Lima, octubre de 2025.- El uso de WhatsApp para compartir información confidencial se ha convertido en un nuevo punto de vulnerabilidad para empresas y entidades públicas. Un reciente informe de Kaspersky revela una ofensiva coordinada del grupo de ciberamenazas “Mysterious Elephant”, que busca infiltrarse en redes institucionales para robar datos sensibles y comprometer la seguridad de organizaciones y gobiernos.
De acuerdo con el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, este grupo —clasificado como una Amenaza Persistente Avanzada (APT)— ha intensificado sus ataques durante 2025, utilizando WhatsApp como vía indirecta para obtener acceso a documentos, imágenes, archivos comprimidos y otros materiales compartidos desde computadoras de trabajo.
Los investigadores aclaran que los atacantes no vulneran los servidores ni la aplicación de WhatsApp. En cambio, comprometen los equipos de las víctimas y, desde ahí, localizan y extraen archivos enviados o recibidos mediante WhatsApp Desktop o el navegador.
La filtración de información fuera de los canales corporativos puede tener consecuencias graves: pérdida de datos críticos, daños reputacionales y riesgo de exposición de información estratégica. Según Kaspersky, estos ataques pueden mantenerse activos por meses sin ser detectados, mientras los ciberdelincuentes recopilan documentos y credenciales de acceso.
Nuevas tácticas de Mysterious Elephant
El estudio describe una evolución en las tácticas de Mysterious Elephant, que ahora combina el desarrollo de herramientas propias con componentes de código abierto modificados. Para lograr el acceso inicial, el grupo utiliza técnicas de ingeniería social —como correos electrónicos falsos o spear-phishing— que contienen documentos infectados. Al abrirse, estos descargan cargas maliciosas que permiten el ingreso a las redes internas.
Una vez dentro, los atacantes implementan scripts de PowerShell, una herramienta legítima de Windows usada para ejecutar órdenes y descargar programas adicionales sin levantar sospechas. Estas acciones se comunican con servidores controlados por los delincuentes, lo que les permite mantener el acceso de forma persistente.
Entre las herramientas más utilizadas por el grupo destaca BabShell, una puerta de acceso remota que conecta directamente el computador afectado con los atacantes. Con ella pueden recolectar información básica, ejecutar programas maliciosos y desplegar componentes más avanzados, como MemLoader HidenDesk, un software que ejecuta código dañino directamente en la memoria del sistema, evitando dejar rastros visibles en el disco.
“La operación de este grupo está diseñada para pasar desapercibida y mantenerse activa incluso cuando se intenta detenerla. Su infraestructura cambia constantemente y dificulta el rastreo por parte de los equipos de seguridad”, explicó Fabio Assolini, director de Investigación y Análisis para América Latina en Kaspersky. “El verdadero riesgo no solo está en el robo de datos, sino en la pérdida de control y visibilidad sobre lo que ocurre dentro del entorno digital de una institución”.
Recomendaciones de seguridad
Para reducir el riesgo de ataques de este tipo, los expertos de Kaspersky recomiendan:
1. Fortalecer la protección del correo y mensajes corporativos.
Implementar filtros antiphishing y verificar enlaces sospechosos. La mayoría de los ataques comienza con correos falsos o documentos diseñados para engañar a los empleados.
2. Proteger los dispositivos y el uso de aplicaciones de mensajería.
Evitar compartir información confidencial por canales no corporativos, mantener los sistemas actualizados y definir políticas claras sobre el uso de equipos personales.
3. Fomentar una cultura de seguridad digital.
La capacitación continua del personal ayuda a detectar mensajes falsos o comportamientos sospechosos, convirtiendo a los empleados en la primera línea de defensa.
4. Implementar soluciones de protección integral.
La línea Kaspersky Next combina protección en tiempo real con capacidades avanzadas de detección, investigación y respuesta (EDR y XDR), adaptándose a organizaciones de todos los tamaños.
5. Utilizar inteligencia sobre amenazas.
Las herramientas de Kaspersky Threat Intelligence ofrecen información actualizada sobre ataques recientes, lo que permite anticiparse a los riesgos y fortalecer la estrategia de ciberseguridad.
La compañía recuerda que la concientización interna y la adopción de soluciones tecnológicas especializadas son fundamentales para mitigar los riesgos de ataques avanzados que aprovechan canales de comunicación cotidianos como WhatsApp.