Klöckner, Prien, Graichen: Cuando el nivel superior hace clic en el enlace de phishing
5 Min. tiempo de lectura
La presidenta del Bundestag, Julia Klöckner, la ministra de Educación, Karin Prien, y la ministra de Vivienda, Verena Hubertz, fueron comprometidas mediante phishing en Signal porque reenviaron un código de verificación a un contacto aparentemente confiable. La toma de control de cuentas a través de Messenger, técnicamente no es un clic clásico en un enlace. El fiscal general federal Jens Rommel investiga desde febrero por sospecha de espionaje. Patrick Graichen, exsecretario de Estado para Infraestructura Crítica, publicó paralelamente en X un fraude de dinero por likes y acusó falsamente al editor en jefe de Welt, Ulf Poschardt, de comercializar libros. Diferentes vectores, pero una misma lección de gestión: la concienciación está instalada en el piso equivocado.
Lo más importante en resumen
- Alrededor de 300 cuentas afectadas, investigación del BAW desde febrero. El fiscal general federal Rommel persigue la sospecha de espionaje. El BSI y el BfV clasifican al actor como probablemente dirigido por el Estado. Roderich Henrichmann (PKGr) ha señalado públicamente a Rusia como fuente probable, aunque la atribución técnica aún no se ha confirmado.
- El código de verificación como vector. Klöckner, Prien y Hubertz reenviaron el código de seis dígitos de Signal a un contacto aparentemente confiable. Este es el vector estándar que aparece en todos los avisos de concienciación del BSI desde hace dos años.
- El caso Graichen sigue otro patrón. Acusación pública falsa contra Ulf Poschardt tras detectarse el fraude, sin que se haya producido la compromisión de la cuenta. Lección común con la ola de Signal: falta de reflexión a nivel superior sin una segunda revisión visual.
- Consecuencia en la adquisición para los CISOs. Las 50 principales cuentas necesitan un modelo de protección propio basado en tecnología, procesos y comportamiento, no el e-learning obligatorio de 25 minutos para toda la plantilla.
¿Qué es el robo de códigos de verificación? En la toma de control de cuentas a través de Signal o WhatsApp, un atacante registra la cuenta en un dispositivo ajeno. El mensajero envía un código de confirmación de seis dígitos por SMS al verdadero propietario. Quien reenvía este código a un contacto aparentemente confiable, ha cedido la cuenta. Protección: una PIN de dos factores en la configuración de Signal evita la toma de control incluso si el código es interceptado.
Lo ocurrido en abril
La oleada de ataques a Signal lleva activa desde febrero de 2026. Según fuentes de los círculos de seguridad, en Alemania hay alrededor de 300 cuentas afectadas, con otros objetivos en los Países Bajos. El vector es idéntico en el caso de las tres políticas: una dirección de contacto conocida solicita por mensaje directo el código de verificación de 6 dígitos que acaba de llegar por SMS. Quien reenvía el código entrega el inicio de sesión de la cuenta. El caso de Klöckner se hizo público el miércoles; Prien y Hubertz siguieron el viernes en el marco de la misma investigación.
El Fiscal General Federal Jens Rommel ya abrió el procedimiento en febrero de 2026 bajo la sospecha de actividad de agentes de inteligencia. La Oficina Federal para la Seguridad de la Información (BSI) y la Oficina Federal para la Protección de la Constitución sitúan al actor en el entorno de un programa de espionaje dirigido por el Estado. Roderich Henrichmann, miembro del Comité Parlamentario de Control, ha señalado públicamente a Rusia como la fuente probable. Una atribución técnica por parte de la Fiscalía General Federal está pendiente a fecha de 28 de abril de 2026.
El incidente Graichen sigue otro patrón: acusación falsa pública tras la detección de una estafa, sin compromiso de la cuenta. Hizo una captura de pantalla de un grupo de WhatsApp en el que se prometían sumas de dinero por dar «me gusta» en cuentas de influencers, y etiquetó al redactor jefe de Welt, Ulf Poschardt, asumiendo que este estaba detrás de la solicitud. El mecanismo es material obligatorio desde hace años en cualquier formación de concienciación: prefijo extranjero, micro-recompensa, escalada gradual hacia pago por adelantado o datos bancarios. Graichen fue responsable durante años de infraestructuras críticas y suministro energético. El nexo con la oleada de Signal no reside en el vector, sino en el reflejo: rápido, móvil, sin control intermedio.
Por qué la concienciación flaquea en la cúpula
Tres mecanismos explican este hallazgo. En el nivel C, la bandeja de entrada se gestiona en intervalos de 30 segundos entre reuniones. Las formaciones de concienciación están diseñadas para 25 minutos de atención, algo que allí no existe. El filtro previo realizado por el personal de oficina desaparece tan pronto como un mensaje llega al smartphone privado. Ahí es precisamente donde funcionan Signal, WhatsApp y una parte creciente de los acuerdos políticos diarios. Quien toma café con la canciller federal considera inconscientemente que la estafa cotidiana masiva es un problema de jerarquías inferiores.
Los equipos de seguridad llevan años sintiendo la consecuencia operativa. En las pruebas internas de concienciación, las cuentas de alto nivel rara vez están mejor protegidas que la media de la plantilla; en algunos sectores, están mediblemente peor. La presión comunicativa, los canales móviles y los patrones de delegación elevan el riesgo, y la ventaja de la experiencia no lo compensa. Sin embargo, la realidad de las adquisiciones va en sentido contrario: los presupuestos de concienciación fluyen hacia e-learning obligatorio para toda la plantilla, porque es conforme con el cumplimiento normativo y facturable. Las cuentas costosas, con acceso a documentos estratégicos, conversaciones con licitadores y borradores del gabinete, permanecen en el mismo módulo estándar.
Qué deben cambiar ahora los CISO
La protección de alto nivel necesita tres niveles. La tecnología cierra la cuenta, el proceso regula la interrupción y el comportamiento entrena el reflejo. Quien solo atiende un nivel, desplaza el riesgo en lugar de reducirlo.
Tecnología: endurecimiento de cuentas a nivel de dispositivo
El PIN de dos factores en Signal y WhatsApp es obligatorio para las 50 cuentas principales, así como la vista de emparejamiento de dispositivos en la configuración de la cuenta. Una rutina de revisión de sesiones con el equipo de oficina verifica mensualmente qué terminales están conectados actualmente a la cuenta. Quien encuentra una entrada desconocida tiene el primer indicador antes de cualquier notificación oficial. Los perfiles MDM en los smartphones corporativos filtran configuraciones de mensajería riesgosas antes de que se conviertan en incidentes.
Proceso: regla de devolución de llamada y escalado a prensa
Ningún código de verificación se reenvía por mensajería, a nadie, ni siquiera a la propia asistente o al portavoz de prensa. Quien pregunta es verificado mediante una devolución de llamada a un número conocido. Tan pronto como un miembro del consejo directivo comenta un incidente de seguridad en una cuenta privada de X o LinkedIn, o acusa a una persona ajena, el asunto pasa a Comunicaciones Corporativas antes de publicarse. El principio de cuatro ojos en canales privados es organizativamente incómodo y, ante un alcance real, el único seguro contra acusaciones falsas con repercusión mediática.
Comportamiento: Coaching Top-50 como adquisición propia
Generar concienciación entre la dirección ejecutiva, el consejo de supervisión, los órganos legalmente representativos y sus asistentes directos. Un coaching 1:1 por trimestre, impartido por un pentester externo con una demostración en vivo del vector actual en un segundo smartphone. Duración de 60 minutos, contenidos acordados de antemano con la situación actual del BSI. Costes calculables, efecto documentable en la auditoría, argumento de cumplimiento sólido. El coaching sin tecnología y proceso se queda en mera charla, esa es la lección de las tres políticas.
Preguntas frecuentes
¿Cuál fue el vector de ataque en la ola Signal?
Los atacantes contactaron a objetivos desde una libreta de direcciones conocida y solicitaron el código de verificación de 6 dígitos que se envía por SMS al registrar nuevamente una cuenta en un dispositivo ajeno. Quien facilitó el código entregó la cuenta. Un PIN de dos factores en la configuración de Signal evita precisamente esta intrusión, ya que el inicio de sesión requiere además el PIN elegido por el propio usuario.
¿Quién está detrás de los ataques?
El fiscal general Jens Rommel investiga desde febrero de 2026 por sospechas de espionaje. El BSI y la Oficina Federal para la Protección de la Constitución califican al actor como probablemente controlado por un Estado. Roderich Henrichmann (PKGr) ha señalado a Rusia como fuente probable. Una atribución técnica oficial por parte de la Fiscalía Federal está pendiente a fecha de 28 de abril de 2026.
¿Por qué fue el tuit de Graichen un incidente de seguridad?
El tuit contenía una captura de pantalla de un estafa clásica de dinero por likes, más una falsa acusación contra el director editorial de Welt, Ulf Poschardt. El vector técnico difiere de la ola Signal; la cuenta no estaba comprometida. Lo común a ambos casos es la estructura de reflejo: rápido, móvil, sin control de segunda mirada. La consecuencia reputacional de disparos rápidos públicos sin departamento de prensa es la lección de gestión.
¿Qué medida inmediata se recomienda para miembros de la dirección?
En primer lugar, activar el PIN de dos factores en Signal y WhatsApp. En segundo lugar, desentrenar el reflejo de enviar códigos por mensajería. En tercer lugar, verificar cualquier mensaje directo inusual mediante una llamada de vuelta a un número conocido, nunca respondiendo por el canal original.
¿Cómo deberían recortar los CISO sus presupuestos de concienciación?
Tratar las cuentas Top-50 como una categoría propia de adquisición, con coaching 1:1 trimestral y demos en vivo de vectores actuales. Los cursos E-Learning obligatorios para los empleados siguen siendo relevantes, pero no sustituyen la protección específica para las cuentas con acceso estratégico y de licitación. Tecnología y proceso avanzan en paralelo; de lo contrario, el coaching carece de consecuencias.
Consejos de lectura de la redacción
Más de la red MBF Media
Foto: Chaddy / Wikimedia Commons (CC BY-SA 4.0)
