Ni en Signal estamos a salvo: exponen los datos de miles de usuarios por Twilio

Fundada en 2013 y con unos 10 millones de usuarios al mes, Signal es una aplicación de mensajería instantánea apoyada por Brian Acton -cofundador de WhatsApp-, y que está basada en un código abierto, por lo que cualquiera puede comprobar cómo funciona, a diferencia de WhatsApp, que aunque está basada en el mismo protocolo -Open Whisper Systems-, no es de código abierto.

El uso de Signal está por ejemplo recomendado para comunicaciones entre el personal de la Unión Europea y la gente que no trabaja dentro de la Comisión Europea. Pero en la época actual, ni siquiera la app de mensajería considerada más segura se libra de sufrir brechas de seguridad. Y es lo que le ha pasado a Signal.

Verificación Twilio

La aplicación de mensajería cifrada de extremo a extremo Signal, con unos 40 millones de usuarios activos al mes, anunció ayer lunes una brecha de seguridad. Pero no en su sistema, sino en el de uno de sus socios para la seguridad de su aplicación. Signal ha confirmado que que los atacantes accedieron a los números de teléfono y códigos de verificación de SMS de casi 2.000 usuarios como parte de la brecha en el gigante de las comunicaciones Twilio la semana pasada.

Twilio, que proporciona servicios de verificación de números de teléfono a Signal, dijo el 8 de agosto que los actores maliciosos accedieron a los datos de 125 clientes después de haber suplantado con éxito a varios empleados. La compañía no reveló quiénes eran los clientes, pero es probable que incluyan grandes organizaciones después de que Signal confirmara el lunes que era una de esas víctimas.

Casi 2000 usuarios

Signal dijo en una entrada de blog el lunes que notificaría a unos 1.900 usuarios cuyos números de teléfono o códigos de verificación de SMS fueron robados cuando los atacantes obtuvieron acceso a la consola de soporte al cliente de Twilio.

Aunque esto no le dio al atacante acceso al historial de mensajes, que Signal no almacena, ni a las listas de contactos ni a la información del perfil, que está protegida por el PIN de seguridad del usuario, Signal dijo que "en el caso de que un atacante pudiera volver a registrar una cuenta, podría enviar y recibir mensajes de Signal desde ese número de teléfono."

Para los afectados, la compañía ha señalado que anulará el registro de Signal en todos los dispositivos que el usuario esté utilizando actualmente -o en los que un atacante los haya registrado- y requerirá que los usuarios vuelvan a registrar Signal con su número de teléfono en su dispositivo preferido. Signal también aconseja a los usuarios que activen el bloqueo de registro, una función que impide que una cuenta se vuelva a registrar en otro dispositivo sin el PIN de seguridad del usuario.

Un ataque buscando tres números en específico

Según Signal, "Entre los 1.900 números de teléfono, el atacante buscó explícitamente tres números, y hemos recibido un informe de uno de esos tres usuarios de que su cuenta fue registrada de nuevo". Aunque la brecha de Twilio afecta a una fracción de los más de 40 millones de usuarios de Signal, los usuarios llevan tiempo lamentando que Signal -considerada una de las aplicaciones de mensajería más seguras- requiera que los usuarios registren un número de teléfono para crear una cuenta.

Otras aplicaciones de cifrado de extremo a extremo, como Wire, permiten a los usuarios registrarse con un nombre de usuario. Aunque Signal se ha movido para poner fin a su dependencia de los números de teléfono, como con la introducción de los PIN de Signal en 2020, este incidente seguramente provocará que la transición sea más rápida.