Signal, la aplicación de mensajería segura, se ha visto afectada por un hackeo que ha filtrado los números de teléfono de sus usuarios.
El ataque significa que 1.900 usuarios han sido comprometidos, con sus números de teléfono y códigos de SMS expuestos. Esto significa que los hackers podrían registrar esas cuentas en un nuevo dispositivo.
El hackeo es especialmente preocupante para Signal, ya que está pensada como una aplicación de mensajería privada y se recomienda habitualmente su uso a personas cuyos mensajes deben ser especialmente seguros.
El ataque no se realizó directamente a Signal, sino a Twilio, una empresa independiente que proporciona servicios a los desarrolladores. Signal utiliza sus servicios para verificar los números de teléfono de los usuarios cuando se registran.
La semana pasada, Twilio anunció que había sido hackeada, con atacantes que violaron sus sistemas internos y accedieron a los datos de los clientes. Signal era uno de esos clientes, por lo que sus usuarios se vieron afectados por el ataque.
Al parecer, el hacker trató de buscar tres cuentas, y registró con éxito una de ellas.
Signal dice que ya ha revocado el acceso de los atacantes, que el hackeo ha sido cerrado por Twilio, y que cualquier usuario afectado será notificado. Aquellos que puedan haber sido atrapados en el ataque recibirán mensajes de texto diciéndoles que registren su cuenta de nuevo, y sus cuentas serán desregistradas en cualquier dispositivo que estén utilizando.
La compañía también ha aconsejado a los usuarios que activen la función de “bloqueo de registro” que se encuentra en los ajustes. Su objetivo es proteger explícitamente contra este tipo de ataques, pero debe activarse manualmente.
Se dijo que parte del problema es el resultado de la vulnerabilidad en el sistema de telecomunicaciones, utilizado para enviar mensajes de texto y llamadas telefónicas, que todavía se utiliza para verificar los números de teléfono en Signal. “Aunque no tenemos la capacidad de arreglar directamente los problemas que afectan al ecosistema de telecomunicaciones, vamos a trabajar con Twilio y potencialmente con otros proveedores para reforzar su seguridad donde es importante para nuestros usuarios”, dijo en un anuncio.
El hackeo no significó que el atacante tuviera acceso al historial de mensajes, a la información del perfil o a las listas de contactos, advirtió Signal. Asimismo, el historial de mensajes se almacena en dispositivos específicos, por lo que incluso si una cuenta se volviera a registrar habría permanecido segura.
Sin embargo, un atacante habría podido enviar y recibir nuevos mensajes, desde el número de otra persona, si sus datos quedaban atrapados en el ataque.
Comments