Resumen
En el verano de 2022, Twilio (la compañía que proporciona los servicios de verificación de número a Signal) sufrió un ataque de phishing. Esto es lo que nuestros usuarios necesitan saber:
- Todos nuestros usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información del perfil, usuarios bloqueados, y otros datos de carácter personal permanecen privados y seguros y que no han sido afectados.
- Un atacante podría haber probado de volver a registrar el número de aproximadamente 1.900 usuarios en otro dispositivo, o descubierto que el número de estos usuarios estaba registrado en Signal. Twilio ya ha podido detener este ataque. 1.900 usuarios es un porcentaje muy pequeño del total de usuarios de Signal, lo cual quiere decir que la gran mayoría no han sido afectados.
Notificamos directamente a esos 1.900 usuarios, sugiriéndoles que volviesen a registrar Signal en sus dispositivos. Si recibiste un SMS de Signal con un enlace a este artículo de soporte, por favor, sigue estos pasos:
- Abre Signal en tu teléfono y vuelve a registrar tu cuenta de Signal si así te lo pide la app.
- Para proteger aún más tu cuenta, te aconsejamos que actives el bloqueo de registro en los Ajustes de la app. Hemos creado esta función para proteger a nuestros usuarios de amenazas como el ataque a Twilio.
¿Qué pasó exactamente?
Twilio, la compañía que proporciona los servicios de verificación de número de teléfono a Signal, nos notificó que habían sufrido un ataque de phishing. Llevamos a cabo una investigación del incidente y concluimos lo siguiente.
- Un atacante ha conseguido acceder al centro de datos de soporte al cliente de Twilio mediante una estrategia de phishing. Para aproximadamente 1.900 usuarios, o bien 1) sus números de teléfono han sido potencialmente revelados como números registrados com una cuenta de Signal, o 2) el código de verificación por SMS que se utilizó para registrarse en Signal ha sido revelado.
- Durante el lapso de tiempo en que el atacante ha tenido acceso a los sistemas de soporte al cliente de Twilio, es posible que haya intentado registrar los números de teléfono a los que ha tenido acceso en otro dispositivo, usando el código de verificación por SMS. El atacante ya no tiene este acceso, y Twilio ha detenido el ataque.
- Entre los 1.900 números de teléfono, el atacante ha buscado expresamente tres, y hemos recibido una denuncia de uno de estos tres usuarios informándonos de que su cuenta había sido registrada de nuevo.
Lo que es importante es que esto no ha dado acceso al atacante a ningún historial de mensajes, información de perfil, o listas de contactos. El historial de mensajes se almacena solamente en tu dispositivo y Signal no guarda ninguna copia. Tus listas de contactos, tu información de perfil, los usuarios a los que has bloqueado, y otra información solo puede recuperarse con tu PIN de Signal, al cual no se ha podido (ni se habría podido) acceder durante este incidente. Sin embargo, en el caso de que el atacante haya podido volver a registrar una cuenta, podría mandar y recibir mensajes de Signal desde este número de teléfono.
Para proteger a los usuarios afectados, llevamos a cabo las siguientes acciones:
- Eliminamos el registro de Signal de los 1.900 usuarios que habían sido potencialmente afectados de todos los dispositivos que usaban en ese momento (o en los que lo hubiera registrado el atacante), y les pedimos que volviesen a registrar Signal con su número de teléfono en su dispositivo preferente.
- Notificamos directamente vía SMS a cada uno de los 1.900 usuarios que fueron potencialmente afectados.
Desde el 15 de agosto, ya estábamos notificando a los usuarios y pidiéndoles que volviesen a registrarse en Signal con su número de teléfono. Completamos esta tarea para el 16 de agosto.
La razón por la cual Signal ha creado funciones como el bloqueo de registro y los PINs de Signal es para protegerte de vulnerabilidades como la de este ataque telemático sufrido por Twilio. Aconsejamos encarecidamente a nuestros usuarios que usen el bloqueo de registro. Si bien no tenemos la capacidad de arreglar directamente los problemas que afectan el medio de los sistemas de telecomunicación, trabajaremos junto con Twilio y, potencialmente, con otros proveedores para mejorar la seguridad en aquellos aspectos que más afecten a nuestros usuarios.
¿Esto me ha afectado?
- Basándonos en la información que recibimos desde Twilio, hubo 1.900 usuarios que, potencialmente, podrían haber sido afectados. Notificamos a estos usuarios vía SMS. Empezamos a notificar a los usuarios el 15 de agosto y completamos este proceso el 16 de agosto. El mensaje de SMS que les enviamos a estos usuarios es el siguiente: "Este mensaje es de Signal Messenger. Nos ponemos en contacto contigo para que puedas proteger tu cuenta de Signal. Abre Signal y vuelve a registrarte. Para más información: https://signal.org/smshelp"
- Si, al abrir Signal, has visto un banner diciendo que tu dispositivo ya no está registrado, puedes haber sido afectado, aunque hay otras razones por las que podrías haber dejado de estar registrado (por ejemplo, un largo periodo de inactividad).
¿Se accedió o se hackearon mis datos personales?
No. Signal está diseñado para mantener tus datos en tus manos, no en las nuestras. Signal no tiene acceso a tu historial de mensajes, lista de contactos, información del perfil, los usuarios a los que has bloqueado, y otros datos de carácter personal. Y esta información no es accesible de ninguna manera para Twilio, ni para el acceso ganado temporalmente por los atacantes de Twilio. Sin embargo, en el caso de que un atacante pudiera volver a registrar una cuenta durante el tiempo en que estuvo activo el ataque a Twilio, este podría mandar y recibir mensajes en Signal desde ese número de teléfono.
¿Podría alguien con quien chateo haber sido afectado?
Dado el reducido número de personas que se vieron afectadas, esto es poco probable. De todos modos, si quieres saber si uno de tus contactos fue afectado, puedes contactar con ellos y preguntarles si recibieron un aviso por SMS de parte de Signal pidiéndoles que volviesen a registrar su cuenta e indicándoles donde pueden encontrar más detalles sobre el incidente.
¿Qué debería hacer?
Aconsejamos a nuestros usuarios que activen el bloqueo de registro en su cuenta de Signal. Usar un bloqueo de registro con tu PIN de Signal es opcional y añade una capa adicional de verificación al proceso de registro. Para hacer esto, ve a los Ajustes de Signal (perfil) > Cuenta > Bloqueo de registro.
¿Qué medidas está tomando Signal para evitar que esto vuelva a suceder?
Estamos en contacto con Twilio, y estamos colaborando activamente con ellos y otros proveedores para mejorar sus prácticas de seguridad. Por lo que respecta a los usuarios, les estamos aconsejando activar el bloqueo de registro.