Por qué los usuarios de Signal están siendo hackeados (no la aplicación)

El cifrado de Signal está bien. Sus usuarios son el objetivo.

Signal ha tenido durante mucho tiempo la reputación de ser el estándar de oro en mensajería privada. Su cifrado de extremo a extremo es matemáticamente sólido, su código es de código abierto y su protocolo es de confianza para investigadores de seguridad de todo el mundo. Así que cuando surgieron informes de que hackers vinculados a Rusia están comprometiendo con éxito cuentas de Signal de usuarios de alto perfil, la pregunta natural es: ¿fue Signal hackeado?

La respuesta corta es no. El cifrado de Signal no fue vulnerado. Lo que sí se vulneró fue algo mucho más difícil de parchear: la confianza humana.

Según los informes, los atacantes utilizan sofisticadas campañas de phishing para engañar a los usuarios de Signal y hacer que ellos mismos concedan acceso a sus cuentas. El método generalmente implica falsas alertas de seguridad que parecen convincentemente oficiales, instando a los objetivos a vincular un nuevo dispositivo a su cuenta. Una vez que esto ocurre, el atacante recibe un espejo en vivo de los mensajes de la víctima en tiempo real, sin llegar a tocar los servidores de Signal ni descifrar una sola línea de cifrado.

Esta es una distinción fundamental. La aplicación no es la vulnerabilidad. El comportamiento del usuario lo es.

Cómo funciona realmente el ataque

Signal admite una función legítima llamada dispositivos vinculados, que permite a los usuarios acceder a su cuenta desde varios teléfonos u ordenadores simultáneamente. Los atacantes explotan esta función generando códigos QR o enlaces maliciosos que, al ser escaneados o clicados, añaden silenciosamente el dispositivo del atacante a la cuenta de la víctima.

Los mensajes de phishing están diseñados para generar urgencia. Pueden afirmar que la cuenta del usuario ha sido comprometida, que necesita verificar su identidad o que una actualización de seguridad requiere acción inmediata. Los objetivos de alto valor bajo presión son más propensos a actuar rápidamente y menos propensos a examinar la solicitud con detenimiento.

Una vez vinculado, el atacante no necesita descifrar nada. Simplemente lee los mensajes tal como llegan, en texto plano, igual que cualquier dispositivo vinculado legítimo lo haría. También puede suplantar a la víctima en conversaciones en curso, lo que tiene graves implicaciones para periodistas, activistas, abogados, funcionarios gubernamentales y cualquier otra persona que maneje comunicaciones sensibles.

Este tipo de ataque se denomina a veces ataque de ingeniería social o toma de control de cuenta mediante acceso autorizado. No requiere ningún exploit de día cero, ninguna brecha en el servidor ni ninguna proeza criptográfica. Solo requiere que el objetivo cometa un error.

Qué significa esto para usted

Si usa Signal porque le importa su privacidad, esta noticia no debería hacerle abandonar la aplicación. Signal sigue siendo una de las plataformas de mensajería más fiables disponibles, y el cifrado subyacente continúa protegiendo los mensajes de la interceptación en tránsito. Pero esta situación es un recordatorio de que el cifrado es una capa de una postura de seguridad, no el conjunto de la misma.

Piénselo de esta manera: la puerta de una caja fuerte solo es efectiva si alguien no le entrega la llave a un atacante que dice ser un cerrajero.

Para la mayoría de los usuarios cotidianos, el riesgo proveniente de esta campaña específica vinculada a Rusia es bajo. Los objetivos reportados son personas de alto perfil, probablemente personas involucradas en trabajo político, militar o periodístico sensible. Pero las tácticas utilizadas no son exóticas. Los ataques de phishing mediante falsas alertas de seguridad son comunes en todas las plataformas, y la función de dispositivos vinculados no es exclusiva de Signal.

Los usuarios conscientes de su privacidad, en cualquier nivel de riesgo, deben tratar sus aplicaciones de mensajería de la misma manera en que los profesionales de la seguridad tratan cualquier sistema sensible: con defensas en capas y una conciencia constante.

Pasos prácticos para proteger su cuenta de Signal

Esto es lo que puede hacer ahora mismo para reducir su exposición:

Audite sus dispositivos vinculados con regularidad. El menú de configuración de Signal muestra todos los dispositivos actualmente vinculados a su cuenta. Si ve algo que no le resulta familiar, elimínelo de inmediato. Convierta esto en una revisión rutinaria, no en una acción puntual.

Desconfíe profundamente de las alertas de seguridad. Las aplicaciones legítimas raramente envían mensajes urgentes pidiéndole que escanee un código QR o haga clic en un enlace para verificar su cuenta. Trate cualquier solicitud de este tipo como sospechosa por defecto, aunque parezca oficial.

Active el bloqueo de registro de Signal. Esta función requiere un PIN antes de que su cuenta pueda volver a registrarse en un nuevo dispositivo. Añade fricción para los atacantes que intentan tomar el control de cuentas.

Proteja el dispositivo en sí. El cifrado de Signal protege los mensajes en tránsito. Si su teléfono está desbloqueado y se lo entrega a alguien, o si está comprometido por malware, esa protección desaparece. Las contraseñas seguras para el dispositivo, los bloqueos biométricos y mantener el sistema operativo actualizado son factores que importan.

Considere la seguridad de su red en general. Para los usuarios que manejan comunicaciones genuinamente sensibles, enrutar el tráfico a través de una VPN de confianza añade una capa de anonimato que dificulta que los atacantes perfilen su actividad, identifiquen su ubicación o realicen el reconocimiento que a menudo precede al phishing dirigido. Una VPN no soluciona el phishing, pero forma parte de un enfoque en capas que reduce la exposición general.

Verifique por un canal alternativo. Si recibe un mensaje sospechoso incluso de un contacto conocido, confirme la solicitud a través de un canal completamente separado —una llamada telefónica, una conversación en persona u otra aplicación— antes de tomar cualquier medida.

La lección de estos ataques de phishing a Signal no es que la mensajería cifrada sea inútil. Es que ninguna herramienta por sí sola es una solución completa. Signal protege sus mensajes de manera excepcional. Proteger su cuenta requiere que permanezca alerta ante las formas en que los atacantes intentan eludir la tecnología por completo, apuntando a usted en lugar de a ella.