Señal de alerta: cómo los piratas rusos roban claves de recuperación de Signal para acceder a chats privados

El aviso público emitido por el FBI y la CISA este mes señala un cambio preocupante en las tácticas de los grupos de ciberespionaje vinculados a los servicios de inteligencia rusos. Ya no se limitan a intentar acceder a cuentas de Signal mediante códigos de verificación o PINs, sino que ahora buscan directamente las claves de recuperación de las copias de seguridad. Estas claves permiten a los atacantes descargar y descifrar el historial completo de mensajes de una víctima, incluso aquellos enviados antes de que se implementara cualquier medida de seguridad adicional. El objetivo sigue siendo el mismo: acceder a información sensible de personas con alto valor de inteligencia, como funcionarios gubernamentales, militares, periodistas y figuras políticas, especialmente en contextos relacionados con Ucrania.

Lo más relevante de esta evolución es que los atacantes no necesitan romper el cifrado de extremo a extremo de Signal. La plataforma mantiene su robustez en la transmisión de mensajes, pero las copias de seguridad locales o en la nube —que no están cifradas con la misma clave que los mensajes en tránsito— se convierten en el eslabón débil. Cuando un usuario activa las copias de seguridad en Signal y genera una clave de recuperación, está creando un punto de acceso alternativo a su historial completo. Los piratas rusos han identificado este vector y lo están explotando a través de campañas de phishing altamente personalizadas, diseñadas para engañar incluso a usuarios concienciados sobre seguridad.

Señal de advertencia: de los códigos de verificación a las claves de recuperación

Hasta hace poco, los grupos de amenazas rusos se centraban en engañar a las víctimas para que compartieran códigos de verificación de dos factores o autorizaran el enlace de dispositivos desconocidos a sus cuentas de Signal. La táctica era efectiva porque aprovechaba la urgencia creada por mensajes que simulaban ser alertas de seguridad legítimos. Sin embargo, el nuevo enfoque representa un salto cualitativo en sofisticación. Los mensajes de phishing ahora afirman que Signal está implementando una verificación obligatoria de dos factores debido a un supuesto aumento de ataques desde Irán y otros países postsoviéticos. Esta narrativa busca generar confianza en la víctima, ya que se presenta como una medida de protección adicional.

El engaño no termina ahí. Los atacantes guían a los usuarios hacia la configuración de copias de seguridad y les piden que revelen su clave de recuperación, presentándola como un paso necesario para "no perder mensajes y medios". En realidad, esta clave es la llave maestra que permite a los piratas rusos descargar y descifrar todo el historial de chats almacenado en los servidores de Signal. Lo más preocupante es que esta táctica no requiere que los atacantes accedan directamente a la cuenta de la víctima; basta con que obtengan la clave de recuperación para descargar las copias de seguridad desde la nube, donde Signal almacena estos datos cifrados con una clave derivada de la clave de recuperación.

¿Quiénes son los objetivos y por qué Rusia persigue estas cuentas?

Según el FBI, los objetivos principales de esta campaña son individuos con acceso a información sensible o estratégica. Esto incluye a funcionarios actuales y anteriores de gobiernos occidentales, personal militar, periodistas que cubren conflictos en Europa del Este, y figuras políticas en Ucrania o relacionadas con la guerra. La elección de estos perfiles no es casual: el espionaje ruso busca información que pueda influir en operaciones militares, desestabilizar gobiernos aliados o manipular la opinión pública. La capacidad de acceder a mensajes históricos —incluyendo conversaciones mantenidas años atrás— multiplica el valor de los datos obtenidos.

Además, la atribución de esta campaña a actores vinculados al FSB y a otras ramas de los servicios de inteligencia rusos sugiere una operación coordinada y con recursos significativos. Los grupos UNC5792 y UNC4221, mencionados en el aviso, son conocidos por operar con tácticas avanzadas, incluyendo el uso de identidades falsas en plataformas de soporte técnico y la explotación de vulnerabilidades en aplicaciones de mensajería. La combinación de phishing personalizado y el robo de claves de recuperación permite a estos grupos acceder a información que, de otro modo, permanecería fuera de su alcance debido al cifrado de Signal.

Cómo funcionan las copias de seguridad de Signal y por qué son un objetivo

Signal permite a los usuarios crear copias de seguridad cifradas de sus chats, mensajes y archivos multimedia. Estas copias se pueden almacenar localmente o en servicios en la nube como Google Drive o iCloud. Sin embargo, el cifrado de estas copias depende de una clave generada por el usuario: la clave de recuperación. A diferencia del cifrado de extremo a extremo, que protege los mensajes en tiempo real, las copias de seguridad no están cifradas con la clave de Signal, sino con una clave derivada de la clave de recuperación del usuario. Esto significa que, si un atacante obtiene esta clave, puede descifrar las copias de seguridad sin necesidad de acceder a la cuenta principal.

El proceso de configuración de copias de seguridad en Signal es sencillo: el usuario debe ir a Configuración > Copias de seguridad > Activar copias de seguridad > Ver clave de recuperación. Una vez generada la clave, Signal la muestra en pantalla y sugiere que el usuario la guarde en un lugar seguro. Sin embargo, muchos usuarios optan por guardarla en un archivo de texto o incluso en una nota en su teléfono, lo que facilita su robo por parte de los atacantes. Los piratas rusos aprovechan esta práctica común para extraer las claves mediante phishing o malware instalado en el dispositivo de la víctima.

Pasos prácticos para protegerte si usas Signal

Si eres usuario de Signal, especialmente si perteneces a un grupo de alto riesgo, hay medidas concretas que puedes tomar para reducir la exposición a este tipo de ataques. En primer lugar, desactiva las copias de seguridad si no las necesitas. Signal permite configurar copias de seguridad cifradas, pero cada copia adicional es un posible punto de acceso para los atacantes. Si decides mantenerlas activas, asegúrate de que la clave de recuperación se almacene en un lugar seguro, como un gestor de contraseñas o un dispositivo de hardware como un YubiKey, y nunca la compartas por mensaje, correo electrónico o cualquier otro canal no cifrado.

Otra medida clave es verificar siempre la autenticidad de los mensajes que recibes, especialmente aquellos que afirman ser de soporte técnico de Signal. Signal nunca te pedirá tu clave de recuperación ni ningún otro dato sensible por mensaje o correo. Si recibes un mensaje sospechoso, verifica la identidad del remitente a través de los canales oficiales de la aplicación y reporta el incidente. Además, activa la verificación en dos pasos en Signal, aunque esto no proteja directamente las copias de seguridad, añade una capa adicional de seguridad a tu cuenta principal.

También es recomendable revisar periódicamente los dispositivos vinculados a tu cuenta de Signal. Ve a Configuración > Dispositivos vinculados y elimina cualquier dispositivo que no reconozcas. Esto puede ayudar a detectar accesos no autorizados antes de que los atacantes tengan la oportunidad de explotar una clave de recuperación robada. Si sospechas que tu clave de recuperación ha sido comprometida, genera una nueva clave inmediatamente y transfiere tus copias de seguridad a un nuevo almacenamiento cifrado.

El papel de las plataformas y la respuesta de Signal

Aunque Signal ha implementado mejoras continuas en su cifrado y seguridad, la responsabilidad de proteger las claves de recuperación recae principalmente en los usuarios. Signal ha respondido a estas amenazas actualizando sus guías de seguridad y advirtiendo a los usuarios sobre los riesgos de compartir claves de recuperación. Sin embargo, la aplicación no puede evitar que los usuarios almacenen estas claves de manera insegura o caigan en trampas de phishing.

En un contexto más amplio, esta campaña subraya la importancia de que las plataformas de mensajería adopten medidas adicionales para proteger las copias de seguridad. Por ejemplo, Signal podría implementar opciones para cifrar las copias de seguridad con una clave derivada de la contraseña del usuario en lugar de la clave de recuperación, o permitir que los usuarios establezcan un período de caducidad para las copias de seguridad. También sería útil que Signal integrara alertas automáticas cuando se accede a las copias de seguridad desde un nuevo dispositivo o ubicación, aunque esto podría afectar la privacidad de los usuarios.

Mientras tanto, los usuarios deben ser conscientes de que, incluso con las aplicaciones más seguras, la seguridad depende en gran medida de sus propias prácticas. La combinación de phishing avanzado y el robo de claves de recuperación demuestra que los atacantes están explotando no solo vulnerabilidades técnicas, sino también fallos humanos. La educación en ciberseguridad y la adopción de hábitos seguros —como el uso de gestores de contraseñas y la verificación de identidades— son herramientas tan importantes como el cifrado mismo.

Qué esperar a continuación: tendencias y evolución de las amenazas

Esta campaña es un ejemplo claro de cómo los grupos de ciberespionaje adaptan sus tácticas para explotar nuevas vulnerabilidades. A medida que las plataformas de mensajería refuerzan sus protecciones, los atacantes buscan alternativas, como las copias de seguridad o los metadatos almacenados en la nube. En el futuro, es probable que veamos un aumento en los ataques dirigidos a servicios de almacenamiento en la nube asociados a aplicaciones de mensajería, así como el uso de inteligencia artificial para personalizar mensajes de phishing con mayor precisión.

Para los usuarios, esto significa que la seguridad ya no puede limitarse a proteger la cuenta principal. Las copias de seguridad, los archivos adjuntos y los metadatos también son objetivos valiosos. Las empresas y organizaciones deben considerar implementar políticas de seguridad que limiten el uso de aplicaciones de mensajería para comunicaciones sensibles, o al menos que exijan el uso de medidas de protección adicionales, como el cifrado de extremo a extremo en todos los dispositivos.

Los gobiernos y las agencias de ciberseguridad, por su parte, deberán seguir publicando alertas tempranas y proporcionando herramientas para que los usuarios puedan verificar la autenticidad de los mensajes. La colaboración internacional será clave para desmantelar estas campañas, especialmente cuando involucran a actores respaldados por Estados. Mientras tanto, los usuarios deben mantenerse informados y adoptar un enfoque proactivo en su seguridad digital, porque en el ciberespacio, la precaución nunca es excesiva.