Em 9 de março de 2026, os serviços de inteligência da Holanda (AIVD e MIVD) publicaram um alerta conjunto detalhando uma campanha ativa de ciberespionagem. O alvo não são sistemas corporativos, mas sim as contas de WhatsApp e Signal pertencentes a funcionários do governo, militares, políticos e jornalistas. A operação foi atribuída a hackers ligados ao estado russo.
A eficácia desse ataque coloca em duvida a segurança de aplicativos de mensagens: a criptografia ponta a ponta (E2EE) não protege o usuário contra a engenharia social.
Como o ataque funciona na prática
Os invasores não descobriram uma falha zero-day no código do WhatsApp ou do Signal. Toda a operação é baseada na manipulação da vítima para que ela mesma entregue o acesso.
A tática principal envolve os cibercriminosos entrarem em contato com o alvo se passando pelo suporte técnico oficial ou por um chatbot do próprio aplicativo. Durante a conversa, eles criam um senso de urgência ou oferecem ajuda para resolver um problema falso, convencendo o usuário a compartilhar o código de verificação recebido por SMS ou o PIN de segurança da conta.
Em uma variante dessa campanha, os atacantes induzem a vítima a escanear um QR code malicioso. Ao fazer isso, o usuário acaba vinculando, sem saber, um novo dispositivo (controlado pelos hackers) à sua própria conta.
A tática da "Conta Excluída"
Assim que assumem o controle da sessão, os invasores fazem o download do histórico de mensagens e da lista de contatos.
O relatório do AIVD destacou uma técnica de evasão específica usada para manter a persistência: o atacante frequentemente altera o nome do perfil comprometido para "Deleted account" (Conta excluída). O objetivo é simples. Ao ver esse nome em um grupo de conversas, os outros membros assumem que o usuário simplesmente apagou o aplicativo. Como ninguém tenta interagir com aquela conta, o invasor consegue permanecer no grupo, lendo informações confidenciais de forma silenciosa e sem levantar suspeitas.
A falsa sensação de segurança
O uso de aplicativos comerciais para assuntos sensíveis é um ponto cego nas defesas de muitas organizações. Durante o anúncio da descoberta, o vice-almirante Peter Reesink, diretor do MIVD, foi direto ao ponto: "Aplicativos de chat como o Signal e o WhatsApp, apesar de terem criptografia ponta a ponta, não são canais adequados para compartilhar informações classificadas, confidenciais ou sensíveis."
A criptografia garante que a mensagem não seja interceptada enquanto trafega pela internet. Porém, se o atacante consegue a chave da sessão da vítima logando em um novo dispositivo, a barreira criptográfica se torna inútil, pois o sistema entende que é o usuário legítimo lendo as mensagens.
Fontes
AIVD (Serviço Geral de Inteligência e Segurança da Holanda): Rusland voert cybercampagne uit tegen Signal- en Whatsapp-accounts - https://www.aivd.nl/actueel/nieuws/2026/03/09/rusland-voert-cybercampagne-uit-tegen-signal--en-whatsapp-accounts.
CISO Advisor: WhatsApp e Signal sob ataques de espionagem - https://www.cisoadvisor.com.br/whatsapp-e-signal-sob-ataques-de-espionagem/.