Resumen
En agosto de 2022, Twilio, la empresa que presta a Signal servicios de verificación de números de teléfono, sufrió un ataque de phishing. A continuación, explicamos los puntos clave del incidente:
- Todos nuestros usuarios pueden tener la certeza de que su historial de mensajes, listas de contactos, información de perfil, usuarios bloqueados y otros datos personales siguen siendo privados y no se han visto afectados.
- Un atacante pudo haber intentado volver a registrar el número de aproximadamente 1900 usuarios en otro dispositivo, o haber identificado que esos números estaban registrados en Signal. Twilio ya ha logrado detener el ataque. 1900 usuarios representa una fracción muy pequeña del total de usuarios de Signal, por lo que la gran mayoría no se ha visto afectada.
Hemos notificado de forma directa a estos 1900 usuarios sobre el incidente y les hemos recomendado volver a registrar su cuenta de Signal en sus dispositivos. Si has recibido un SMS de Signal con un enlace a este artículo de asistencia, sigue estos pasos:
- Abre Signal en tu teléfono y vuelve a registrar tu cuenta de Signal si te lo pide la app.
- Para reforzar la seguridad de tu cuenta, te recomendamos activar el bloqueo de registro en los Ajustes de la app. Hemos creado esta función para proteger a nuestros usuarios frente a incidentes como el ataque a Twilio.
¿Qué sucedió exactamente?
Twilio, la empresa que presta a Signal servicios de verificación de números de teléfono, nos informó que había sufrido un ataque de phishing. Tras investigar el incidente, concluimos lo siguiente:
- Un atacante consiguió acceder al sistema de soporte al cliente de Twilio mediante una estrategia de phishing. Para aproximadamente 1900 usuarios, pudo haber ocurrido una de las siguientes situaciones: 1) sus números de teléfono pudieron haber quedado expuestos como números registrados en Signal, o 2) pudo haberse filtrado la clave de verificación por SMS que usaron para registrarse en Signal.
- Durante el tiempo en que el atacante tuvo acceso a los sistemas de soporte al cliente de Twilio, es posible que intentara registrar esos números de teléfono en otro dispositivo, usando la clave de verificación por SMS. El atacante ya no tiene este acceso y Twilio ha detenido el ataque.
- Entre esos 1900 números de teléfono, el atacante buscó específicamente tres. Uno de esos usuarios nos informó de que un tercero volvió a registrar su cuenta.
Lo más importante es que el atacante no obtuvo acceso a ningún historial de mensajes, información de perfil ni listas de contactos. El historial de mensajes se almacena únicamente en tu dispositivo y Signal no guarda ninguna copia. Tus listas de contactos, tu información de perfil, los usuarios a los que has bloqueado y cualquier otra información solo puede recuperarse con tu PIN de Signal, al que no se ha accedido (ni habría sido posible acceder) en este incidente. Sin embargo, si el atacante consiguió volver a registrar una cuenta, podría enviar y recibir mensajes de Signal desde ese número de teléfono.
Para proteger a los usuarios afectados, hemos llevado a cabo las siguientes acciones:
- Eliminamos la cuenta de Signal de los 1900 usuarios potencialmente afectados en todos los dispositivos que usaban en ese momento (o en los que se hubiera registrado el atacante) y les pedimos que se vuelvan a registrar en Signal con su número de teléfono en su dispositivo habitual.
- Notificamos directamente mediante SMS a cada uno de los 1900 usuarios potencialmente afectados.
El 15 de agosto comenzamos a notificar a los usuarios sobre el incidente y les pedimos que volviesen a registrarse en Signal con su número de teléfono. Completamos esta tarea el 16 de agosto.
Signal ha desarrollado funciones como el bloqueo de registro y los PIN de Signal para protegerte de vulnerabilidades como este ciberataque sufrido por Twilio. Recomendamos encarecidamente a nuestros usuarios activar el bloqueo de registro. Aunque no podemos resolver directamente vulnerabilidades en sistemas de telecomunicaciones externos, trabajamos junto con Twilio y, potencialmente, con otros proveedores para reforzar la seguridad en los puntos más críticos para nuestros usuarios.
¿Me ha afectado este incidente?
- En función de la información que recibimos de Twilio, aproximadamente 1900 usuarios podrían haberse visto potencialmente afectados. Hemos notificado sobre el incidente a estos usuarios mediante SMS. Empezamos a enviar las notificaciones el 15 de agosto y completamos este proceso el 16 de agosto. El mensaje de SMS que les enviamos es el siguiente: "Este mensaje es de Signal Messenger. Nos ponemos en contacto contigo para que puedas proteger tu cuenta de Signal. Abre Signal y vuelve a registrarte. Para más información, consulta https://signal.org/smshelp."
- Si al abrir Signal apareció un aviso indicando que tu dispositivo ya no está registrado, es posible que tu cuenta se haya visto afectada. Sin embargo, también hay otras razones, como no haber usado tu cuenta durante un largo periodo de tiempo, por las que un dispositivo puede dejar de estar registrado.
¿Alguien ha hackeado o accedido a mis datos personales?
No. Signal está diseñada para garantizar que tus datos permanezcan bajo tu control y no el nuestro. Signal no tiene acceso a tu historial de mensajes, lista de contactos, información de perfil, usuarios bloqueados ni otros datos personales. Esta información tampoco está disponible para Twilio ni para los atacantes que obtuvieron acceso temporal a sus sistemas. Sin embargo, si el atacante pudo volver a registrar una cuenta durante el incidente, podría enviar y recibir mensajes en Signal desde el número de teléfono afectado.
¿Podría haber afectado a alguno de mis contactos?
Es poco probable, dado el reducido número de personas afectadas. Si quieres comprobarlo, puedes preguntar a tus contactos si recibieron un SMS de Signal para volverse a registrar e indicándoles dónde pueden encontrar más información sobre el incidente.
¿Qué debería hacer?
Recomendamos a nuestros usuarios activar el bloqueo de registro en su cuenta de Signal. Usar un bloqueo de registro con tu PIN de Signal es opcional y añade una capa adicional de verificación al proceso de registro. Puedes activarlo en Ajustes de Signal (perfil) > Cuenta > Bloqueo de registro.
¿Qué medidas está tomando Signal para evitar que esto vuelva a suceder?
Estamos colaborando con Twilio y con otros proveedores para mejorar sus prácticas de seguridad. Además, seguimos recomendando a los usuarios activar el bloqueo de registro para añadir una capa adicional de protección.