Cotización de descuento para licencias múltiples
Seguridad informática Hackers rusos aprovechan la función "dispositivos...

Hackers rusos aprovechan la función "dispositivos vinculados" de Signal para espiar conversaciones cifradas

Por Mura en Seguridad informática
Traducir a:
Español

Los expertos en ciberseguridad están dando la voz de alarma tras descubrir una sigilosa campaña de piratería informática llevada a cabo por atacantes patrocinados por el estado ruso que secuestran cuentas de Signal Messenger para espiar conversaciones privadas y encriptadas en tiempo real.

En una investigación recientemente publicada, los investigadores de seguridad de Mandiant, una división de Google, advierten que varios grupos rusos de amenazas persistentes avanzadas (APT) han desarrollado un método poderoso para comprometer la función de "dispositivos vinculados" de Signal, una capacidad clave que permite a los usuarios sincronizar su aplicación de mensajería segura en varios teléfonos, tabletas o computadoras.

Sin embargo, esta comodidad se está convirtiendo en un arma peligrosa. Al explotar los dispositivos vinculados, los piratas informáticos pueden acceder de forma invisible a las cuentas de las víctimas y monitorear sus mensajes cifrados sin romper el cifrado de extremo a extremo de Signal. Una vez que obtienen acceso, todos los mensajes se copian directamente a los atacantes, sin que la víctima lo sepa.

Cómo funciona el ataque: phishing con códigos QR y secuestro de dispositivos

El método de los piratas informáticos se basa en el engaño. Las víctimas son engañadas para que escaneen códigos QR maliciosos que parecen invitaciones legítimas a grupos de Signal o instrucciones de emparejamiento de dispositivos. Una vez escaneados, el dispositivo de los atacantes se agrega en secreto a la cuenta de Signal de la víctima como un "dispositivo vinculado".

A partir de ese momento, todos los mensajes (tanto los enviados como los recibidos) se reflejan en tiempo real en el sistema del atacante. Esto evita el cifrado robusto de Signal porque los atacantes ahora son participantes autorizados que no rompen el cifrado, sino que se unen a la conversación de forma sigilosa.

El informe de Mandiant destaca que:

  • Se ha visto a grupos APT rusos alineados con el Kremlin usar este método en ataques de phishing dirigidos a personal militar, políticos, periodistas y activistas, personas que comúnmente confían en Signal para comunicaciones seguras.
  • Estas páginas de phishing a menudo imitan la interfaz oficial de Signal o se hacen pasar por aplicaciones confiables como la herramienta de guía de artillería del ejército ucraniano, Kropyva.
  • En escenarios de campo de batalla, se ha descubierto que fuerzas rusas utilizan dispositivos capturados para vincular cuentas de Signal a sus servidores para recopilar inteligencia.

Acceso invisible: por qué este exploit es tan peligroso

Uno de los aspectos más preocupantes de este ataque es el sigilo con el que opera. Los usuarios de Signal normalmente no reciben ninguna alerta notable cuando se vincula un nuevo dispositivo a su cuenta. Esto permite a los piratas informáticos mantener una vigilancia a largo plazo sin ser detectados.

Mandiant describe la técnica como una “forma de acceso inicial de baja firma”, lo que significa que deja pocos rastros. Si no comprueban activamente la configuración de sus “dispositivos vinculados”, las víctimas pueden permanecer inconscientes durante meses (o incluso más tiempo) de que sus conversaciones privadas están siendo transmitidas a actores hostiles.

Objetivo más amplio: WhatsApp y Telegram también en riesgo

Si bien Signal es el foco actual, Mandiant enfatiza que este tipo de ataque a dispositivos vinculados no es exclusivo de Signal. Los piratas informáticos rusos están implementando tácticas similares contra otras aplicaciones de mensajería ampliamente utilizadas, incluidas WhatsApp y Telegram.

Todas estas aplicaciones permiten la sincronización de múltiples dispositivos, y el proceso a menudo involucra códigos QR para mayor comodidad, lo que las hace propensas al abuso a través de phishing.

Espionaje en el mundo real: objetivos militares y políticos

El objetivo principal de los atacantes parece ser recopilar información de individuos y grupos de alto valor, entre ellos:

  • Personal militar ucraniano
  • Políticos europeos
  • Periodistas de investigación
  • Activistas de derechos humanos

En una operación particularmente sofisticada, el grupo ruso de piratas informáticos Sandworm aprovechó esta técnica en el campo de batalla. Después de capturar los teléfonos de los soldados enemigos, vincularon los dispositivos a su infraestructura, lo que les permitió espiar las comunicaciones militares en tiempo real.

Señales de que podría estar en peligro

Dado que este método de ataque está diseñado para ser silencioso, la autocomprobación es fundamental. A continuación, se indican algunos pasos para detectar y evitar el acceso no autorizado:

  1. Revisa los dispositivos vinculados periódicamente: abre la aplicación Signal, ve a Ajustes → Dispositivos vinculados e inspecciona la lista con atención. Si ves un dispositivo que no te resulta familiar, desvincúlalo de inmediato.
  • Habilitar el bloqueo de pantalla: utiliza una contraseña larga y compleja en tu teléfono. Esto hace que sea más difícil para alguien vincular un dispositivo si obtiene acceso físico por un breve tiempo.
  • Manténgase actualizado: instale siempre la última versión de Signal y otras aplicaciones de mensajería. Las actualizaciones suelen incluir mejoras de seguridad que pueden reducir las superficies de ataque.
  • Cuidado con los códigos QR: desconfíe de los códigos QR inesperados, incluso si parecen proceder de una fuente confiable. Verifique las invitaciones a grupos directamente con el remitente antes de escanearlas.
  • Utilice la autenticación multifactor (MFA): si bien Signal en sí no admite la MFA para vincular dispositivos, habilitar la autenticación de dos factores en las cuentas y copias de seguridad en la nube de su teléfono inteligente puede proporcionar una capa adicional de defensa.

    • Qué deben hacer ahora los usuarios de Signal

    El informe de Mandiant es un recordatorio esclarecedor de que ninguna aplicación es inmune a la explotación, especialmente cuando se enfrenta a actores de estados nacionales con vastos recursos. El cifrado de extremo a extremo de Signal sigue siendo sólido, pero este ataque elude el cifrado al explotar el comportamiento humano y la comodidad de sincronización de dispositivos de la aplicación.

    Si tiene una profesión sensible o vive en una región con amenazas de vigilancia activa, auditar su configuración de seguridad de Signal debería convertirse en un hábito habitual.

    Los expertos en seguridad subrayan que la vigilancia es clave:

    • Los usuarios de alto riesgo (personal militar, periodistas, activistas) deben revisar los dispositivos vinculados semanalmente.
    • Evite escanear códigos QR a menos que esté absolutamente seguro de su fuente.
    • Informe sobre mensajes sospechosos o intentos de phishing al equipo de TI de su organización o al proveedor de ciberseguridad.

    Una nueva era de vigilancia silenciosa

    La explotación de la función de “dispositivos vinculados” de Signal marca una evolución escalofriante en el ciberespionaje respaldado por el Estado. A diferencia del malware que deja rastros o altera los sistemas, este método opera silenciosamente, camuflándose en el trasfondo mientras canaliza conversaciones confidenciales a las agencias de inteligencia rusas.

    Cargando...