Por Canuto Una nueva campaña de phishing está apuntando a usuarios de Signal con un método distinto al de ataques previos: en vez de centrarse solo en secuestrar cuentas, los atacantes buscan las claves de recuperación para acceder a copias de seguridad cifradas que podrían contener años de chats, fotos y documentos.
***
- Los atacantes se hacen pasar por “Signal Support” para pedir la clave de recuperación de Secure Backups.
- La campaña habría afectado a activistas anti-Partido Comunista Chino y también a otros perfiles, según investigadores.
- Signal recuerda que nunca contacta primero a los usuarios ni solicita códigos de registro, PIN o claves de recuperación.
Los hackers están apuntando a usuarios de Signal en una nueva ola de ataques de phishing que busca robar las copias de seguridad de chats, un objetivo especialmente sensible porque puede dar acceso a mensajes antiguos, fotos y documentos privados. La campaña representa un cambio respecto a operaciones anteriores, que se concentraban en secuestrar cuentas para suplantar a las víctimas sin acceder necesariamente a su historial.
Según reportó TechCrunch, los atacantes están enviando mensajes dentro de Signal haciéndose pasar por el equipo de soporte de la aplicación. En esos chats advierten falsamente que los respaldos y archivos multimedia del usuario están “en riesgo de pérdida permanente debido a un problema de sincronización”, con el fin de presionar a la víctima para que entregue su clave de recuperación.
El mensaje malicioso indica que compartir esa clave supuestamente permitirá vincular la copia de seguridad existente con la cuenta. También amenaza con una pérdida total de acceso a la cuenta y a todos los datos almacenados si el usuario no sigue las instrucciones, una táctica clásica de ingeniería social diseñada para generar urgencia y reducir el pensamiento crítico.
El analista del Washington Post, Josh Rogin, publicó una captura de pantalla de este nuevo tipo de intento de fraude y advirtió que se trataba de phishing. Rogin afirmó además que varios activistas anti-Partido Comunista Chino recibieron el mensaje, lo que sugiere que, al menos en algunos casos, la campaña tuvo un componente de selección de objetivos con motivación política o de vigilancia.
Mohammed Al-Maskati, director de la Digital Security Helpline de Access Now, dijo que dos personas también le compartieron mensajes similares. Al-Maskati explicó que esos dos casos no correspondían a activistas chinos, un detalle relevante porque amplía la posibilidad de que la operación no esté limitada a un solo grupo de víctimas ni a una sola comunidad de interés.
Esa observación deja abiertas dos lecturas. La primera es que la campaña podría estar más extendida de lo que inicialmente parecía y estar alcanzando a periodistas, disidentes, activistas o usuarios comunes. La segunda es que podrían existir distintos grupos de hackers aprovechando la misma táctica, una posibilidad frecuente cuando un método de engaño demuestra ser creíble y reutilizable.
Cómo funciona el engaño y por qué es distinto
En términos simples, el ataque depende del phishing, es decir, de engañar al objetivo para que entregue información privada por su propia voluntad. En este caso, los atacantes explotan la confianza del usuario en la marca Signal y en la idea de un supuesto equipo de soporte técnico que estaría ayudando a preservar el acceso a sus datos.
La diferencia clave frente a campañas anteriores es el foco sobre las copias de seguridad. En ataques previos, los hackers intentaban secuestrar la cuenta de Signal para luego hacerse pasar por la víctima, contactar a sus conocidos o acceder a su red de relaciones. Sin embargo, por el propio diseño de Signal, esos métodos no daban acceso automático a mensajes antiguos en un nuevo dispositivo.
Ahora el objetivo parece ser más ambicioso. Si un atacante obtiene la clave de recuperación de Secure Backups y además logra avanzar en el control de la cuenta, tendría una ruta potencial para restaurar la copia cifrada en otro teléfono y acceder a información histórica que normalmente no estaría disponible en un simple re-registro de cuenta.
Al-Maskati subrayó que robar la clave de recuperación es solo una parte del ataque y que los hackers todavía necesitan tomar control de la cuenta de la víctima. Ese matiz es importante porque evita exagerar el alcance inmediato del fraude, aunque no reduce su gravedad: la obtención de la clave es un paso estratégico que puede facilitar compromisos más profundos después.
Qué dice Signal sobre estas solicitudes
Signal ha sido clara en sus advertencias públicas sobre este tipo de engaños. La organización sostiene que nunca se pondrá en contacto primero con los usuarios y que jamás pedirá su código de registro, su PIN ni su clave de recuperación. Bajo esa regla, cualquier chat que pretenda venir de “Signal Support” debe considerarse malicioso.
La empresa ya había alertado públicamente el mes pasado sobre esta misma modalidad de ataque. Eso muestra que no se trata de un incidente aislado, sino de una táctica persistente dentro del ecosistema de amenazas que rodea a aplicaciones de mensajería cifrada, especialmente cuando son usadas por personas de alto riesgo.
El contexto importa porque Signal es una herramienta muy valorada entre periodistas, defensores de derechos humanos, investigadores y usuarios que priorizan la privacidad. Precisamente por esa reputación, los atacantes tienen incentivos para imitar su soporte técnico y aprovechar la confianza que inspira una plataforma conocida por su postura de seguridad.
TechCrunch indicó que Signal no respondió a una solicitud de comentarios. Aun así, la postura pública de la organización sobre códigos de registro, PIN y claves de recuperación funciona como guía suficiente para identificar el patrón: si alguien pide esos datos por chat, no es Signal.
Por qué las copias de seguridad son un objetivo tan sensible
El año pasado, Signal lanzó Secure Backups, una función opcional que permite subir el contenido de la cuenta a los servidores de la organización. Ese archivo queda cifrado con una clave de recuperación que, según Signal, nunca se comparte con sus servidores y nunca sale del dispositivo del usuario.
La empresa ha explicado que, sin esa clave única, nadie, incluido Signal, puede leer, descifrar o restaurar los datos almacenados en el archivo de respaldo. En la práctica, eso convierte a la clave de recuperación en el punto crítico de acceso a una versión histórica de la vida digital del usuario dentro de la aplicación.
La recomendación oficial de Signal es guardar esa clave de manera segura, por ejemplo en una libreta o dentro de un gestor de contraseñas. Esa sugerencia también ayuda a entender por qué los atacantes buscan obtenerla mediante engaño directo, ya que no deberían poder extraerla del servicio ni solicitarla legítimamente a la empresa.
Si un usuario registra su cuenta en un teléfono nuevo, descarga la copia cifrada desde los servidores de Signal y luego introduce la clave de recuperación, puede restaurar sus datos. Esa secuencia, pensada para proteger la privacidad, también explica por qué un atacante que consiga la clave puede ver en ella una pieza esencial para acceder a información anterior.
Riesgos adicionales y medidas de protección
Los hackers pueden tomar el control de cuentas de Signal por otras vías, como el secuestro del número telefónico de una persona. Frente a ese tipo de amenaza, Signal ofrece funciones opcionales de seguridad, entre ellas Registration Lock, una capa que impide vincular el número de un objetivo a un nuevo dispositivo a menos que el atacante también obtenga el PIN de la víctima.
Esa protección no elimina la necesidad de cautela frente al phishing. La lógica de estos ataques consiste en recolectar piezas separadas de información sensible y combinarlas después. Un mensaje que pide la clave de recuperación hoy puede ser parte de un intento mayor para comprometer la cuenta mañana o para preparar una intrusión más sofisticada.
Para los usuarios, la regla práctica es directa: no compartir nunca códigos de registro, PIN ni claves de recuperación dentro de chats, aunque el mensaje parezca urgente o tenga apariencia oficial. También conviene revisar la configuración de seguridad de la cuenta y habilitar las funciones opcionales disponibles para dificultar un re-registro no autorizado.
La campaña descubierta refuerza una lección más amplia en ciberseguridad. Incluso las plataformas diseñadas con fuertes garantías criptográficas pueden ser vulnerables cuando el punto de ataque es el comportamiento humano. Por eso, en entornos de alta sensibilidad, la defensa no depende solo del cifrado, sino también de reconocer intentos de manipulación antes de que sea demasiado tarde.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Estados Unidos
CFTC demanda a Rhode Island y escala la batalla por Polymarket y Kalshi
Empresas
Pay Tel expuso más de 300.000 licencias de conducir en una nueva falla de seguridad
Criptomonedas
Exjefe de la CFTC califica de “muy inusual” el intento de anular orden contra Gemini
Bitcoin