Cuando Signal ganó popularidad hace unos años por ser una de las mejores alternativas a WhatsApp, las características que la hacían resaltar sobre el resto de apps de mensajería eran su privacidad y seguridad reforzada. Sin embargo, el tiempo ha demostrado una vez más que ninguna aplicación es 100 % fiable en estos apartados. Hace unos días reportamos que el malware Dracarys estaba colándose en el APK de Signal para infectar los móviles de las personas.
Ahora, Signal ha alertado a 1900 usuarios de su plataforma sobre una amenaza de seguridad en Twilio (el servicio que ayuda a Signal con las comunicaciones por SMS). Al parecer, no es nada grave, pero Signal afirma que existe la posibilidad de que los atacantes que hackearon Twilio vuelvan a registrar un nuevo dispositivo asociado al número de un usuario afectado.
Los atacantes querían hackear las cuentas de Signal de tres usuarios específicos
Todos los usuarios de Signal que han sido afectados por el hackeo de Twilio ya han sido notificados. Por tanto, si eres uno de ellos, ya debiste haber recibido un correo o un mensaje de Signal informándote el inconveniente. En dicho mensaje la plataforma indica que los atacantes estuvieron buscando los números de tres usuarios en concreto durante el tiempo que tuvieron acceso a Twilio antes de que los echaran. Así que no es un ataque general, sino dirigido a un grupo de usuarios de interés.
No olvidemos que las primeras personas de importancia que empezaron a recomendar Signal como una alternativa privada a WhatsApp fueron el espía Edward Snowden y el multimillonario Elon Musk. Con esto no queremos decir que los hackers estuvieran detrás de estas dos personalidades, sino recalcar el calibre de personas que usan esta aplicación de mensajería.
Eso sí, es importante aclarar que la plataforma de Signal no sufrió ningún ataque. Lo que atacaron los hackers fue Twilio, que es la empresa que proporciona a Signal servicios de verificación de números de teléfono por SMS. Por tanto, los hackers no pudieron acceder al historial de mensajes, listas de contactos, información del perfil o de las personas bloqueadas y cualquier otro dato que guarda Signal de tu cuenta.
Message history, profile info, contact lists, & other data were NOT & could not be accessed. The information attackers accessed could allow them to attempt to register a Signal user’s phone number on a new device if that user had not enabled registration lock. 2/
— Signal (@signalapp) August 15, 2022
Si tu número de Signal se filtró en el hackeo de Twilio, esto es lo que debes hacer
El único riesgo que supone el hackeo a Twilio es la posibilidad de que los atacantes usen tu número para volver a registrar un nuevo dispositivo asociado a tu cuenta. Lo que Signal recomienda para mantener tu cuenta a salvo es activar el bloqueo de registro para asegurarse de que nadie pueda utilizar tu número para volver a registrarlo. También aconsejan volver a registrar tu número de teléfono por si acaso.
Para activar el bloqueo de registro en Signal solo debes hacer lo siguiente:
- Ve a los Ajustes de Signal.
- Selecciona Cuenta.
- Activa el Bloqueo de registro.
Esta función lo que hará será pedir tu código PIN para volver a registrar tu número en Signal. De esta manera, si un atacante ha conseguido obtener tu número de teléfono, no podrá registrarlo sin tu código PIN. ¿Y si olvidas el PIN? Lastimosamente, quedarás bloqueado hasta 7 días, pues Signal no puede restablecer tu PIN. Por lo tanto, cuando habilites esta función, asegúrate de recordar tu código PIN.