El FBI y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) han advertido que los hackers de inteligencia rusos han adoptado una nueva táctica contra los usuarios de Signal al intentar robar claves de recuperación de copia de seguridad en lugar de códigos de verificación, dándoles acceso al historial de mensajes cifrados de las víctimas.
Amplía updated public service announcement un aviso publicado en marzo, que advertía que los servicios de inteligencia rusos estaban atacando a usuarios de aplicaciones de mensajería segura mediante campañas de phishing. Según el FBI, los atacantes han centrado ahora su atención en las Claves de Recuperación de Backup de Signal, lo que les permite restaurar copias de seguridad de mensajes y acceder a conversaciones históricas sin romper el cifrado de extremo a extremo de Signal.
La campaña se atribuye a los Servicios de Inteligencia rusos (RIS), incluidos operadores asociados con el Servicio Federal de Seguridad (FSB) y otros grupos vinculados a la inteligencia militar. La actividad se registra públicamente como UNC5792 y UNC4221. Los principales objetivos incluyen funcionarios gubernamentales actuales y anteriores, personal militar, periodistas, figuras políticas y funcionarios vinculados a Ucrania.
A diferencia de intentos anteriores de phishing que buscaban códigos de verificación o PIN de cuenta de un solo uso, los mensajes más recientes animan a las víctimas a habilitar copias de seguridad de Signal y luego compartir su Clave de Recuperación de Copia de Seguridad bajo el pretexto de una actualización de seguridad obligatoria o un procedimiento de recuperación de datos.
Si una víctima proporciona la clave de recuperación, los atacantes pueden restaurar las copias de seguridad cifradas de la cuenta, leer tanto conversaciones privadas como de grupo, y potencialmente mantener el acceso a futuras copias de seguridad. Según el FBI, este acceso puede persistir incluso si la víctima cambia de dispositivo o crea una nueva cuenta de Signal usando el mismo número de teléfono, a menos que se genere una nueva clave de recuperación.
Las agencias enfatizaron que los ataques no explotan vulnerabilidades en Signal en sí. En cambio, dependen completamente de la ingeniería social, convenciendo a los usuarios para que entreguen credenciales sensibles de la cuenta mediante mensajes de phishing convincentes que se hacen pasar por el soporte de Signal.
Los investigadores afirman que los mensajes de phishing afirman erróneamente que Signal está implementando la autenticación obligatoria de dos factores tras el aumento de ataques de hackers extranjeros. Otros advierten que los mensajes corren el riesgo de perderse a menos que los usuarios completen un proceso de recuperación urgente, indicándoles que revelen su clave de recuperación de copia de seguridad.
El FBI aconseja a los usuarios no compartir nunca su Clave de Recuperación de Copia de Seguridad, código de verificación o PIN con nadie, incluso si la solicitud parece provenir de Signal. Los usuarios también deben revisar regularmente los dispositivos vinculados a la app, eliminar cualquier conexión desconocida y generar una nueva Clave de Recuperación de Copia de Seguridad si sospechan que ha estado expuesta.