Advertencia de scam por problemas en Signal a usuarios tras ataques de hackers a funcionarios

Hace 12 horas

CompartirGuardar

Liv McMahonReportera de tecnología

CompartirGuardar

Getty Images

Signal ha advertido a los usuarios que estén atentos a signos de estafas, después de que las agencias de inteligencia holandesas informaran que hackers estaban atacando a usuarios de alto perfil de la aplicación de mensajería segura.

Las agencias de ciberseguridad holandesas dijeron el lunes que una campaña respaldada por Rusia había dirigido ataques a usuarios individuales de Signal, así como de WhatsApp.

Indicaron que los hackers se hacían pasar por personal de soporte para intentar obtener detalles que les permitieran acceder a cuentas o secuestrar dispositivos vinculados, con funcionarios holandeses, personal militar y empleados públicos entre los objetivos en esta campaña “global”.

Signal afirma que sus sistemas siguen siendo seguros, pero está tomando muy en serio los reportes de estas actividades.

La campaña fue identificada por las agencias de inteligencia holandesas, el Servicio de Inteligencia Militar y Seguridad (MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD).

En un comunicado de prensa, dijeron que esta “gran campaña cibernética global” parecía dirigirse a personas de interés para el estado ruso, como funcionarios gubernamentales y periodistas.

“No es que Signal o WhatsApp en su conjunto hayan sido comprometidos. Se están atacando cuentas de usuarios individuales”, dijo Simone Smit, directora general de AIVD.

Signal reiteró esto en una serie de publicaciones en X, enfatizando que sus sistemas “no han sido comprometidos y siguen siendo robustos”.

“Estos ataques se llevaron a cabo mediante campañas de phishing sofisticadas, diseñadas para engañar a los usuarios y que compartan información —códigos SMS y/o PIN de Signal— para acceder a sus cuentas”, escribió.

Los ataques de phishing, conocidos como tales, son intentos de criminales por convencer a los usuarios de que compartan contraseñas, dinero o detalles de su identidad, a menudo impersonando a agentes de soporte, amigos, familiares o celebridades.

En la campaña identificada por las agencias de inteligencia holandesas, los hackers se hicieron pasar por Soporte de Signal para intentar que las personas compartieran detalles de sus cuentas.

¿Permitir contenido en X?

Este artículo contiene contenido proporcionado por X. Solicitamos su permiso antes de cargar cualquier contenido, ya que pueden estar usando cookies y otras tecnologías. Es posible que desee leer

la política de cookies de X

y

la política de privacidad

antes de aceptar. Para ver este contenido, elija ‘aceptar y continuar’.

Aceptar y continuar

La BBC no se responsabiliza por el contenido de sitios externos. El contenido de X puede contener anuncios.

Al crear una cuenta en Signal, se pide a los usuarios que la aseguren con un código PIN, algo que dicen nunca debe compartirse con nadie.

La compañía agregó que los usuarios tampoco deben compartir los códigos de verificación enviados a su teléfono.

WhatsApp ha dado un consejo similar, diciendo que los usuarios no deben compartir los códigos de seis dígitos utilizados para asegurar su cuenta.

También indica que las personas pueden tomar medidas adicionales para proteger sus cuentas, incluyendo bloquear mensajes o llamadas desconocidas.

• ¿Qué es la aplicación de mensajería Signal y qué tan segura es?

‘Errores humanos’

Signal ha destacado que, aunque tienen protecciones en marcha, “la vigilancia del usuario” es la mejor forma de combatir los intentos de phishing.

“Las funciones de seguridad están siendo utilizadas en contra de los usuarios”, dijo Muhammad Yahya Patel, asesor de ciberseguridad en la firma Huntress.

“En el pasado, los hackers buscaban errores en el código. Ahora, buscan errores humanos en cómo interactúan las personas con las aplicaciones”, explicó a la BBC.

Dijo que funciones convenientes, como permitir a los usuarios acceder a su cuenta en otros dispositivos mediante códigos QR, o recuperar el acceso con códigos de verificación por texto, se han convertido en “los principales vectores de ataque utilizados por los criminales”.

Patel instó a las personas a revisar regularmente los dispositivos vinculados a su cuenta en la configuración para asegurarse de que nadie más pueda acceder a sus mensajes.

También advirtió que usar una aplicación con cifrado de extremo a extremo (E2EE) no significa “seguridad total”.

Getty Images

Los usuarios de WhatsApp pueden limitar quién puede ver su foto de perfil, ubicación en vivo o agregarlos a grupos en la configuración de la app.

El cifrado de extremo a extremo, utilizado para proteger mensajes en Signal y WhatsApp, significa que solo el remitente y el receptor pueden leerlo.

“Este tipo de cifrado no puede proteger la cuenta y el dispositivo si estos son comprometidos”, dijo Patel.

Los servicios de inteligencia holandeses creen que Rusia dirigió ataques a Signal porque su reputación como una app altamente segura la ha hecho popular entre funcionarios que buscan comunicarse de forma segura.

Pero también dijeron que esto ha convertido a la app en “el lugar ideal para actores maliciosos” que intentan capturar información sensible.

“A pesar de su opción de cifrado de extremo a extremo, aplicaciones de mensajería como Signal y WhatsApp no deben usarse como canales para información clasificada, confidencial o sensible”, afirmó el director de MIVD, Peter Reesink.

La Dra. Pia Hüsch, investigadora en ciberseguridad en el Royal United Services Institute (Rusi), dijo que “muchos actores maliciosos en el ciberespacio están explotando estas aplicaciones”.

Pero agregó que el uso de “simples intentos de phishing” aquí puede sorprender a algunos.

“A veces pensamos en actores estatales como estos actores de amenazas increíblemente sofisticados que tienen todas las capacidades y herramientas avanzadas… pero esto es una forma bastante básica de intentar acceder a algo”, afirmó la Dra. Hüsch.

Reportaje adicional de Richard Morris

Cinco conclusiones del chat filtrado del ejército estadounidense

TikTok no protegerá los mensajes directos con tecnología de privacidad controvertida, diciendo que pondría en riesgo a los usuarios

¿Cómo gana dinero WhatsApp? Es gratis, con algunos trucos

Suscríbase a nuestro boletín Tech Decoded para seguir las principales historias y tendencias tecnológicas del mundo. ¿Fuera del Reino Unido? Suscríbase aquí.

Cifrado de extremo a extremo

Ciberseguridad

Privacidad