AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Aumenta el Riesgo: Phishing Avanzado de Inteligencia Rusa Contra Cuentas de Signal Mediante Robo de Clave de Recuperación**

admin

### 1. Introducción

Recientemente, la Oficina Federal de Investigación (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos han actualizado su alerta sobre las campañas de phishing orquestadas por actores de inteligencia rusos dirigidas a usuarios de la aplicación de mensajería Signal. La novedad más inquietante de este modus operandi es la incorporación de la ingeniería social para obtener la Signal Backup Recovery Key, permitiendo a los atacantes restaurar el backup de la víctima, acceder a mensajes privados y grupales, y asumir el control total de la cuenta.

### 2. Contexto del Incidente

En marzo de 2024, las agencias estadounidenses emitieron una advertencia sobre una campaña de spear phishing dirigida a usuarios de Signal, con un enfoque especial en individuos de alto valor estratégico (diplomáticos, periodistas, funcionarios gubernamentales y expertos en seguridad). En la actualización reciente, se destaca que los atacantes han perfeccionado sus tácticas, añadiendo un paso crucial: manipular a los objetivos para que entreguen voluntariamente su clave de recuperación de copias de seguridad de Signal.

La amenaza cobra especial relevancia en el contexto geopolítico actual, donde las operaciones de inteligencia rusa –principalmente atribuibles al grupo APT29 (Cozy Bear)– intensifican sus esfuerzos de ciberespionaje y exfiltración de información crítica, aprovechando vulnerabilidades humanas más que técnicas.

### 3. Detalles Técnicos

**CVE y Vectores de Ataque:**
Aunque hasta la fecha no se ha asignado un CVE específico a esta campaña, el vector de ataque principal es el spear phishing altamente personalizado. A través de correos electrónicos o mensajes directos, los actores de amenaza simulan ser parte del soporte oficial de Signal o incluso contactos de confianza previamente comprometidos.

**Procedimientos, Técnicas y Herramientas (MITRE ATT&CK):**
– **T1566.001 – Spearphishing Attachment:** Uso de mensajes personalizados para engañar a las víctimas.
– **T1204 – User Execution:** Requiere que el usuario realice una acción (entregar la clave).
– **T1087 – Account Discovery:** Identificación previa de usuarios objetivo.
– **T1556.003 – Steal Application Access Token:** En este caso, la clave de recuperación actúa como token de acceso.

**Indicadores de Compromiso (IoC):**
– Solicitud de la Signal Backup Recovery Key a través de canales no oficiales.
– Mensajes de restablecimiento de cuenta no iniciados por el usuario.
– Cambios inusuales de número de teléfono o dispositivos vinculados.
– Acceso no autorizado a historiales de chat o modificación de grupos.

**Herramientas y Frameworks Observados:**
Si bien no se ha confirmado el uso de frameworks como Metasploit o Cobalt Strike en la fase de explotación de Signal, estos actores suelen recurrir a herramientas propias para el movimiento lateral y la exfiltración de información una vez obtenidas las credenciales.

### 4. Impacto y Riesgos

La obtención de la Signal Backup Recovery Key permite a los atacantes restaurar el backup de un usuario en cualquier dispositivo, accediendo a todos los mensajes privados y conversaciones grupales, así como a archivos adjuntos. El control de la cuenta puede derivar en ataques de suplantación de identidad, obtención de información sensible y propagación de la amenaza a otros contactos.

El impacto es especialmente grave en organizaciones reguladas por GDPR o NIS2, donde la exposición de datos personales o información confidencial puede conllevar sanciones económicas que superan los 20 millones de euros o el 4% de la facturación anual global.

### 5. Medidas de Mitigación y Recomendaciones

– **Formación en Concienciación:** Refuerce la capacitación en ingeniería social y phishing dirigida a empleados y directivos, especialmente a los perfiles con mayor exposición pública.
– **Verificación de Peticiones:** Nunca entregue la Signal Backup Recovery Key o cualquier código de autenticación fuera del entorno de la aplicación oficial.
– **Monitorización de Accesos:** Implemente alertas ante cambios de dispositivo o restauraciones de backup no reconocidas.
– **Políticas de BYOD y Gestión de Dispositivos:** Establezca controles para limitar el uso de dispositivos personales en entornos corporativos críticos.
– **Auditoría y Respuesta:** Realice auditorías periódicas de logs y prepare procedimientos de respuesta ante compromisos de cuentas de mensajería.

### 6. Opinión de Expertos

Expertos del sector, como analistas SOC y CISOs de grandes empresas, advierten que la confianza en la seguridad por diseño de aplicaciones como Signal puede generar una falsa sensación de inmunidad. “Ningún cifrado es efectivo si el usuario es la puerta de entrada”, señala Javier Fernández, CISO de una multinacional tecnológica. Además, recalcan la importancia de la formación continua y la implementación de controles de acceso más allá del usuario individual, como la monitorización de anomalías en patrones de uso.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben considerar este tipo de amenazas en sus análisis de riesgos y actualizar sus políticas de seguridad para incluir aplicaciones de mensajería cifrada en el marco de sus estrategias de protección de la información. La exposición de conversaciones corporativas puede tener consecuencias legales, financieras y reputacionales devastadoras.

Para los usuarios individuales, especialmente aquellos en roles sensibles, la recomendación es extremar la precaución y nunca compartir claves de recuperación bajo ningún concepto.

### 8. Conclusiones

La campaña de phishing dirigida por inteligencia rusa contra usuarios de Signal representa una evolución preocupante en el arsenal de técnicas de ingeniería social. La explotación de la Signal Backup Recovery Key elimina de facto la protección que otorga el cifrado extremo a extremo, trasladando el vector de ataque al eslabón humano. La concienciación y la vigilancia proactiva se convierten en las mejores defensas ante este tipo de amenazas.

(Fuente: feeds.feedburner.com)