Underc0de - La Casa de los Informáticos

Signal ha anunciado una importante actualización de seguridad destinada a combatir ataques de phishing e ingeniería social que buscan comprometer cuentas mediante engaños cada vez más sofisticados.

La plataforma de mensajería cifrada incorporó nuevas confirmaciones dentro de la aplicación, advertencias visuales y mensajes educativos para ayudar a los usuarios a identificar perfiles fraudulentos y evitar caer en estafas digitales.

La decisión llega tras una serie de campañas dirigidas contra usuarios de alto perfil, donde atacantes vinculados al Estado ruso abusaron de funciones legítimas de Signal para obtener acceso no autorizado a cuentas, conversaciones privadas y listas de contactos.

Signal responde al aumento de ataques de ingeniería social

La ingeniería social se ha convertido en una de las tácticas más efectivas utilizadas por ciberdelincuentes y grupos de espionaje patrocinados por gobiernos.

A diferencia de los ataques tradicionales que explotan vulnerabilidades técnicas, estos métodos manipulan psicológicamente a las víctimas para que entreguen voluntariamente información sensible o permitan accesos no autorizados.

En el caso reciente de Signal, los atacantes utilizaron mensajes falsos haciéndose pasar por el soporte oficial de la plataforma para convencer a las víctimas de vincular dispositivos externos a sus cuentas.

Las campañas fueron advertidas previamente por:

• Federal Bureau of Investigation
• Gobierno de los Países Bajos
• Autoridades alemanas

Las investigaciones atribuyeron estos ataques a hackers patrocinados por el Estado ruso, especializados en operaciones de espionaje digital y compromiso de comunicaciones cifradas.

Cómo funciona el ataque contra usuarios de Signal

Los atacantes aprovechan la función legítima denominada "Dispositivo Vinculado" (Linked Device), diseñada originalmente para permitir que los usuarios utilicen Signal en múltiples dispositivos.

El fraude comienza con mensajes falsos que aparentan provenir del soporte técnico de Signal. Los ciberdelincuentes alertan a la víctima sobre supuestas actividades sospechosas o riesgos de seguridad en su cuenta.

Posteriormente solicitan realizar una "verificación" mediante:

• Escaneo de códigos QR
• Compartición de códigos de un solo uso (OTP)
• Entrega de códigos de recuperación
• Validación del PIN de registro

Cuando la víctima completa estas acciones, el atacante logra vincular su propio dispositivo a la cuenta objetivo.

Esto le permite acceder a:

• Chats privados
• Historial de conversaciones
• Archivos compartidos
• Listas de contactos
• Comunicaciones cifradas en tiempo real

El aspecto más peligroso es que muchas víctimas no detectan inmediatamente la intrusión debido a que el acceso se realiza utilizando funcionalidades legítimas de la aplicación.

Nuevas medidas de seguridad implementadas por Signal

Para reducir el riesgo de este tipo de fraudes, Signal incorporó nuevas capas de protección diseñadas para introducir "fricción" durante interacciones sospechosas.

El objetivo es dar a los usuarios más tiempo para evaluar si una solicitud es legítima antes de compartir información sensible.

Verificación de contactos desconocidos

Una de las nuevas funciones más importantes es la aparición de etiquetas visuales en conversaciones provenientes de usuarios desconocidos.

"Nombre no verificado"

Signal ahora mostrará un aviso de:

"Nombre no verificado"

debajo de contactos que inicien comunicación mediante mensajes directos y cuya identidad no haya sido previamente validada.

"No hay grupos en común"

La aplicación también mostrará el mensaje:

"No hay grupos en común"

cuando el remitente no tenga ninguna conexión compartida con el destinatario.

Estas señales buscan ayudar a detectar perfiles falsos utilizados en campañas de phishing y suplantación de identidad.

Advertencias contra códigos QR y claves de recuperación

Signal también reforzó las advertencias durante nuevas solicitudes de mensajes y procesos de vinculación de dispositivos.

Cuando un usuario reciba una nueva solicitud, la aplicación mostrará recordatorios explícitos indicando que Signal nunca solicitará:

• Códigos de verificación
• PIN de registro
• Claves de recuperación
• Contraseñas
• Escaneo de QR sospechosos

Estas advertencias intentan frenar ataques donde los delincuentes presionan psicológicamente a las víctimas para actuar rápidamente.

Nuevos consejos de seguridad integrados en la aplicación

Otra mejora importante es la ampliación de los consejos educativos dentro de la app.

Signal añadió nuevas entradas de seguridad para explicar:

• Cómo operan los ataques de ingeniería social
• Qué señales deben generar sospechas
• Cómo verificar solicitudes legítimas
• Riesgos de compartir códigos OTP
• Métodos para revisar dispositivos vinculados

La compañía enfatizó que nunca contactará a usuarios mediante chats privados para solicitar credenciales o códigos de autenticación.

Ingeniería social: la amenaza que evade incluso sistemas cifrados

El caso demuestra que incluso aplicaciones altamente seguras como Signal pueden verse comprometidas cuando el eslabón vulnerable es el comportamiento humano.

La ingeniería social permite a los atacantes eludir completamente:

• Cifrado de extremo a extremo
• Autenticación segura
• Controles de acceso
• Sistemas avanzados de protección

En lugar de atacar la tecnología, los delincuentes manipulan emociones como:

• Urgencia
• Miedo
• Confianza
• Autoridad
• Curiosidad

Por ello, los expertos consideran que la concienciación de usuarios se ha convertido en una parte crítica de la ciberseguridad moderna.

Cómo proteger tu cuenta de Signal frente a phishing

Los especialistas recomiendan seguir varias medidas para reducir el riesgo de compromiso de cuentas.

Nunca compartir códigos de verificación

Signal jamás solicitará:

• Códigos OTP
• PIN
• Claves de recuperación

Cualquier solicitud de este tipo debe considerarse fraudulenta.

Evitar escanear códigos QR desconocidos

Los atacantes utilizan códigos QR para vincular dispositivos maliciosos rápidamente.

Solo deben escanearse códigos generados directamente desde dispositivos personales confiables.

Revisar dispositivos vinculados

Los usuarios deben comprobar periódicamente la sección:

• Configuración
• Dispositivos vinculados

y eliminar inmediatamente cualquier dispositivo desconocido o sospechoso.

Desconfiar de mensajes urgentes

Las campañas de phishing suelen generar presión psicológica para forzar decisiones rápidas.

Cualquier mensaje relacionado con "actividad sospechosa", "bloqueo inminente" o "verificación urgente" debe verificarse cuidadosamente.

Signal fortalece su defensa frente al espionaje digital

Las nuevas medidas implementadas por Signal reflejan una realidad creciente: los grupos de ciberespionaje están evolucionando hacia ataques centrados en la manipulación humana en lugar de vulnerabilidades técnicas.

A medida que las plataformas de mensajería cifrada fortalecen sus sistemas de protección, los atacantes recurren cada vez más a técnicas de phishing sofisticado y suplantación de identidad para comprometer comunicaciones privadas.

La actualización de Signal busca reducir el éxito de estas campañas mediante alertas más visibles, educación contextual y controles adicionales dentro de la aplicación.

En un panorama donde el espionaje patrocinado por Estados continúa creciendo, la combinación entre tecnología segura y usuarios informados será clave para proteger la privacidad digital y las comunicaciones cifradas frente a amenazas cada vez más avanzadas.

Fuente: https://www.bleepingcomputer.com/