{"id":25198,"date":"2022-09-06T09:03:12","date_gmt":"2022-09-06T15:03:12","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25198"},"modified":"2022-09-06T09:03:12","modified_gmt":"2022-09-06T15:03:12","slug":"signal-hacked-but-still-secure","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/signal-hacked-but-still-secure\/25198\/","title":{"rendered":"Signal es Segura, as\u00ed lo demuestran los piratas inform\u00e1ticos"},"content":{"rendered":"

El 15 de agosto, el equipo de Signal<\/a> inform\u00f3 que hackers desconocidos atacaron a los usuarios de su servicio de mensajer\u00eda. Aqu\u00ed explicamos por qu\u00e9 este incidente demuestra las ventajas de Signal frente a otros servicios de este tipo.<\/p>\n

\u00bfQu\u00e9 pas\u00f3?<\/h2>\n

De acuerdo con el comunicado emitido por Signal, el ataque afect\u00f3 a cerca de 1900 usuarios de la aplicaci\u00f3n. Debido a que la audiencia de Signal supera<\/a> los 40 millones de usuarios activos al mes, el incidente solo afect\u00f3 a una peque\u00f1a fracci\u00f3n de ellos. Dicho esto, Signal es usado mayoritariamente por quienes se preocupan por la privacidad de su correspondencia. Entonces, aunque el ataque afect\u00f3 a una parte min\u00fascula de la audiencia, la noticia reson\u00f3 en todo el mundo de la seguridad de la informaci\u00f3n.<\/p>\n

Como resultado del ataque, los hackers pudieron iniciar sesi\u00f3n en la cuenta de la v\u00edctima desde otro dispositivo, o simplemente descubrir qu\u00e9 usuarios de tal o cu\u00e1l tel\u00e9fono son usuarios de Signal. Dentro de estos 1900 n\u00fameros, los atacantes ten\u00edan inter\u00e9s en tres espec\u00edficamente, despu\u00e9s, uno de estos tres notific\u00f3 que su cuenta hab\u00eda sido activada en otro dispositivo sin su conocimiento.<\/p>\n

\u00bfC\u00f3mo sucedi\u00f3?<\/h2>\n

En los sitios de Kaspersky Daily, usualmente hablamos<\/a> sobre el hecho<\/a> de que Signal es un servicio de mensajer\u00eda seguro, sin embargo, fue atacado con \u00e9xito. \u00bfEsto quiere decir que su reconocida seguridad y privacidad son solo un mito? Echemos un vistazo a c\u00f3mo se vio el ataque exactamente y qu\u00e9 papel jug\u00f3 Signal.<\/p>\n

Comencemos con el hecho de que las cuentas de Signal est\u00e1 vinculadas a un n\u00famero telef\u00f3nico, como sucede, por ejemplo, en WhatsApp y Telegram. Esta pr\u00e1ctica, si bien es com\u00fan, no es universal. Por ejemplo, el servicio de mensajer\u00eda seguro Threema afirma orgullosamente como uno de sus argumentos de venta que no vincula las cuentas a los n\u00fameros telef\u00f3nicos. En Signal, es necesario un n\u00famero de tel\u00e9fono para la autentificaci\u00f3n<\/a>: el usuario ingresa su n\u00famero, en el cual recibe un c\u00f3digo en un mensaje de texto. Este c\u00f3digo debe ser ingresado: si es correcto significa que el usuario es el propietario del n\u00famero.<\/p>\n

El env\u00edo de dichos mensajes de texto con c\u00f3digos de un solos uso se lleva a cabo por empresas especializadas que brindan el mismo m\u00e9todo de autentificaci\u00f3n para diversos servicios. En el caso de Signal, su proveedor es Twilio, y es a esta empresa a la que se dirigieron los hackers.<\/p>\n

El siguiente paso fue el phishing. Algunos empleados de Twilio recibieron<\/a> mensajes que dec\u00edan que sus contrase\u00f1as, supuestamente, eran antiguas y necesitaban ser actualizadas. Para esto, se les invit\u00f3 a dar clic en un (exactamente) enlace de phishing. Un empleado mordi\u00f3 el anzuelo, fue al sitio falso e ingres\u00f3 sus datos de acceso, los cuales terminaron directamente en las manos de los hackers.<\/p>\n

Estos datos les permitieron accedes a los sistemas internos de Twilio, lo que les permiti\u00f3 enviar mensajes de texto a los usuarios y leerlos. Luego, los hackers utilizaron el servicio para instalar Signal en un dispositivo nuevo: ingresaron el n\u00famero telef\u00f3nico de la v\u00edctima, interceptaron el texto con el c\u00f3digo de activaci\u00f3n y, voil\u00e0<\/em>,accedieron a su cuenta de Signal.<\/p>\n

\u00bfC\u00f3mo es que este incidente demuestra la solidez de Signal?<\/h2>\n

Entonces, resulta que incluso Signal es vulnerable a este tipo de incidentes. Entonces, \u00bfpor qu\u00e9 seguimos hablando de su seguridad y privacidad?<\/p>\n

En primer lugar, los cibercriminales no pudieron acceder a la correspondencia<\/strong>. Signal usa un cifrado end-to-end<\/a> con el protocolo de seguridad Signal<\/a>. Al utilizar el cifrado end-to-end, los mensajes de cada usuario se almacenan solo en sus dispositivos, no en los servidores de Signal, ni en ning\u00fan otro sitio. Por tanto, simplemente no hay manera de leerlos al hackear la infraestructura de Signal.<\/p>\n

Lo que se almacena en los servidores de Signal son los n\u00fameros telef\u00f3nicos de los usuarios, as\u00ed como los n\u00fameros de sus contactos. Esto permite que el servicio de mensajer\u00eda te notifique cunado un contacto tuyo se registra en Signal. No obstante, los datos se guardan, primero, en almacenamientos especiales llamados enclaves seguros, a los que ni siquiera los desarrolladores de Signal pueden acceder. Y segundo, los n\u00fameros en s\u00ed no son almacenados all\u00ed como texto sin formato, sino en formato de c\u00f3digo hash. Este mecanismo permite que la aplicaci\u00f3n de Signal en tu tel\u00e9fono env\u00eda informaci\u00f3n cifrada sobre los contactos y reciba una respuesta igualmente cifrada sobre cu\u00e1l de sus contactos utiliza Signal. En otras palabras, los atacantes tampoco podr\u00edan acceder a la lista de contactos del usuario.<\/strong><\/p>\n

Por \u00faltimo, hay que enfatizar que Signal fue atacado en su cadena de suministro, mediante un proveedor de servicios utilizado por la empresa que estaba menos protegido. Por lo tanto, este es su eslab\u00f3n d\u00e9bil. Sin embargo, Signal tambi\u00e9n tiene un salvavidas contra esto.<\/p>\n

La app contiene una funci\u00f3n llamada Bloqueo de registro (para activarla, ve a Ajustes <\/em>\u2192 <\/em>Cuenta <\/em>\u2192 <\/em>Bloqueo de registro<\/em>,), que requiere que se ingrese un PIN<\/a> definido por el usuario al momento de activar Signal en un dispositivo nuevo. Por si acaso, aclaremos que el PIN en Signal no tiene nada que ver con el desbloqueo de la aplicaci\u00f3n; esto lo haces de la misma forma que desbloqueas tu smartphone.<\/p>\n

\"Bloqueo

Bloqueo de registro en los Ajustes de Signal<\/p><\/div>\n

Por defecto, el bloqueo de registro est\u00e1 deshabilitado, como pas\u00f3 con al menos una de las cuentas hackeadas. Como tal, los cibercriminales lograron el ataque al hacerse pasar por la v\u00edctima del ataque durante 13 horas aproximadamente. Si el Bloqueo de Registro hubiera sido habilitado, no podr\u00edan haber iniciado sesi\u00f3n en la app<\/strong>\u00a0conociendo solo el n\u00famero de tel\u00e9fono y el c\u00f3digo de verificaci\u00f3n.<\/p>\n

Qu\u00e9 se puede hacer para proteger mejor los mensajes?<\/h2>\n

En resumen: los atacantes no hackearon Signal en s\u00ed, sino a su socio Twilio, lo que les dio acceso a 1900 cuentas, que usaron para iniciar sesi\u00f3n en tres de ellas. Adem\u00e1s, no consiguieron acceso a la correspondencia ni a la lista de contactos, solo pudieron hacerse pasar por los usuarios de las cuentas que penetraron. Si estos usuarios hubieran activado el Bloqueo de registro, los hackers ni siquiera hubieran podido realizar lo hecho.<\/p>\n

Y aunque el ataque fue un \u00e9xito formalmente hablando, no hay raz\u00f3n para asustarse y abandonar Signal. Contin\u00faa siendo una app bastante segura que brinda buena privacidad a sus mensajes, como lo demuestra en este incidente de hackeo. Pero s\u00ed que puedes volverlo m\u00e1s seguro:<\/p>\n