mensajería
El 15 de agosto, el equipo de Signal informó que hackers desconocidos atacaron a los usuarios de su servicio de mensajería. Aquí explicamos por qué este incidente demuestra las ventajas de Signal frente a otros servicios de este tipo.
¿Qué pasó?
De acuerdo con el comunicado emitido por Signal, el ataque afectó a cerca de 1900 usuarios de la aplicación. Debido a que la audiencia de Signal supera los 40 millones de usuarios activos al mes, el incidente solo afectó a una pequeña fracción de ellos. Dicho esto, Signal es usado mayoritariamente por quienes se preocupan por la privacidad de su correspondencia. Entonces, aunque el ataque afectó a una parte minúscula de la audiencia, la noticia resonó en todo el mundo de la seguridad de la información.
Como resultado del ataque, los hackers pudieron iniciar sesión en la cuenta de la víctima desde otro dispositivo, o simplemente descubrir qué usuarios de tal o cuál teléfono son usuarios de Signal. Dentro de estos 1900 números, los atacantes tenían interés en tres específicamente, después, uno de estos tres notificó que su cuenta había sido activada en otro dispositivo sin su conocimiento.
¿Cómo sucedió?
En los sitios de Kaspersky Daily, usualmente hablamos sobre el hecho de que Signal es un servicio de mensajería seguro, sin embargo, fue atacado con éxito. ¿Esto quiere decir que su reconocida seguridad y privacidad son solo un mito? Echemos un vistazo a cómo se vio el ataque exactamente y qué papel jugó Signal.
Comencemos con el hecho de que las cuentas de Signal está vinculadas a un número telefónico, como sucede, por ejemplo, en WhatsApp y Telegram. Esta práctica, si bien es común, no es universal. Por ejemplo, el servicio de mensajería seguro Threema afirma orgullosamente como uno de sus argumentos de venta que no vincula las cuentas a los números telefónicos. En Signal, es necesario un número de teléfono para la autentificación: el usuario ingresa su número, en el cual recibe un código en un mensaje de texto. Este código debe ser ingresado: si es correcto significa que el usuario es el propietario del número.
El envío de dichos mensajes de texto con códigos de un solos uso se lleva a cabo por empresas especializadas que brindan el mismo método de autentificación para diversos servicios. En el caso de Signal, su proveedor es Twilio, y es a esta empresa a la que se dirigieron los hackers.
El siguiente paso fue el phishing. Algunos empleados de Twilio recibieron mensajes que decían que sus contraseñas, supuestamente, eran antiguas y necesitaban ser actualizadas. Para esto, se les invitó a dar clic en un (exactamente) enlace de phishing. Un empleado mordió el anzuelo, fue al sitio falso e ingresó sus datos de acceso, los cuales terminaron directamente en las manos de los hackers.
Estos datos les permitieron accedes a los sistemas internos de Twilio, lo que les permitió enviar mensajes de texto a los usuarios y leerlos. Luego, los hackers utilizaron el servicio para instalar Signal en un dispositivo nuevo: ingresaron el número telefónico de la víctima, interceptaron el texto con el código de activación y, voilà,accedieron a su cuenta de Signal.
¿Cómo es que este incidente demuestra la solidez de Signal?
Entonces, resulta que incluso Signal es vulnerable a este tipo de incidentes. Entonces, ¿por qué seguimos hablando de su seguridad y privacidad?
En primer lugar, los cibercriminales no pudieron acceder a la correspondencia. Signal usa un cifrado end-to-end con el protocolo de seguridad Signal. Al utilizar el cifrado end-to-end, los mensajes de cada usuario se almacenan solo en sus dispositivos, no en los servidores de Signal, ni en ningún otro sitio. Por tanto, simplemente no hay manera de leerlos al hackear la infraestructura de Signal.
Lo que se almacena en los servidores de Signal son los números telefónicos de los usuarios, así como los números de sus contactos. Esto permite que el servicio de mensajería te notifique cunado un contacto tuyo se registra en Signal. No obstante, los datos se guardan, primero, en almacenamientos especiales llamados enclaves seguros, a los que ni siquiera los desarrolladores de Signal pueden acceder. Y segundo, los números en sí no son almacenados allí como texto sin formato, sino en formato de código hash. Este mecanismo permite que la aplicación de Signal en tu teléfono envía información cifrada sobre los contactos y reciba una respuesta igualmente cifrada sobre cuál de sus contactos utiliza Signal. En otras palabras, los atacantes tampoco podrían acceder a la lista de contactos del usuario.
Por último, hay que enfatizar que Signal fue atacado en su cadena de suministro, mediante un proveedor de servicios utilizado por la empresa que estaba menos protegido. Por lo tanto, este es su eslabón débil. Sin embargo, Signal también tiene un salvavidas contra esto.
La app contiene una función llamada Bloqueo de registro (para activarla, ve a Ajustes → Cuenta → Bloqueo de registro,), que requiere que se ingrese un PIN definido por el usuario al momento de activar Signal en un dispositivo nuevo. Por si acaso, aclaremos que el PIN en Signal no tiene nada que ver con el desbloqueo de la aplicación; esto lo haces de la misma forma que desbloqueas tu smartphone.
Bloqueo de registro en los Ajustes de Signal
Por defecto, el bloqueo de registro está deshabilitado, como pasó con al menos una de las cuentas hackeadas. Como tal, los cibercriminales lograron el ataque al hacerse pasar por la víctima del ataque durante 13 horas aproximadamente. Si el Bloqueo de Registro hubiera sido habilitado, no podrían haber iniciado sesión en la app conociendo solo el número de teléfono y el código de verificación.
Qué se puede hacer para proteger mejor los mensajes?
En resumen: los atacantes no hackearon Signal en sí, sino a su socio Twilio, lo que les dio acceso a 1900 cuentas, que usaron para iniciar sesión en tres de ellas. Además, no consiguieron acceso a la correspondencia ni a la lista de contactos, solo pudieron hacerse pasar por los usuarios de las cuentas que penetraron. Si estos usuarios hubieran activado el Bloqueo de registro, los hackers ni siquiera hubieran podido realizar lo hecho.
Y aunque el ataque fue un éxito formalmente hablando, no hay razón para asustarse y abandonar Signal. Continúa siendo una app bastante segura que brinda buena privacidad a sus mensajes, como lo demuestra en este incidente de hackeo. Pero sí que puedes volverlo más seguro:
- Habilita el bloqueo de registro en los ajustes de Signal, para que los cibercriminales no puedan iniciar sesión en tu cuenta sin conocer tu PIN privado, incluso si tienen el código de un solo uso para activar Signal en un dispositivo nuevo.
- Te invitamos a leer el post en nuestro blog sobre cómo configurar la privacidad y seguridad en Signal y configura tu app. Signal tiene configuraciones básicas, así como opciones para los verdaderamente paranoicos, que brindan seguridad adicional a costa de cierta facilidad de uso.
- Y, por supuesto, instala una aplicación de seguridad en tu smartphone. Si el malware ingresa a tu dispositivo, ninguna medida de seguridad por parte de Signal protegerá tus mensajes ni lista de contactos. Pero si no se permite la entrada de malware, o al menos se detecta a tiempo, no existe amenaza alguna para tus datos.
Consejos