El pasado 15 de agosto, el equipo de Signal informó de que unos desconocidos hackers atacaron a los usuarios de su servicio de mensajería. Aquí explicamos por qué este incidente muestra las ventajas de Signal frente a otros servicios de este tipo.
¿Qué pasó?
De acuerdo con el comunicado emitido por Signal, el ataque afectó a unos 1.900 usuarios de la aplicación. La audiencia total de Signal supera los 40 millones de usuarios activos al mes, por lo que el incidente solo afectó a una ínfima parte de sus usuarios. Dicho esto, Signal es una aplicación usada en su mayor parte por quienes se preocupan por la privacidad de sus conversaciones, por lo que, aunque el ataque afectó a una minúscula parte de la audiencia, la noticia ha tenido una gran repercusión en el ámbito de la seguridad de la información.
Como resultado del ataque, los hackers pudieron iniciar sesión en las cuentas de las víctimas desde otros dispositivos, o simplemente descubrir qué usuarios de tal o cual teléfono son usuarios de Signal. De los 1.900 usuarios atacados, los atacantes tenían interés solo en tres usuarios concretos y uno de estos tres notificó que su cuenta había sido activada en otro dispositivo sin su consentimiento.
¿Cómo sucedió?
En varios artículos de nuestro blog Kaspersky Daily, hemos hablado sobre el hecho de que Signal es un servicio de mensajería seguro, sin embargo, fue atacado con éxito. ¿Esto quiere decir que no es cierto su reconocida seguridad y privacidad? Echemos un vistazo a cómo se fue exactamente el ataque y qué papel jugó Signal en él.
Comencemos con el hecho de que las cuentas de Signal está vinculadas a un número de teléfono, como sucede, por ejemplo, en WhatsApp y Telegram. Esta práctica, si bien es común, no es universal. Por ejemplo, el servicio de mensajería seguro Threema afirma con orgullo como uno de sus argumentos de venta que no vincula las cuentas a los números de teléfono. En Signal, es necesario un número de teléfono para realizar la autentificación: el usuario introduce su número y recibe un código mediante un mensaje de texto. Este es el código que debe introducir y, si es correcto, significa que el usuario es el propietario de este número.
El envío de estos mensajes de texto con códigos de un solo uso se lleva a cabo por empresas especializadas que brindan el mismo método de autentificación para diversos servicios. En el caso de Signal, su proveedor es Twilio, y es a esta empresa a la que se dirigieron los hackers.
El siguiente paso fue el phishing. Algunos empleados de Twilio recibieron mensajes que afirmaban que, supuestamente, sus contraseñas, eran antiguas y debían ser actualizadas. Para ello, se les instaba a hacer clic en un enlace de phishing (cómo no). Un empleado mordió el anzuelo, entró en esta falsa web e introdujo sus datos de acceso que terminaron directamente en manos de los hackers.
Estos datos les permitieron acceder a los sistemas internos de Twilio, lo que les permitió enviar mensajes de texto a los usuarios y leerlos. Después, los hackers utilizaron el servicio para instalar Signal en un dispositivo nuevo: introdujeron el número de teléfono de la víctima, interceptaron el texto con el código de activación y, voilà,accedieron a su cuenta de Signal.
¿Y cómo demuestra este incidente la seguridad de Signal?
Vale, resulta que incluso Signal es vulnerable a este tipo de incidentes. Entonces, ¿por qué seguimos hablando de su seguridad y privacidad?
En primer lugar, los cibercriminales no pudieron acceder a las conversaciones de los usuarios. Signal usa un cifrado de extremo a extremo con el protocolo de seguridad Signal. Al utilizar el cifrado de extremo a extremo, los mensajes de cada usuario se almacenan solo en sus dispositivos, no en los servidores de Signal, ni en ningún otro sitio. Por lo tanto, solo con hackear la infraestructura de Signal no es posible leerlos.
Lo que se almacena en los servidores de Signal son los números de teléfono de los usuarios y los de sus contactos. Esto permite que el servicio de mensajería te notifique cunado uno de tus contactos se registra en Signal. Sin embargo, los datos se guardan, primero, en almacenamientos especiales llamados enclaves seguros, a los que ni siquiera pueden acceder los desarrolladores de Signal. Y los números en sí no se almacenan allí como texto sin formato, sino en forma de código hash. Este mecanismo permite que la aplicación de Signal en tu teléfono envíe información cifrada sobre los contactos y reciba una respuesta también cifrada sobre cuál de tus contactos utiliza Signal. Es decir, los atacantes tampoco podrían acceder a la lista de contactos del usuario.
Por último, debemos enfatizar que Signal sufrió un ataque en su cadena de suministro, mediante un proveedor de servicios utilizado por la empresa que estaba menos protegido. Por lo tanto, este es su eslabón débil. Sin embargo, Signal también tiene medidas de seguridad contra esto.
La app contiene una función llamada Bloqueo de registro (para activarla, ve a Ajustes → Cuenta → Bloqueo de registro), tras activarla, en el momento en el que se active Signal en un nuevo dispositivo, se requerirá introducir un PIN definido por el usuario. El PIN en Signal no tiene nada que ver con el desbloqueo de la aplicación; esto se hará de la misma forma en la que se desbloquea el smartphone.
El bloqueo de registro está deshabilitado por defecto, como pasó con al menos una de las cuentas hackeadas. Por ello, los cibercriminales lograron el ataque al hacerse pasar por la víctima del ataque durante unas 13 horas aproximadamente. Si el Bloqueo de registro hubiera sido habilitado, no podrían haber iniciado sesión en la app tan solo conociendo el número de teléfono y el código de verificación.
¿Qué se puede hacer para proteger mejor los mensajes?
En resumen: los atacantes no hackearon Signal en sí misma, sino a su socio Twilio, lo que les dio acceso a 1.900 cuentas, iniciando sesión en tres de ellas. Además, no consiguieron acceder ni a los mensajes ni a la lista de contactos, solo pudieron hacerse pasar por los usuarios de las cuentas en las que se introdujeron. Si estos usuarios hubieran activado el Bloqueo de registro, los hackers ni siquiera habrían podido realizar lo que hicieron.
Y, aunque el ataque fue exitoso, estrictamente hablando, no hay razón para asustarse y abandonar Signal. Como se demuestra en este incidente de hackeo, esta sigue siendo una app bastante segura y proporciona una buena privacidad de los mensajes. Sin embargo, sí que puedes hacerla más segura:
- Habilita el Bloqueo de registro en los ajustes de Signal para que los ciberdelincuentes no puedan iniciar sesión en tu cuenta sin conocer tu PIN privado, incluso aunque tengan el código de un solo uso para activar Signal en un dispositivo nuevo.
- Configura tu app. Lee este post de nuestro blog para saber cómo configurar la privacidad y seguridad en Signal. Signal tiene configuraciones básicas y otras más avanzadas que brindan una seguridad adicional a los que estén más preocupados por la seguridad, aunque sea a costa de cierta facilidad de uso.
- Y, por supuesto, instala una aplicación de seguridad en tu smartphone. Si el malware se introduce en tu dispositivo, ninguna medida de seguridad por parte de Signal protegerá tus mensajes ni lista de contactos. Pero si no se permite la entrada de malware, o al menos se detecta a tiempo, no existe amenaza alguna para tus datos.