Espionaje ruso: nuevo método para robar claves de respaldo de Signal

¿Qué ha ocurrido?

El 30 de junio de 2025, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos emitieron una alerta conjunta actualizada sobre una campaña de phishing dirigida a usuarios de Signal, la aplicación de mensajería cifrada. Según el aviso, los hackers vinculados a la inteligencia rusa están utilizando un nuevo método para robar las claves de recuperación de respaldo de Signal. Estas claves permiten restaurar el historial de mensajes y archivos al instalar la aplicación en un nuevo dispositivo. Una vez obtenida la clave, los atacantes pueden vincular un dispositivo propio a la cuenta de la víctima y acceder a todos los mensajes, incluso después de que la víctima cambie de teléfono.

¿Por qué es importante?

Signal es ampliamente considerada la aplicación de mensajería más segura del mundo, utilizada por periodistas, activistas, disidentes, funcionarios gubernamentales y personal militar. Su reputación se basa en el cifrado de extremo a extremo y en la minimización de metadatos. Sin embargo, el nuevo ataque demuestra que la seguridad de Signal depende también de la protección de la clave de respaldo. Si un atacante obtiene esta clave, puede eludir el cifrado y acceder a conversaciones pasadas y futuras. La alerta del FBI indica que la campaña ha comprometido miles de cuentas a nivel mundial, y que los objetivos principales son personas vinculadas a la defensa, la política exterior y la sociedad civil.

¿Cómo funciona el ataque?

Los hackers envían mensajes de phishing que simulan ser notificaciones legítimas de Signal, solicitando a la víctima que haga clic en un enlace para verificar su cuenta o activar una función de seguridad. El enlace lleva a un sitio falso que pide la clave de recuperación de 12 palabras de Signal. Una vez que la víctima ingresa la clave, los atacantes la utilizan para restaurar la cuenta en un dispositivo controlado por ellos. A partir de ese momento, el atacante puede leer todos los mensajes sincronizados, incluidos los anteriores al robo. El FBI señala que este método es más efectivo que intentar vulnerar el cifrado directamente, ya que explota el factor humano.

Consecuencias y contexto histórico

Este ataque se inscribe en una larga historia de operaciones de espionaje ruso contra comunicaciones cifradas. Desde interferencias en elecciones hasta ataques a infraestructuras críticas, Rusia ha demostrado una capacidad persistente para adaptar sus tácticas. En 2023, el mismo grupo de hackers (identificado como UNC5792) ya había sido vinculado a campañas de phishing contra Signal, pero el nuevo método se enfoca en la clave de respaldo, lo que facilita el acceso persistente. La consecuencia inmediata es la pérdida de confianza en la seguridad de Signal, aunque la empresa ha respondido actualizando su documentación y recomendando a los usuarios no compartir su clave de respaldo con nadie. Para los usuarios, la lección es clara: la clave de respaldo debe tratarse con el mismo nivel de seguridad que una contraseña maestra.

¿Qué deben saber los lectores?

• Nunca compartas tu clave de recuperación de Signal. Signal nunca te la pedirá a través de un enlace o mensaje.
• Activa la verificación en dos pasos (PIN) en Signal para añadir una capa adicional de seguridad.
• Desconfía de mensajes inesperados que te pidan hacer clic en enlaces o proporcionar información sensible.
• Revisa los dispositivos vinculados en la configuración de Signal y elimina cualquier dispositivo desconocido.
• Si crees que has sido víctima, cambia tu clave de respaldo inmediatamente y contacta con el soporte de Signal.

“El cifrado de extremo a extremo es inútil si el usuario entrega la llave de su casa al atacante”, señala un portavoz del FBI en la alerta.

Esta campaña subraya que la seguridad no solo depende de la tecnología, sino también del comportamiento del usuario. La concienciación y la formación en ciberseguridad son esenciales para contrarrestar estas amenazas.