Actualiza Signal ahora mismo: la app segura publica un parche para cerrar un fallo que hackers rusos aprovechaban

El mercado de las aplicaciones de mensajería instantánea en España está dominado por dos grandes ganadoras: WhatsApp y su eterna rival, Telegram. No obstante, cientos de periodistas y activistas de todo el mundo usan Signal, una alternativa mucho más segura que, entre otras cuestiones, cifra de extremo a extremo todos los mensajes enviados en dicha plataforma. Si usas Signal, es imperativo que actualices ahora mismo la aplicación, ya que soluciona una vulnerabilidad que hackers rusos estaban aprovechando.

Así lo expuso el Grupo de Inteligencia contra Amenazas de Google (GTIG), que pudo observar cómo varios grupos de atacantes ligados al Kremlin estaban usando un fallo de la app para comprometer cuentas de Signal, especialmente las que estaban en el ojo de mira de la inteligencia rusa. El GTIG ya aseguró en ese momento que si bien este fallo se estaba dando en el contexto de la guerra con Ucrania, "las tácticas y métodos usados para atacar a Signal" aumentarían, fuera de las fronteras ucranianas.

Signal ya ha publicado una necesaria actualización que cierra esta vulnerabilidad, que usaba códigos QR maliciosos para vincular los dispositivos afectados con los equipos de estos hackers. Era básicamente como 'pinchar' la aplicación; con ello, los atacantes podían acceder a todos los mensajes en tiempo real de estos dispositivos, comprometiendo la privacidad de estas víctimas.

Actualiza ya Signal

El informe tuvo lugar el pasado miércoles, exponiendo cómo grupos de hackers relacionados con la inteligencia de Putin estaban haciendo objetivo a Signal, en una clara ofensiva para acceder a secretos gubernamentales y políticos en el contexto de la guerra de Ucrania. El método explota la capacidad de enviar invitaciones a grupos mediante códigos QR.

Tanto WhatsApp como Telegram, además de Signal, permiten crear códigos QR para invitar a otros usuarios a grupos. Un usuario por ejemplo puede generar uno de estos códigos para invitar a otro a un grupo; el destinatario tan solo tiene que escanear el código para unirse, sin más complicaciones. Los hackers sencillamente falsificaban estas invitaciones modificando los códigos QR para hacerlos maliciosos.

Signal app Nacho Castañón Omicrono

Estos códigos, en lugar de ser invitaciones, ocultaban comandos de JavaScript que vinculaban el teléfono de la víctima con otro nuevo dispositivo. Al escanear el código, el dispositivo se enlaza automáticamente al del atacante, permitiendo acceder a toda su cuenta, mensajes, etcétera. Dan Black, ex analista de la OTAN e investigador de Google en cuestiones de ciberespionaje, explica que este método "empareja instantáneamente tu dispositivo con el de ellos. Y todos tus mensajes, en tiempo real, se envían al actr de la amenaza mientras los recibes", expone Black.

La propia plataforma que mantiene Signal ya relató que se estaban gestando tácticas de phishing con códigos QR provenientes de Rusia, y por ello comenzaron a trabajar en una actualización que contrarresta este sistema. Ahora, tanto en las apps de Signal para iOS como para Android lanzan una advertencia antes de que se vinculen estos nuevos dispositivos.

Cellebrite Omicrono

[El CEO de Signal hackea una herramienta de la policía usada para entrar en móviles]

No solo eso; Signal también consultará en intervalos de unas pocas horas al usuario si aún quiere compartir mensajes con este nuevo dispositivo, y requerirá autenticarse en el smartphone para confirmar la vinculación de nuevos dispositivos. Por ejemplo, en Android se requerirá o bien la huella dactilar o bien el PIN, mientras que en iOS se pedirá autenticación mediante Face ID o Touch ID. Este tipo de ataques, por otro lado, también pueden afectar a WhatsApp y Telegram, que no disponen de mecanismos similares para proteger a los usuarios.

Es de hecho gracias a Google que Signal ha podido actuar tan rápido. El tecnólogo senior de Signal, Josh Lund, agradeció al equipo de Google toda la ayuda prestada para conseguir que Signal pudiera protegerse ante estos métodos, que se valen de la ingeniería social para ser efectivos. Y es que lo más problemático de este método es que no incurre en ninguna vulnerabilidad; usa un método totalmente legítimo como es el del código QR y la ingeniería social para hacer tácticas de phishing.