{"id":27525,"date":"2022-08-30T20:27:05","date_gmt":"2022-08-30T18:27:05","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27525"},"modified":"2022-08-30T20:27:05","modified_gmt":"2022-08-30T18:27:05","slug":"signal-hacked-but-still-secure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/signal-hacked-but-still-secure\/27525\/","title":{"rendered":"Signal es segura, as\u00ed lo demuestran los hackers"},"content":{"rendered":"

El pasado 15 de agosto, el equipo de Signal<\/a> inform\u00f3 de que unos desconocidos hackers <\/em>atacaron a los usuarios de su servicio de mensajer\u00eda. Aqu\u00ed explicamos por qu\u00e9 este incidente muestra las ventajas de Signal frente a otros servicios de este tipo.<\/p>\n

\u00bfQu\u00e9 pas\u00f3?<\/h2>\n

De acuerdo con el comunicado emitido por Signal, el ataque afect\u00f3 a unos 1.900 usuarios de la aplicaci\u00f3n. La audiencia total de Signal supera<\/a> los 40 millones de usuarios activos al mes, por lo que el incidente solo afect\u00f3 a una \u00ednfima parte de sus usuarios. Dicho esto, Signal es una aplicaci\u00f3n usada en su mayor parte por quienes se preocupan por la privacidad de sus conversaciones, por lo que, aunque el ataque afect\u00f3 a una min\u00fascula parte de la audiencia, la noticia ha tenido una gran repercusi\u00f3n en el \u00e1mbito de la seguridad de la informaci\u00f3n.<\/p>\n

Como resultado del ataque, los hackers<\/em> pudieron iniciar sesi\u00f3n en las cuentas de las v\u00edctimas desde otros dispositivos, o simplemente descubrir qu\u00e9 usuarios de tal o cual tel\u00e9fono son usuarios de Signal. De los 1.900 usuarios atacados, los atacantes ten\u00edan inter\u00e9s solo en tres usuarios concretos y uno de estos tres notific\u00f3 que su cuenta hab\u00eda sido activada en otro dispositivo sin su consentimiento.<\/p>\n

\u00bfC\u00f3mo sucedi\u00f3?<\/h2>\n

En varios art\u00edculos de nuestro blog Kaspersky Daily, hemos hablado<\/a> sobre el hecho<\/a> de que Signal es un servicio de mensajer\u00eda seguro, sin embargo, fue atacado con \u00e9xito. \u00bfEsto quiere decir que no es cierto su reconocida seguridad y privacidad? Echemos un vistazo a c\u00f3mo se fue exactamente el ataque y qu\u00e9 papel jug\u00f3 Signal en \u00e9l.<\/p>\n

Comencemos con el hecho de que las cuentas de Signal est\u00e1 vinculadas a un n\u00famero de tel\u00e9fono, como sucede, por ejemplo, en WhatsApp y Telegram. Esta pr\u00e1ctica, si bien es com\u00fan, no es universal. Por ejemplo, el servicio de mensajer\u00eda seguro Threema afirma con orgullo como uno de sus argumentos de venta que no vincula las cuentas a los n\u00fameros de tel\u00e9fono. En Signal, es necesario un n\u00famero de tel\u00e9fono para realizar la autentificaci\u00f3n<\/a>: el usuario introduce su n\u00famero y recibe un c\u00f3digo mediante un mensaje de texto. Este es el c\u00f3digo que debe introducir y, si es correcto, significa que el usuario es el propietario de este n\u00famero.<\/p>\n

El env\u00edo de estos mensajes de texto con c\u00f3digos de un solo uso se lleva a cabo por empresas especializadas que brindan el mismo m\u00e9todo de autentificaci\u00f3n para diversos servicios. En el caso de Signal, su proveedor es Twilio, y es a esta empresa a la que se dirigieron los hackers<\/em>.<\/p>\n

El siguiente paso fue el phishing<\/em>. Algunos empleados de Twilio recibieron<\/a> mensajes que afirmaban que, supuestamente, sus contrase\u00f1as, eran antiguas y deb\u00edan ser actualizadas. Para ello, se les instaba a hacer clic en un enlace de phishing <\/em>(c\u00f3mo no). Un empleado mordi\u00f3 el anzuelo, entr\u00f3 en esta falsa web e introdujo sus datos de acceso que terminaron directamente en manos de los hackers<\/em>.<\/p>\n

Estos datos les permitieron acceder a los sistemas internos de Twilio, lo que les permiti\u00f3 enviar mensajes de texto a los usuarios y leerlos. Despu\u00e9s, los hackers<\/em> utilizaron el servicio para instalar Signal en un dispositivo nuevo: introdujeron el n\u00famero de tel\u00e9fono de la v\u00edctima, interceptaron el texto con el c\u00f3digo de activaci\u00f3n y, voil\u00e0<\/em>,accedieron a su cuenta de Signal.<\/p>\n

\u00bfY c\u00f3mo demuestra este incidente la seguridad de Signal?<\/h2>\n

Vale, resulta que incluso Signal es vulnerable a este tipo de incidentes. Entonces, \u00bfpor qu\u00e9 seguimos hablando de su seguridad y privacidad?<\/p>\n

En primer lugar, los cibercriminales no pudieron acceder a las conversaciones de los usuarios<\/strong>. Signal usa un cifrado de<\/a> extremo a extremo con el protocolo de seguridad Signal<\/a>. Al utilizar el cifrado de extremo a extremo, los mensajes de cada usuario se almacenan solo en sus dispositivos, no en los servidores de Signal, ni en ning\u00fan otro sitio. Por lo tanto, solo con hackear<\/em> la infraestructura de Signal no es posible leerlos.<\/p>\n

Lo que se almacena en los servidores de Signal son los n\u00fameros de tel\u00e9fono de los usuarios y los de sus contactos. Esto permite que el servicio de mensajer\u00eda te notifique cunado uno de tus contactos se registra en Signal. Sin embargo, los datos se guardan, primero, en almacenamientos especiales llamados enclaves seguros, a los que ni siquiera pueden acceder los desarrolladores de Signal. Y los n\u00fameros en s\u00ed no se almacenan all\u00ed como texto sin formato, sino en forma de c\u00f3digo hash<\/em>. Este mecanismo permite que la aplicaci\u00f3n de Signal en tu tel\u00e9fono env\u00ede informaci\u00f3n cifrada sobre los contactos y reciba una respuesta tambi\u00e9n cifrada sobre cu\u00e1l de tus contactos utiliza Signal. Es decir, los atacantes tampoco podr\u00edan acceder a la lista de contactos del usuario.<\/strong><\/p>\n

Por \u00faltimo, debemos enfatizar que Signal sufri\u00f3 un ataque en su cadena de suministro, mediante un proveedor de servicios utilizado por la empresa que estaba menos protegido. Por lo tanto, este es su eslab\u00f3n d\u00e9bil. Sin embargo, Signal tambi\u00e9n tiene medidas de seguridad contra esto.<\/p>\n

La app contiene una funci\u00f3n llamada Bloqueo de registro (para activarla, ve a Ajustes <\/em>\u2192 <\/em>Cuenta <\/em>\u2192 <\/em>Bloqueo de registro<\/em>), tras activarla, en el momento en el que se active Signal en un nuevo dispositivo, se requerir\u00e1 introducir un PIN<\/a> definido por el usuario. El PIN en Signal no tiene nada que ver con el desbloqueo de la aplicaci\u00f3n; esto se har\u00e1 de la misma forma en la que se desbloquea el smartphone<\/em>.<\/p>\n

\"Bloqueo

Bloqueo de registro en los Ajustes de Signal<\/p><\/div>\n

El bloqueo de registro est\u00e1 deshabilitado por defecto, como pas\u00f3 con al menos una de las cuentas hackeadas. Por ello, los cibercriminales lograron el ataque al hacerse pasar por la v\u00edctima del ataque durante unas 13 horas aproximadamente. Si el Bloqueo de registro hubiera sido habilitado, no podr\u00edan haber iniciado sesi\u00f3n en la app<\/strong>\u00a0tan solo conociendo el n\u00famero de tel\u00e9fono y el c\u00f3digo de verificaci\u00f3n.<\/p>\n

\u00bfQu\u00e9 se puede hacer para proteger mejor los mensajes?<\/h2>\n

En resumen: los atacantes no hackearon Signal en s\u00ed misma, sino a su socio Twilio, lo que les dio acceso a 1.900 cuentas, iniciando sesi\u00f3n en tres de ellas. Adem\u00e1s, no consiguieron acceder ni a los mensajes ni a la lista de contactos, solo pudieron hacerse pasar por los usuarios de las cuentas en las que se introdujeron. Si estos usuarios hubieran activado el Bloqueo de registro, los hackers <\/em>ni siquiera habr\u00edan podido realizar lo que hicieron.<\/p>\n

Y, aunque el ataque fue exitoso, estrictamente hablando, no hay raz\u00f3n para asustarse y abandonar Signal. Como se demuestra en este incidente de hackeo, e<\/em>sta sigue siendo una app bastante segura y proporciona una buena privacidad de los mensajes. Sin embargo, s\u00ed que puedes hacerla m\u00e1s segura:<\/p>\n