Incidente de Twilio: qué necesitan saber les usuaries de Signal

Imatge
preferencias de signal donde se activa el bloqueo: privacidad/bloqueo de registro
Fuente: Signal
Àmbits Temàtics
Cura de dades

Resu­men

Reci­en­te­mente, Twilio (la compañía que propor­ci­ona los servi­cios de veri­fi­ca­ción de número a Signal) ha sufrido un ataque de phis­hing. Esto es lo que nues­tros usua­rios nece­si­tan saber:

  • Todos nues­tros usua­rios pueden estar segu­ros de que su histo­rial de mensa­jes, listas de contac­tos, infor­ma­ción del perfil, usua­rios bloque­a­dos, y otros datos de carác­ter perso­nal perma­ne­cen priva­dos y segu­ros y que no han sido afec­ta­dos.
  • Un atacante podría haber probado de volver a regis­trar el número de apro­xi­ma­da­mente 1.900 usua­rios en otro dispo­si­tivo, o descu­bi­erto que el número de estos usua­rios estaba regis­trado en Signal. Twilio ya ha podido dete­ner este ataque. 1.900 usua­rios es un porcen­taje muy pequeño del total de usua­rios de Signal, lo cual quiere decir que la gran mayo­ría no han sido afec­ta­dos.

Esta­mos noti­fi­cando direc­ta­mente a estos 1.900 usua­rios, sugi­ri­én­do­les que vuel­van a regis­trar Signal en sus dispo­si­ti­vos. Si has reci­bido un SMS de Signal con un enlace a este artí­culo de soporte, por favor, sigue estos pasos:

  1. Abre Signal en tu telé­fono y vuelve a regis­trar tu cuenta de Signal si así te lo pide la app.
  2. Para prote­ger aún más tu cuenta, te acon­se­ja­mos que acti­ves el bloqueo de regis­tro en los Ajus­tes de la app. Hemos creado esta función para prote­ger a nues­tros usua­rios de amena­zas como el ataque a Twilio.

¿Qué ha pasado exac­ta­mente?

Twilio, la compañía que propor­ci­ona los servi­cios de veri­fi­ca­ción de número de telé­fono a Signal, nos ha noti­fi­cado que han sufrido un ataque de phis­hing. Hemos llevado a cabo una inves­ti­ga­ción del inci­dente y hemos concluido lo sigui­ente.

  • Un atacante ha conse­guido acce­der al centro de datos de soporte al cliente de Twilio medi­ante una estra­te­gia de phis­hing. Para apro­xi­ma­da­mente 1.900 usua­rios, o bien 1) sus núme­ros de telé­fono han sido poten­ci­al­mente reve­la­dos como núme­ros regis­tra­dos com una cuenta de Signal, o 2) el código de veri­fi­ca­ción por SMS que se utilizó para regis­trarse en Signal ha sido reve­lado.
  • Durante el lapso de tiempo en que el atacante ha tenido acceso a los siste­mas de soporte al cliente de Twilio, es posi­ble que haya inten­tado regis­trar los núme­ros de telé­fono a los que ha tenido acceso en otro dispo­si­tivo, usando el código de veri­fi­ca­ción por SMS. El atacante ya no tiene este acceso, y el ataque ha sido dete­nido desde Twilio.
  • Entre los 1.900 núme­ros de telé­fono, el atacante ha buscado expre­sa­mente tres, y hemos reci­bido una denun­cia de uno de estos tres usua­rios informán­do­nos de que su cuenta había sido regis­trada de nuevo.

Lo que es impor­tante es que esto no ha dado acceso al atacante a ningún histo­rial de mensa­jes, infor­ma­ción de perfil, o listas de contac­tos. El histo­rial de mensa­jes se alma­cena sola­mente en tu dispo­si­tivo y Signal no guarda ninguna copia. Tus listas de contac­tos, tu infor­ma­ción de perfil, los usua­rios a los que has bloque­ado, y otra infor­ma­ción solo puede recu­pe­rarse con tu PIN de Signal, al cual no se ha podido (ni se habría podido) acce­der durante este inci­dente. Sin embargo, en el caso de que el atacante haya podido volver a regis­trar una cuenta, podría mandar y reci­bir mensa­jes de Signal desde este número de telé­fono.

Para prote­ger a los usua­rios afec­ta­dos, esta­mos llevando a cabo las sigui­en­tes acci­o­nes:

  1. Hemos elimi­nado el regis­tro de Signal de los 1.900 usua­rios que han sido poten­ci­al­mente afec­ta­dos de todos los dispo­si­ti­vos que usen en el presente (o en los que lo haya regis­trado el atacante), y les pedi­re­mos que vuel­van a regis­trar Signal con su número de telé­fono en su dispo­si­tivo prefe­rente.
  2. Esta­mos noti­fi­cando direc­ta­mente vía SMS a cada uno de los 1.900 usua­rios que han sido poten­ci­al­mente afec­ta­dos.

Desde el 15 de agosto, ya esta­mos noti­fi­cando a los usua­rios y pidi­én­do­les que vuel­van a regis­trarse en Signal con su número de telé­fono. Habre­mos comple­tado esta tarea para el 16 de agosto.

La razón por la cual Signal ha creado funci­o­nes como el bloqueo de regis­tro y los PINs de Signal es para prote­gerte de vulne­ra­bi­li­da­des como la de este ataque telemá­tico sufrido por Twilio. Acon­se­ja­mos enca­re­ci­da­mente a nues­tros usua­rios que usen el bloqueo de regis­tro. Si bien no tene­mos la capa­ci­dad de arre­glar direc­ta­mente los proble­mas que afec­tan el medio de los siste­mas de tele­co­mu­ni­ca­ción, traba­ja­re­mos junto con Twilio y, poten­ci­al­mente, con otros prove­e­do­res para mejo­rar la segu­ri­dad en aque­llos aspec­tos que más afec­ten a nues­tros usua­rios.



¿Esto me ha afec­tado?

  • Basán­do­nos en la infor­ma­ción que hemos reci­bido desde Twilio, hay 1.900 usua­rios que, poten­ci­al­mente, podrían haber sido afec­ta­dos. Esta­mos noti­fi­cando a estos usua­rios vía SMS. Empe­za­re­mos a noti­fi­car a los usua­rios el 15 de agosto, y espe­ra­mos haber comple­tado este proceso para el 16 de agosto. El mensaje de SMS que le esta­mos envi­ando a estos usua­rios es el sigui­ente: «Este mensaje es de Signal Messen­ger. Nos pone­mos en contacto contigo para que puedas prote­ger tu cuenta de Signal. Abre Signal y vuelve a regis­trarte. Para más infor­ma­ción, consulta https://signal.org/smshelp»
  • Si, al abrir Signal, has visto un banner dici­endo que tu ispo­si­tivo ya no está regis­trado, puedes haber sido afec­tado, aunque hay otras razo­nes por las que podrías haber dejado de estar regis­trado (por ejem­plo, un largo peri­odo de inac­ti­vi­dad).

¿Se ha acce­dido o hacke­ado mis datos perso­na­les?

No. Signal está diseñado para mante­ner tus datos en tus manos, no en las nues­tras. Signal no tiene acceso a tu histo­rial de mensa­jes, lista de contac­tos, infor­ma­ción del perfil, los usua­rios a los que has bloque­ado, y otros datos de carác­ter perso­nal. Y esta infor­ma­ción no es acce­si­ble de ninguna manera para Twilio, ni para el acceso ganado tempo­ral­mente por los atacan­tes de Twilio. Sin embargo, en el caso de que un atacante pudi­era volver a regis­trar una cuenta durante el tiempo en que estuvo activo el ataque a Twilio, este podría mandar y reci­bir mensa­jes en Signal desde ese número de telé­fono.

¿Podría alguien con quien chateo haber sido afec­tado?

Dado el redu­cido número de perso­nas que se han visto afec­ta­das, esto es poco proba­ble. De todos modos, si quie­res saber si uno de tus contac­tos ha sido afec­tado, puedes contac­tar con ellos y pregun­tar­les si han reci­bido un aviso por SMS de parte de Signal pidi­én­do­les que vuel­van a regis­trar su cuenta e indicán­do­les donde pueden encon­trar más deta­lles sobre el inci­dente.

¿Qué debe­ría hacer?

Acon­se­ja­mos a nues­tros usua­rios a acti­var el bloqueo de regis­tro en su cuenta de Signal. Usar un bloqueo de regis­tro con tu PIN de Signal es opci­o­nal y añade una capa adici­o­nal de veri­fi­ca­ción al proceso de regis­tro. Para hacer esto, ve a los Ajus­tes de Signal (perfil) > Cuenta > Bloqueo de regis­tro.

¿Qué medi­das está tomando Signal para evitar que esto vuelva a suce­der?

Esta­mos en contacto con Twilio, y esta­mos cola­bo­rando acti­va­mente con ellos y otros prove­e­do­res para mejo­rar sus prác­ti­cas de segu­ri­dad. Por lo que respecta a los usua­rios, les esta­mos acon­se­jando acti­var el bloqueo de regis­tro.

Darreres entrades

Les dades de l'aplicació de seguiment menstrual és una 'mina d'or' per als anunciants que arrisca la seguretat de les dones - informe
Ja està la web de l'F-Droid taduïda al català i al basc
DonesTech: Jornada de Dinamització de la Internet Social 2025 de la Xarxa Punt TIC
KeePassDX - Gestor de contrasenyes FOSS
El núvol no és un núvol: és una nau! La petjada ambiental de la IA al Canòdrom
Totes les notícies