El servicio de chat encriptado Signal informa que es posible que se hayan filtrado los números de teléfono de 1.900 usuarios debido a que los piratas informáticos violaron Twilio, un proveedor de servicios para la aplicación de mensajería.
Además, los mismos usuarios pueden haber tenido los códigos SMS necesarios para registrar la aplicación Signal en un teléfono inteligente filtrado a los piratas informáticos. En las manos equivocadas, la información expuesta allana el camino para que un atacante «registre el número de teléfono de un usuario de Signal en un nuevo dispositivo si ese usuario no ha habilitado el bloqueo de registro», o lo que equivale a un riesgo de secuestro, dice la aplicación de mensajería.
«Entre los 1900 números de teléfono, el atacante buscó explícitamente tres números y recibimos un informe de uno de esos tres usuarios de que su cuenta se volvió a registrar», dice Signal.(Se abre en una nueva ventana). «En el caso de que un atacante pudiera volver a registrar una cuenta, podría enviar y recibir mensajes de Signal desde ese número de teléfono».
Como resultado, Signal se está comunicando con los 1900 usuarios afectados sobre la posible exposición de datos a través de un mensaje SMS. Los usuarios vulnerables también deberán volver a registrar la aplicación Signal en sus teléfonos inteligentes.
La posible violación es inquietante, ya que muchos usuarios de Signal esperan que la aplicación de chat encriptada proteja su privacidad. La aplicación es mejor conocida por ofrecer encriptación de extremo a extremo, lo que significa que Signal en sí misma ni siquiera puede leer sus mensajes. Pero la aplicación ha requerido durante mucho tiempo que los consumidores usen un número de teléfono real al registrarse, lo que ha sido un punto de crítica.
Signal usa la mensajería SMS de Twilio para verificar los números de teléfono para nuevos registros en la aplicación. Twilio dice que los hackers se infiltraron(Se abre en una nueva ventana) los sistemas de TI de la empresa a principios de este mes mediante la suplantación de identidad con éxito a algunos empleados de la empresa. La brecha resultante provocó que los piratas informáticos accedieran temporalmente a datos pertenecientes a 125 clientes corporativos de Twilio antes de que fueran expulsados del sistema.
En su defensa, Signal señala que la violación de Twilio solo afectó a un pequeño número de víctimas en relación con su base de usuarios de aproximadamente 40 millones.(Se abre en una nueva ventana). El cifrado de extremo a extremo en la aplicación también aseguró que los atacantes no tuvieran forma de acceder a los mensajes privados de los usuarios.
Recomendado por Nuestros Editores
“Todos los usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información de perfil, a quién bloquearon y otros datos personales permanecen privados y seguros y no se vieron afectados”, escribió la aplicación de mensajería.(Se abre en una nueva ventana) en una página de soporte.
Signal también anima a los usuarios a activar el «bloqueo de registro».(Se abre en una nueva ventana)” en la aplicación Signal. Esto bloqueará efectivamente la aplicación Signal en su teléfono inteligente, eliminando el riesgo de secuestro. “Creamos esta función para proteger a los usuarios contra amenazas como el ataque Twilio”, agrega el servicio de mensajería.
«Si bien no tenemos la capacidad de solucionar directamente los problemas que afectan el ecosistema de las telecomunicaciones, trabajaremos con Twilio y potencialmente con otros proveedores para reforzar su seguridad donde sea importante para nuestros usuarios», dice Signal.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.