AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva oleada de phishing vinculada a inteligencia rusa compromete claves de recuperación de Signal**

admin

### 1. Introducción

La reciente alerta conjunta publicada por el FBI y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) pone de manifiesto una campaña de phishing avanzada, vinculada a servicios de inteligencia rusos, dirigida específicamente a usuarios de la aplicación de mensajería Signal. El objetivo principal: sustraer las claves de recuperación de copias de seguridad (“Signal Backup Recovery Keys”), lo que permitiría a los atacantes acceder retroactivamente al historial de mensajes cifrados de las víctimas. El incidente marca un preocupante salto cualitativo en las tácticas de grupos APT estatales, en un contexto de creciente sofisticación de amenazas dirigidas a plataformas de comunicaciones cifradas.

### 2. Contexto del Incidente

Signal, reconocida por sus sólidas medidas de privacidad y cifrado extremo a extremo, ha sido tradicionalmente un objetivo difícil para actores maliciosos. Sin embargo, las campañas de spear phishing, identificadas desde principios de 2024, han evolucionado desde simples intentos de robo de credenciales hacia ataques mucho más elaborados que buscan explotar los mecanismos de recuperación y backup de la aplicación.

Según el comunicado de FBI y CISA, este vector ha sido empleado por actores relacionados con la inteligencia rusa, en concreto grupos identificados previamente como APT29 (también conocido como Cozy Bear o Nobelium, según la nomenclatura de MITRE ATT&CK). El objetivo: periodistas, activistas, funcionarios gubernamentales y otros perfiles con acceso a información sensible.

### 3. Detalles Técnicos

La campaña, catalogada bajo el ID MITRE ATT&CK T1566.002 (phishing a través de servicios), utiliza correos electrónicos altamente personalizados que suplantan a Signal o a organismos oficiales. Los mensajes contienen enlaces a páginas fraudulentas que simulan el portal oficial de Signal, solicitando al usuario la introducción de sus credenciales y, crucialmente, la clave de recuperación de la copia de seguridad.

#### CVEs y vectores de ataque

Aunque hasta la fecha no se ha identificado un CVE específico en el software de Signal, el vector de compromiso es la ingeniería social y el abuso de flujos legítimos de recuperación. El mecanismo explotado es la función de backup cifrado, introducida a partir de Signal 5.15.0 (Android) y 5.27.1 (iOS), que permite almacenar copias de seguridad cifradas en el dispositivo del usuario. La clave de recuperación, de 30 dígitos, es el único medio de descifrado.

Los atacantes, tras obtener esta clave, pueden restaurar la copia de seguridad en un dispositivo controlado por ellos, accediendo a todo el historial de mensajes almacenado localmente.

#### Herramientas y frameworks

Se han detectado campañas que utilizan kits de phishing personalizados, así como herramientas de automatización para el despliegue masivo de enlaces maliciosos. No se han reportado casos de uso de frameworks como Metasploit o Cobalt Strike en este ataque específico, ya que la intrusión se produce a nivel de aplicación y no del sistema operativo.

#### Indicadores de compromiso (IoC)

– Dominios similares a get.signal.org, pero con ligeras alteraciones ortográficas.
– Envío de correos desde direcciones con spoofing de organismos oficiales.
– Solicitudes inusuales de claves de recuperación o códigos de verificación fuera del flujo normal de Signal.

### 4. Impacto y Riesgos

El impacto de esta campaña puede ser devastador para los perfiles atacados. La obtención de la clave de recuperación permite el acceso total a mensajes históricos, rompiendo la promesa fundamental de privacidad de Signal. Esto supone:

– Compromiso de información sensible (contactos, archivos adjuntos, conversaciones históricas).
– Riesgo elevado de doxing, chantaje o extorsión.
– Posible violación de la GDPR si los datos expuestos incluyen información personal de ciudadanos europeos.
– En entornos corporativos, amenaza directa a la confidencialidad de comunicaciones estratégicas (NIS2).

Se estima que la campaña ha impactado a varios cientos de usuarios de alto perfil en Estados Unidos y Europa, aunque el alcance real podría ser mayor dada la dificultad de detección.

### 5. Medidas de Mitigación y Recomendaciones

– **Formación y concienciación**: Reforzar campañas de phishing awareness, especialmente en perfiles sensibles.
– **Verificación de URLs**: Comprobar siempre la legitimidad de los portales antes de introducir credenciales o claves.
– **Gestión segura de claves**: No compartir nunca la clave de recuperación de Signal. Guardarla offline y nunca introducirla en sitios web.
– **Políticas de backup**: Deshabilitar la función de backup cifrado si no es estrictamente necesaria.
– **Monitorización de incidentes**: Revisar accesos y restauraciones recientes en la cuenta de Signal.
– **Denuncia y reporte**: Notificar incidentes al CSIRT nacional o a Signal.

### 6. Opinión de Expertos

Especialistas en ciberinteligencia destacan la sofisticación de la campaña y su enfoque selectivo. “El targeting de claves de recuperación supone que los atacantes no buscan solo acceso puntual, sino persistencia y extracción retroactiva de información”, señala Elena Sánchez, analista de amenazas en S21sec. Desde INCIBE, se recomienda incorporar la gestión segura de copias de seguridad en los programas de concienciación y en los procedimientos de incident response.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben considerar el uso de aplicaciones cifradas como parte de su superficie de ataque, incluyendo la formación específica sobre funciones de backup y restauración. Los usuarios, por su parte, deben extremar la precaución ante cualquier solicitud de recuperación sospechosa y entender que la seguridad de su historial depende de la confidencialidad de la clave de backup.

En sectores regulados, la exposición de comunicaciones puede conllevar sanciones en virtud del RGPD o de la Directiva NIS2 en caso de datos sensibles o estratégicos.

### 8. Conclusiones

La campaña de phishing dirigida a usuarios de Signal confirma la evolución de las amenazas asociadas a la ingeniería social y subraya la importancia de proteger no solo las credenciales de acceso, sino también los mecanismos de recuperación y backup. La colaboración entre agencias internacionales y el refuerzo de la concienciación serán claves para mitigar estos riesgos en el futuro inmediato.

(Fuente: www.bleepingcomputer.com)