Señal de peligro: espías rusos roban claves de recuperación de Signal para espiar cuentas

Un cambio sutil con graves consecuencias: de pedir códigos a pedir la clave de recuperación

El aviso emitido por el Buró Federal de Investigaciones (FBI) y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) en junio no es una simple actualización técnica, sino un giro peligroso en las tácticas de un grupo de inteligencia ruso. Hasta marzo, los atacantes se centraban en engañar a sus víctimas para que compartieran códigos de verificación SMS o PINs de cuentas. Ahora, el método más efectivo es convencer al usuario de que active la función de respaldo de Signal y, una vez habilitada, le pidan que revele la clave de recuperación de ese respaldo. Esta clave no es un código temporal, sino una contraseña maestra que permite restaurar todos los mensajes, chats privados y grupos en cualquier momento futuro, incluso si la víctima intenta bloquear el acceso cambiando su número de teléfono.

Lo más preocupante es que, una vez obtenida esa clave, los atacantes pueden usarla indefinidamente. La víctima puede generar una nueva clave desde la configuración de Signal, pero eso solo invalida la anterior para futuros respaldos. Si el atacante ya ha descargado el historial de mensajes antes de que se genere la nueva clave, tendrá acceso completo a toda la información comprometida. Es decir, el daño no se limita a un momento puntual, sino que se extiende hacia atrás en el tiempo, permitiendo leer conversaciones pasadas y futuras si el atacante mantiene el control del número de teléfono.

Los grupos detrás de la campaña: nombres, vínculos y alcance global

El FBI ha identificado a dos grupos específicos detrás de esta campaña de phishing: UNC5792 y UNC4221. Según la agencia, estas operaciones están vinculadas a múltiples servicios de inteligencia rusos, incluyendo oficiales del FSB integrados en las guardias fronterizas y miembros de servicios militares. Aunque el aviso se centra en Signal, la campaña también ha afectado cuentas de WhatsApp, lo que sugiere un enfoque amplio contra plataformas de mensajería cifrada.

Los objetivos son claros: individuos con alto valor de inteligencia, como funcionarios gubernamentales actuales y anteriores de Estados Unidos e internacionales, personal militar, figuras políticas, periodistas y oficiales ucranianos. El aviso de marzo ya advertía que miles de cuentas en todo el mundo habían sido comprometidas. Ahora, con la incorporación de la clave de recuperación, el riesgo se ha multiplicado, ya que los atacantes no solo pueden acceder a mensajes en tiempo real, sino también a conversaciones históricas almacenadas en los respaldos.

Cómo funciona el engaño: mensajes falsos y presión psicológica

Los atacantes emplean tácticas de ingeniería social cada vez más sofisticadas. Los mensajes de phishing se hacen pasar por soporte técnico de Signal, simulando notificaciones urgentes que exigen acción inmediata. En versiones anteriores, los mensajes pedían códigos de verificación SMS o PINs de la cuenta. Ahora, el proceso es más elaborado: primero convencen a la víctima de que active la función de respaldo en Signal, luego le guían para que abra la clave de recuperación y finalmente le piden que la comparta en un chat.

El FBI proporciona dos ejemplos concretos de estos mensajes. Uno simula un anuncio de un cambio obligatorio en la autenticación de dos factores, mientras que otro alega ser un "parche urgente" para recuperar mensajes que supuestamente están en riesgo de perderse. Ambos mensajes están diseñados para generar ansiedad y precipitar una acción sin pensar, un clásico de las campañas de phishing. La clave aquí es que los atacantes no están explotando una vulnerabilidad técnica en Signal, sino aprovechando una función legítima del servicio para acceder a datos privados.

¿Por qué Signal no es el problema? Entendiendo la responsabilidad compartida

Es importante aclarar que Signal no ha sido hackeado ni su cifrado ha sido roto. La plataforma sigue siendo segura y confiable para la comunicación cifrada. El problema radica en la interacción humana: los atacantes comprometen cuentas individuales mediante engaños, no mediante fallos en el sistema. Signal permite respaldos cifrados de chats, una función útil para usuarios que quieren proteger su historial ante pérdida o cambio de dispositivo. Sin embargo, esta misma función se convierte en un punto de ataque cuando los usuarios comparten sus claves de recuperación con terceros.

La solución propuesta por el FBI es directa: generar una nueva clave de recuperación en la configuración de Signal. Esto anula la clave anterior para cualquier respaldo futuro, aunque no recupera los datos ya descargados por los atacantes. Es un recordatorio de que, en el mundo de la ciberseguridad, la tecnología por sí sola no es suficiente; la educación y la conciencia del usuario son fundamentales para evitar caer en estas trampas.

El contexto internacional: coincidencias con agencias europeas

Esta campaña no es un esfuerzo aislado. Agencias de inteligencia europeas, como el Servicio de Inteligencia y Seguridad General de Países Bajos (AIVD) y el Servicio de Inteligencia Militar (MIVD), junto con la Oficina Federal de Protección de la Constitución de Alemania (BfV), la Oficina Federal de Seguridad de la Información (BSI) y la Agencia Nacional de Seguridad de Sistemas de Información de Francia (ANSSI), han emitido advertencias similares sobre actividades atribuidas a UNC5792. Esto sugiere una campaña coordinada y de amplio alcance, dirigida no solo a objetivos en Estados Unidos, sino también en Europa y otros lugares.

Google Threat Intelligence Group fue la primera organización en documentar públicamente las actividades de UNC5792, lo que refuerza la idea de que estamos ante un grupo bien organizado y con recursos significativos. La superposición de estas advertencias internacionales indica que los objetivos incluyen a gobiernos, medios de comunicación y organizaciones no gubernamentales en todo el mundo, lo que subraya la necesidad de una respuesta global coordinada.

El incentivo económico: recompensas por información

Como parte de sus esfuerzos para desmantelar estas operaciones, el Departamento de Estado de Estados Unidos, a través de su programa Recompensas por la Justicia, ofrece hasta 10 millones de dólares por información que lleve a la identificación o captura de miembros de UNC5792. Esta cifra refleja la gravedad del problema y el valor estratégico que los gobiernos otorgan a la lucha contra el ciberespionaje ruso. Para los profesionales de la ciberseguridad y los usuarios afectados, esta recompensa podría ser un incentivo para reportar actividades sospechosas y colaborar con las autoridades.

Sin embargo, es importante recordar que este tipo de recompensas no protegen automáticamente a los usuarios individuales. La mejor defensa sigue siendo la prevención: evitar compartir claves de recuperación, verificar la autenticidad de los mensajes de soporte y estar al tanto de las tácticas de phishing más recientes.

¿Qué deben hacer los usuarios ahora? Pasos concretos para protegerse

Para los usuarios de Signal, especialmente aquellos con perfiles de alto riesgo, hay acciones inmediatas que pueden reducir el riesgo de compromiso. En primer lugar, deben desactivar la función de respaldo si no la necesitan. Si ya tienen respaldos activados, es crucial generar una nueva clave de recuperación y asegurarse de que la antigua sea inutilizable para futuros accesos. También es recomendable revisar periódicamente la configuración de seguridad de la cuenta, incluyendo la verificación en dos pasos y el historial de dispositivos vinculados.

Para los administradores de equipos de seguridad en organizaciones, la recomendación es clara: capacitar a los empleados en la identificación de mensajes de phishing y establecer protocolos claros para reportar actividades sospechosas. Signal ofrece herramientas como la verificación de seguridad y la notificación de nuevos dispositivos vinculados, que pueden ser configuradas para alertar a los usuarios ante intentos de acceso no autorizado.

Los periodistas, activistas y funcionarios que manejan información sensible deben considerar el uso de dispositivos dedicados y redes separadas para comunicaciones críticas, así como la implementación de políticas estrictas de gestión de dispositivos y claves de acceso.

El futuro del phishing y la ciberseguridad: lecciones aprendidas

Esta campaña es un ejemplo claro de cómo los atacantes evolucionan sus tácticas para explotar funciones legítimas de las plataformas. A medida que las aplicaciones de mensajería refuerzan sus protecciones, los delincuentes buscan nuevas formas de engañar a los usuarios. La clave de recuperación de Signal es solo un ejemplo; en el futuro, podríamos ver ataques similares dirigidos a otras funciones de respaldo o sincronización en apps populares.

Para los desarrolladores de software, esto subraya la importancia de diseñar funciones con la seguridad del usuario como prioridad. Las notificaciones de respaldo, las claves de recuperación y otros mecanismos de recuperación de cuentas deben incluir advertencias claras sobre los riesgos de compartir esta información. Para los usuarios, la regla de oro sigue siendo: nunca compartir claves de recuperación, códigos de verificación o credenciales con terceros, sin importar cuán convincentes sean los mensajes.

Conclusión: más allá de Signal, una llamada a la acción global

El aviso del FBI y CISA no es solo una alerta técnica, sino un recordatorio de que el ciberespionaje ruso sigue siendo una amenaza activa y en evolución. La incorporación de la clave de recuperación de Signal como herramienta de ataque marca un nuevo nivel de sofisticación en las campañas de phishing dirigidas a plataformas de mensajería cifrada. Para los usuarios, la solución pasa por la educación, la precaución y la adopción de medidas proactivas. Para los gobiernos y las empresas, es una llamada a fortalecer la cooperación internacional y a invertir en la protección de aquellos que manejan información crítica.

En un mundo donde la comunicación segura es vital, la responsabilidad recae tanto en los desarrolladores como en los usuarios. Signal sigue siendo una herramienta confiable, pero su seguridad depende, en última instancia, de cómo la usemos. La próxima vez que reciba un mensaje urgente pidiéndole que comparta una clave o un código, recuerde: detenerse un segundo puede marcar la diferencia entre la seguridad y el compromiso.