Resumen
Recientemente, Twilio (la compañía que proporciona los servicios de verificación de número a Signal) ha sufrido un ataque de phishing. Esto es lo que nuestros usuarios necesitan saber:
- Todos nuestros usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información del perfil, usuarios bloqueados, y otros datos de carácter personal permanecen privados y seguros y que no han sido afectados.
- Un atacante podría haber probado de volver a registrar el número de aproximadamente 1.900 usuarios en otro dispositivo, o descubierto que el número de estos usuarios estaba registrado en Signal. Twilio ya ha podido detener este ataque. 1.900 usuarios es un porcentaje muy pequeño del total de usuarios de Signal, lo cual quiere decir que la gran mayoría no han sido afectados.
Estamos notificando directamente a estos 1.900 usuarios, sugiriéndoles que vuelvan a registrar Signal en sus dispositivos. Si has recibido un SMS de Signal con un enlace a este artículo de soporte, por favor, sigue estos pasos:
- Abre Signal en tu teléfono y vuelve a registrar tu cuenta de Signal si así te lo pide la app.
- Para proteger aún más tu cuenta, te aconsejamos que actives el bloqueo de registro en los Ajustes de la app. Hemos creado esta función para proteger a nuestros usuarios de amenazas como el ataque a Twilio.
¿Qué ha pasado exactamente?
Twilio, la compañía que proporciona los servicios de verificación de número de teléfono a Signal, nos ha notificado que han sufrido un ataque de phishing. Hemos llevado a cabo una investigación del incidente y hemos concluido lo siguiente.
- Un atacante ha conseguido acceder al centro de datos de soporte al cliente de Twilio mediante una estrategia de phishing. Para aproximadamente 1.900 usuarios, o bien 1) sus números de teléfono han sido potencialmente revelados como números registrados com una cuenta de Signal, o 2) el código de verificación por SMS que se utilizó para registrarse en Signal ha sido revelado.
- Durante el lapso de tiempo en que el atacante ha tenido acceso a los sistemas de soporte al cliente de Twilio, es posible que haya intentado registrar los números de teléfono a los que ha tenido acceso en otro dispositivo, usando el código de verificación por SMS. El atacante ya no tiene este acceso, y el ataque ha sido detenido desde Twilio.
- Entre los 1.900 números de teléfono, el atacante ha buscado expresamente tres, y hemos recibido una denuncia de uno de estos tres usuarios informándonos de que su cuenta había sido registrada de nuevo.
Lo que es importante es que esto no ha dado acceso al atacante a ningún historial de mensajes, información de perfil, o listas de contactos. El historial de mensajes se almacena solamente en tu dispositivo y Signal no guarda ninguna copia. Tus listas de contactos, tu información de perfil, los usuarios a los que has bloqueado, y otra información solo puede recuperarse con tu PIN de Signal, al cual no se ha podido (ni se habría podido) acceder durante este incidente. Sin embargo, en el caso de que el atacante haya podido volver a registrar una cuenta, podría mandar y recibir mensajes de Signal desde este número de teléfono.
Para proteger a los usuarios afectados, estamos llevando a cabo las siguientes acciones:
- Hemos eliminado el registro de Signal de los 1.900 usuarios que han sido potencialmente afectados de todos los dispositivos que usen en el presente (o en los que lo haya registrado el atacante), y les pediremos que vuelvan a registrar Signal con su número de teléfono en su dispositivo preferente.
- Estamos notificando directamente vía SMS a cada uno de los 1.900 usuarios que han sido potencialmente afectados.
Desde el 15 de agosto, ya estamos notificando a los usuarios y pidiéndoles que vuelvan a registrarse en Signal con su número de teléfono. Habremos completado esta tarea para el 16 de agosto.
La razón por la cual Signal ha creado funciones como el bloqueo de registro y los PINs de Signal es para protegerte de vulnerabilidades como la de este ataque telemático sufrido por Twilio. Aconsejamos encarecidamente a nuestros usuarios que usen el bloqueo de registro. Si bien no tenemos la capacidad de arreglar directamente los problemas que afectan el medio de los sistemas de telecomunicación, trabajaremos junto con Twilio y, potencialmente, con otros proveedores para mejorar la seguridad en aquellos aspectos que más afecten a nuestros usuarios.
¿Esto me ha afectado?
- Basándonos en la información que hemos recibido desde Twilio, hay 1.900 usuarios que, potencialmente, podrían haber sido afectados. Estamos notificando a estos usuarios vía SMS. Empezaremos a notificar a los usuarios el 15 de agosto, y esperamos haber completado este proceso para el 16 de agosto. El mensaje de SMS que le estamos enviando a estos usuarios es el siguiente: "Este mensaje es de Signal Messenger. Nos ponemos en contacto contigo para que puedas proteger tu cuenta de Signal. Abre Signal y vuelve a registrarte. Para más información, consulta https://signal.org/smshelp"
- Si, al abrir Signal, has visto un banner diciendo que tu ispositivo ya no está registrado, puedes haber sido afectado, aunque hay otras razones por las que podrías haber dejado de estar registrado (por ejemplo, un largo periodo de inactividad).
¿Se ha accedido o hackeado mis datos personales?
No. Signal está diseñado para mantener tus datos en tus manos, no en las nuestras. Signal no tiene acceso a tu historial de mensajes, lista de contactos, información del perfil, los usuarios a los que has bloqueado, y otros datos de carácter personal. Y esta información no es accesible de ninguna manera para Twilio, ni para el acceso ganado temporalmente por los atacantes de Twilio. Sin embargo, en el caso de que un atacante pudiera volver a registrar una cuenta durante el tiempo en que estuvo activo el ataque a Twilio, este podría mandar y recibir mensajes en Signal desde ese número de teléfono.
¿Podría alguien con quien chateo haber sido afectado?
Dado el reducido número de personas que se han visto afectadas, esto es poco probable. De todos modos, si quieres saber si uno de tus contactos ha sido afectado, puedes contactar con ellos y preguntarles si han recibido un aviso por SMS de parte de Signal pidiéndoles que vuelvan a registrar su cuenta e indicándoles donde pueden encontrar más detalles sobre el incidente.
¿Qué debería hacer?
Aconsejamos a nuestros usuarios a activar el bloqueo de registro en su cuenta de Signal. Usar un bloqueo de registro con tu PIN de Signal es opcional y añade una capa adicional de verificación al proceso de registro. Para hacer esto, ve a los Ajustes de Signal (perfil) > Cuenta > Bloqueo de registro.
¿Qué medidas está tomando Signal para evitar que esto vuelva a suceder?
Estamos en contacto con Twilio, y estamos colaborando activamente con ellos y otros proveedores para mejorar sus prácticas de seguridad. Por lo que respecta a los usuarios, les estamos aconsejando activar el bloqueo de registro.