Los piratas informáticos están apuntando a los usuarios de Signal para robar copias de seguridad del chat como parte de una nueva campaña de piratería, según una investigación de TechCrunch.
El miércoles, el analista del Washington Post, Josh Rogin, publicó una captura de pantalla de un nuevo tipo de ataque contra los usuarios de Signal. El hacker se hace pasar por el equipo de soporte de la aplicación y advierte al objetivo que sus chats y medios respaldados corren «el riesgo de perderse para siempre debido a problemas de sincronización». Para evitar eso, el objetivo debe compartir la clave de recuperación utilizada para acceder a las copias de seguridad en línea en un chat con el hacker, indica el mensaje.
«Esto vinculará su copia de seguridad existente a su cuenta. Si no lo hace, puede perder el acceso a su cuenta y a todos los datos almacenados», dice el mensaje, que pretende provenir de una cuenta llamada Signal Support.
Rogin dijo que varios activistas anti-Partido Comunista Chino recibieron este mensaje malicioso.
Mohamed Al Maskati, director de la línea de ayuda de seguridad digital de Access Now, que investiga ataques cibernéticos contra periodistas, disidentes y defensores de los derechos humanos, dijo a TechCrunch que los dos habían compartido mensajes similares. Al Maskati dijo que los dos no eran activistas chinos. Esto sugiere que la campaña de piratería puede extenderse más ampliamente y dirigirse a otras comunidades, o que puede haber diferentes grupos de piratas informáticos que utilicen la misma estrategia.
No está claro qué tan efectiva fue la campaña de piratería. Al Maskati dijo que robar la clave de recuperación de la víctima para las copias de seguridad del chat es sólo una etapa del ataque y que el hacker aún necesita hacerse cargo de la cuenta de la víctima.
Generalmente, este tipo de ataque se basa en objetivos de phishing, lo que significa engañar al objetivo para que comparta información personal confidencial con el pirata informático. En este caso particular, el hacker se hace pasar por el equipo de soporte de Signal y explota la confianza del objetivo en la aplicación y la organización detrás de ella.
Es importante tener en cuenta que Signal dice que «nunca se comunicará» con los usuarios en primer lugar y nunca solicitará un código de registro, PIN o clave de recuperación. Esto significa que los chats que pretenden provenir de Signal Support en realidad provienen de piratas informáticos malintencionados. La organización advirtió públicamente sobre este mismo tipo de ataque el mes pasado.
consulta
¿Tienes más información sobre estos ataques contra usuarios de Signal? ¿O hay otros ataques similares? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde su dispositivo no laboral en Signal (+1 917 257 1382), en Telegram y Keybase @lorenzofb, o por correo electrónico.
Ha habido varias campañas de piratas informáticos haciéndose pasar por Signal Support en los últimos meses, pero este es un nuevo tipo de ataque, ya que se dirige específicamente a las copias de seguridad y puede contener chats, fotos y documentos antiguos de la víctima.
Campañas de piratería anteriores dirigidas a usuarios de Signal implicaron tomar el control y hacerse pasar por la cuenta de la víctima, a menudo con el objetivo subyacente de robar la información de contacto de la víctima o iniciar conversaciones con otras personas como si fueran el propietario de la cuenta. En estos casos, el pirata informático no puede acceder a mensajes anteriores porque el ataque se basa en volver a registrar la cuenta de la víctima en un dispositivo que controla. Debido a la forma en que está diseñado Signal, los mensajes antiguos no aparecerán en dispositivos nuevos.
Un pirata informático puede apoderarse de una cuenta de Signal, por ejemplo, secuestrando el número de teléfono de alguien. Pero Signal ofrece funciones de seguridad opcionales para evitarlo, incluido un bloqueo de inscripción que evita que los atacantes vinculen el número de un objetivo a un nuevo dispositivo a menos que roben el PIN del objetivo.
En este escenario, una forma de revisar mensajes antiguos es acceder a las copias de seguridad en línea de la víctima. Esto requiere una clave de recuperación.
El año pasado, Signal lanzó una nueva función de suscripción, Secure Backup. Esto permite a los usuarios cargar contenido desde sus cuentas a los servidores de Signal. La clave de recuperación está cifrada con la clave de recuperación y la organización dice que esta copia de seguridad «nunca se comparte con los servidores de Signal» y «nunca sale» del dispositivo del usuario. Signal dice que los usuarios deben guardar sus claves de recuperación de forma segura dentro de una computadora portátil o un administrador de contraseñas.
«Sin una clave de recuperación única, nadie (incluido Signal) puede leer, descifrar o restaurar los datos en su archivo de respaldo seguro», dijo Signal.
Esto significa que en un escenario en el que registra su cuenta en un teléfono nuevo, descarga una copia de seguridad cifrada de los servidores de Signal y la descifra con su clave de recuperación, solo el usuario puede acceder al archivo.
Signal no respondió a las solicitudes de comentarios.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
