Usuarios de Signal son el blanco de un nuevo ataque de phishing que explota la función de dispositivos vinculados

Los grupos de ciberdelincuentes están intensificando sus esfuerzos para infiltrarse en las cuentas de Signal, una aplicación de mensajería segura utilizada por periodistas, activistas y otras personas en riesgo de vigilancia.

Estos grupos de ciberdelincuentes están aprovechando una función en Signal que permite a los usuarios conectar la aplicación a varios dispositivos a la vez, con el objetivo de obtener acceso no autorizado a las conversaciones sin la necesidad de irrumpir directamente en el dispositivo del objetivo, según lo informado por primera vez por el Grupo de Inteligencia de Amenazas de Google (GTIG).

Signal, conocida por su fuerte cifrado, ha sido durante mucho tiempo una opción popular para las personas preocupadas por la privacidad, incluyendo personal militar, políticos y periodistas. Pero esto también la convierte en un objetivo principal para los ciberataques.

El artículo sostiene que se cree que una nueva ola de ataques ha comenzado debido a la guerra en curso en Ucrania, donde Rusia tiene un claro interés en interceptar comunicaciones sensibles.

Una técnica clave utilizada por estos atacantes es explotar la legítima función de “dispositivos vinculados” de Signal, que permite a los usuarios acceder a su cuenta de Signal en más de un dispositivo.

Por lo general, vincular un dispositivo requiere escanear un código QR, pero los hackers han estado creando códigos QR maliciosos que, al escanearse, vinculan la cuenta de una víctima a un dispositivo controlado por el atacante.

Las investigadoras explican que una vez que el atacante ha vinculado su dispositivo, pueden acceder a conversaciones en tiempo real sin ser detectados.

En algunos casos, estos atacantes han creado falsas invitaciones a grupos de Signal, alertas de seguridad e incluso mensajes específicos militares para engañar a los usuarios para que escaneen los códigos QR maliciosos. También han utilizado páginas de phishing disfrazadas de aplicaciones relacionadas con el ejército ucraniano.

La discreción de este método lo hace difícil de detectar, y si tiene éxito, puede proporcionar acceso a largo plazo a comunicaciones seguras.

Los investigadores dicen que, aún más preocupante, este enfoque no requiere que los piratas informáticos comprometan completamente el dispositivo de la víctima, lo que significa que pueden escuchar conversaciones durante períodos prolongados sin levantar sospechas.

Mientras que los ataques han estado dirigidos principalmente a personal ucraniano, también se han utilizado contra otras personas de interés para Rusia. Y aunque el foco ha estado en Signal, tácticas similares también se están utilizando contra otras aplicaciones de mensajería, como WhatsApp y Telegram.

GTIG indica que Signal ha respondido fortaleciendo las características de seguridad en las actualizaciones recientes, animando a los usuarios a actualizar su aplicación para ayudar a defenderse contra estas amenazas.