Ni en Signal estamos a salvo: exponen los datos de miles de usuarios por Twilio

Fundada en 2013 y con unos 10 millones de usuarios al mes, Signal es una aplicaci¨®n de mensajer¨ªa instant¨¢nea apoyada por Brian Acton -cofundador de WhatsApp-, y que est¨¢ basada en un c¨®digo abierto, por lo que cualquiera puede comprobar c¨®mo funciona, a diferencia de WhatsApp, que aunque est¨¢ basada en el mismo protocolo -Open Whisper Systems-, no es de c¨®digo abierto.

El uso de Signal est¨¢ por ejemplo recomendado para comunicaciones entre el personal de la Uni¨®n Europea y la gente que no trabaja dentro de la Comisi¨®n Europea. Pero en la ¨¦poca actual, ni siquiera la app de mensajer¨ªa considerada m¨¢s segura se libra de sufrir brechas de seguridad. Y es lo que le ha pasado a Signal.

Verificaci¨®n Twilio

La aplicaci¨®n de mensajer¨ªa cifrada de extremo a extremo Signal, con unos 40 millones de usuarios activos al mes, anunci¨® ayer lunes una brecha de seguridad. Pero no en su sistema, sino en el de uno de sus socios para la seguridad de su aplicaci¨®n. Signal ha confirmado que que los atacantes accedieron a los n¨²meros de tel¨¦fono y c¨®digos de verificaci¨®n de SMS de casi 2.000 usuarios como parte de la brecha en el gigante de las comunicaciones Twilio la semana pasada.

Twilio, que proporciona servicios de verificaci¨®n de n¨²meros de tel¨¦fono a Signal, dijo el 8 de agosto que los actores maliciosos accedieron a los datos de 125 clientes despu¨¦s de haber suplantado con ¨¦xito a varios empleados. La compa?¨ªa no revel¨® qui¨¦nes eran los clientes, pero es probable que incluyan grandes organizaciones despu¨¦s de que Signal confirmara el lunes que era una de esas v¨ªctimas.

Casi 2000 usuarios

Signal dijo en una entrada de blog el lunes que notificar¨ªa a unos 1.900 usuarios cuyos n¨²meros de tel¨¦fono o c¨®digos de verificaci¨®n de SMS fueron robados cuando los atacantes obtuvieron acceso a la consola de soporte al cliente de Twilio.

Aunque esto no le dio al atacante acceso al historial de mensajes, que Signal no almacena, ni a las listas de contactos ni a la informaci¨®n del perfil, que est¨¢ protegida por el PIN de seguridad del usuario, Signal dijo que "en el caso de que un atacante pudiera volver a registrar una cuenta, podr¨ªa enviar y recibir mensajes de Signal desde ese n¨²mero de tel¨¦fono."

Para los afectados, la compa?¨ªa ha se?alado que anular¨¢ el registro de Signal en todos los dispositivos que el usuario est¨¦ utilizando actualmente -o en los que un atacante los haya registrado- y requerir¨¢ que los usuarios vuelvan a registrar Signal con su n¨²mero de tel¨¦fono en su dispositivo preferido. Signal tambi¨¦n aconseja a los usuarios que activen el bloqueo de registro, una funci¨®n que impide que una cuenta se vuelva a registrar en otro dispositivo sin el PIN de seguridad del usuario.

Un ataque buscando tres n¨²meros en espec¨ªfico

Seg¨²n Signal, "Entre los 1.900 n¨²meros de tel¨¦fono, el atacante busc¨® expl¨ªcitamente tres n¨²meros, y hemos recibido un informe de uno de esos tres usuarios de que su cuenta fue registrada de nuevo". Aunque la brecha de Twilio afecta a una fracci¨®n de los m¨¢s de 40 millones de usuarios de Signal, los usuarios llevan tiempo lamentando que Signal -considerada una de las aplicaciones de mensajer¨ªa m¨¢s seguras- requiera que los usuarios registren un n¨²mero de tel¨¦fono para crear una cuenta.

Otras aplicaciones de cifrado de extremo a extremo, como Wire, permiten a los usuarios registrarse con un nombre de usuario. Aunque Signal se ha movido para poner fin a su dependencia de los n¨²meros de tel¨¦fono, como con la introducci¨®n de los PIN de Signal en 2020, este incidente seguramente provocar¨¢ que la transici¨®n sea m¨¢s r¨¢pida.