HidenDesk, que ejecuta código en la memoria, evitando dejar huellas en el disco.

Estas herramientas permiten una prolongada presencia en las redes, extrayendo archivos de WhatsApp sin comprometer la aplicación.

Fabio Assolini, director de Investigación de Kaspersky LatAm, resaltó que el diseño de estas técnicas prioriza el sigilo sobre la velocidad.

«Los atacantes operan durante meses sin ser detectados», advirtió.

El funcionamiento discreto de estas operaciones crea situaciones de riesgo que van más allá del simple robo de datos: producen pérdida total de visibilidad y control digital.

Las empresas a menudo minimizan las vulnerabilidades generadas en canales de mensajería informal.

Sin embargo, esto puede causar impactos duraderos en su reputación y operaciones.

«La prevención exige un cambio cultural inmediato», señalaron desde Kaspersky.

Kaspersky sugiere fortalecer el correo electrónico utilizando filtros antiphishing y verificando enlaces para prevenir accesos no autorizados.

La firma aconseja prohibir el intercambio de datos sensibles por canales no corporativos y actualizar dispositivos para reducir la exposición a amenazas.

También es crucial implementar capacitación continua para que los empleados se conviertan en la primera línea de defensa contra la ingeniería social.

En este contexto, Kaspersky Next ofrece soluciones de detección integral, adaptándose desde pequeñas empresas hasta grandes corporaciones.

Threat Intelligence proporciona un contexto útil sobre las amenazas recientes, permitiendo respuestas proactivas.