En las primeras horas de la mañana del 19 de marzo de 2026, miles de ciudadanos israelíes comenzaron a recibir en sus teléfonos móviles mensajes de texto aparentemente enviados por el Mando del Frente Interno, el organismo militar israelí encargado de la protección civil ante emergencias. Los SMS, redactados en lenguaje oficial y con un alto grado de credibilidad, invitaban a descargar una nueva aplicación diseñada supuestamente para asistir a la población durante períodos de refugio en zonas de seguridad.
Sin embargo, la Dirección Nacional Cibernética de Israel confirmó rápidamente que se trataba de una campaña de phishing coordinada: los mensajes no son enviados por ningún organismo oficial y el enlace incluido en ellos conduce a la descarga de un archivo malicioso que puede robar información personal, credenciales de acceso o incluso otorgar control total sobre el dispositivo a los atacantes.
La campaña se produce en un contexto de extrema sensibilidad: el país vive bajo la amenaza continua de ataques con misiles, lo que hace que la urgencia de instalar una «app de emergencia» anule los mecanismos de precaución habituales del usuario. Expertos en ciberseguridad advierten que esta técnica de explotación del miedo colectivo es, precisamente, la que la hace especialmente peligrosa.
¿Cómo funciona el ataque? Anatomía de la campaña de phishing
La operación responde a un modelo técnico de smishing phishing mediante SMS de alto nivel de sofisticación. Según el análisis publicado por la empresa de ciberseguridad Check Point, los atacantes han logrado suplantar no solo el nombre del remitente, sino también inyectar sus mensajes dentro de hilos de conversación existentes previamente iniciados por el Mando del Frente Interno, lo que añade una capa adicional de verosimilitud al engaño.
Para ello, los ciberdelincuentes han comprometido interfaces de mensajería empresarial especialmente aquellas protegidas únicamente por contraseña, sin autenticación de doble factor y han accedido a bases de datos de contactos reales para distribuir los mensajes a gran escala desde remitentes con apariencia legítima.
El malware: spyware disfrazado de app de seguridad
El enlace contenido en los SMS lleva a la descarga de una versión troyanizada de la popular aplicación Red Alert (Oref), el sistema de alertas de cohetes más utilizado en Israel. La app maliciosa replica con total fidelidad la interfaz y funcionalidad de la aplicación oficial emite alertas reales de ataques mientras opera en segundo plano extrayendo de forma silenciosa datos sensibles del dispositivo.
De acuerdo con la investigación de Acronis Threat Research Unit (TRU) y CloudSEK, el spyware recopila: mensajes SMS almacenados en el dispositivo, lista de contactos, datos de geolocalización en tiempo real, cuentas y aplicaciones instaladas, y contraseñas de un solo uso (OTP) para la autenticación en dos pasos.
| ⚠ ADVERTENCIA OFICIAL: El Mando del Frente Interno no distribuye enlances de descarga de aplicaciones por SMS. Cualquier mensaje de este tipo debe considerarse sospechoso por defecto y no debe clicarse bajo ninguna circunstancia. |
El contexto geopolítico que potencia el ataque
La campaña coincide con una escalada activa del conflicto entre Israel e Irán, marcada por bombardeos con misiles balísticos y drones sobre territorio israelí y bases estadounidenses en el Golfo. En este escenario de alta tensión, la necesidad de contar con un sistema de alerta temprana en el móvil se convierte en una urgencia vital para la población, lo que explica la efectividad del engaño.
Mensajes de pánico del IRGC: «Netanyahu está muerto»
Paralelamente a la campaña de phishing, numerosos israelíes también reportaron haber recibido mensajes de texto supuestamente enviados por las Guardias Revolucionarias de Irán (IRGC). Estos SMS, de naturaleza psicológica y destinados a sembrar el pánico, incluían frases amenazantes como: «Netanyahu está muerto. La muerte se acerca a vosotros y pronto las puertas del infierno se abrirán ante vosotros. Abandonad Palestina antes de que el fuego de los misiles iraníes os destruya.»
La Dirección Nacional Cibernética israelí confirmó que estos mensajes responden a un patrón conocido de guerra psicológica digital y que, al igual que los SMS de phishing, fueron distribuidos tras vulnerar plataformas de mensajería empresarial con escasas medidas de seguridad.
¿Quién está detrás? El rastro apunta a Arid Viper (APT-C-23)
Los investigadores de Acronis TRU señalan que las técnicas empleadas en esta campaña son consistentes con el modus operandi del grupo conocido como Arid Viper, también denominado APT-C-23, un actor de amenaza persistente avanzada (APT) vinculado históricamente a operaciones de ciberespionaje contra objetivos israelíes y palestinos. El grupo es conocido por explotar contextos de conflicto geopolítico para maximizar la tasa de infección de sus campañas.
Este no es el primer caso en que este tipo de actores explotan aplicaciones de alerta de cohetes en Israel. Desde el inicio del conflicto actual, la Agencia de Seguridad Interior (Shin Bet) y la Dirección Cibernética han documentado al menos 85 intentos de ciberataque dirigidos a figuras públicas del ámbito de la defensa, la política, la academia, los medios de comunicación y el sector público.
Cómo protegerse: recomendaciones oficiales ante el phishing
Medidas inmediatas si recibiste un SMS sospechoso
No hagas clic en ningún enlace recibido por SMS, independientemente del remitente que aparezca. No descargues aplicaciones fuera de las tiendas oficiales (App Store o Google Play). No compartas información personal, credenciales o códigos de verificación. Si ya has clicado el enlace, desconecta el dispositivo de Internet de inmediato y contacta con un especialista en ciberseguridad. Denuncia el mensaje a la Dirección Nacional Cibernética de Israel o al organismo equivalente en tu país.
Buenas prácticas de seguridad para empresas y particulares
Activa la autenticación en dos factores (2FA) en todos los servicios de mensajería y plataformas de comunicación empresarial. Revisa regularmente los permisos concedidos a las aplicaciones instaladas en tus dispositivos. Implementa formación en ciberseguridad y concienciación sobre smishing para equipos corporativos. Mantén actualizado el sistema operativo y las aplicaciones del dispositivo móvil.