Signal: Vulnerabilidad revela números telefónicos de 1900 usuarios

Números de teléfono y códigos SMS de 1900 usuarios de Signal en libertad, esto se debe a una falta en su socio Twilio. Un recordatorio de que ningún sistema, incluso uno tan seguro como Signal, es a prueba de manipulaciones.

Signal es posiblemente el servicio de mensajería instantánea más seguro. Sin embargo, esto no lo hace inmune a la piratería. La empresa confirmó que los números de teléfono y los códigos SMS de unos 1900 usuarios quedaron expuestos debido a una brecha en la seguridad de su socio de verificación Twilio. Como señaló TechCrunch, el atacante podría usar esta información para autenticarse en nombre de estos usuarios o para almacenar sus números en otros dispositivos.

Números de teléfono y códigos SMS de 1900 usuarios de Signal en la naturaleza

Los datos ya han sido mal utilizados. Así, los autores de este ataque solicitaron tres números de teléfono y volvieron a registrar la cuenta de un usuario específico. Signal no almacena el historial de chat ni los contactos en línea, por lo que esta brecha de seguridad no debería haber expuesto ningún otro dato confidencial.

En cualquier caso, Signal ha tomado medidas para limitar las pérdidas. Por lo tanto, la plataforma eliminó la aplicación de todos los dispositivos asociados de las cuentas afectadas, lo que obligó a los usuarios a registrarse nuevamente. El equipo también recomienda activar el bloqueo de registro, que le impide volver a registrarse en otro dispositivo sin proporcionar un PIN.

Esto se debe a la falta de su compañero Twilio.

Twilio identificó la falla el 8 de agosto. Los delincuentes, cuya identidad aún no ha sido identificada, utilizaron el phishing para obtener información de registro y acceso a las cuentas de 125 clientes. Si bien aún no está claro qué otros clientes pueden haberse visto afectados, Twilio ofrece sus servicios a varias grandes empresas y organizaciones.

Un recordatorio de que ningún sistema, incluso uno tan seguro como Signal, es a prueba de manipulaciones.

El ataque ejerce presión sobre Signal de todos modos. Esto podría ser un desencadenante para que la plataforma, como ya lo han hecho otros, se deshaga de un número de teléfono que podría ser vulnerable a la falsificación de SIM y otros ataques. También es un recordatorio de que los sistemas, incluso los muy seguros, tienen a sus socios potenciales como un eslabón débil. Un error de un tercero es a veces más peligroso que un ataque directo.