La reputación de Signal como empresa de mensajería segura, no la hace completamente invulnerable a los incidentes de piratería informática. La compañía ha confirmado que una filtración de datos en el socio de verificación Twillio expuso los números de teléfono y los códigos de SMS de aproximadamente 1.900 usuarios. Como observó TechCrunch, el intruso podría haber utilizado la información para identificar a los usuarios de Signal o para volver a registrar sus números en otros dispositivos.
Los datos ya han sido utilizados indebidamente. El culpable buscó tres números de teléfono y volvió a registrar la cuenta de un usuario. Signal no almacena historiales de chat o contactos en línea, por lo que la brecha no debería haber revelado otros detalles sensibles.
Signal está tomando medidas para limitar los daños. Anulará el registro de la aplicación en todos los dispositivos vinculados a las cuentas afectadas, obligando a los usuarios a volver a registrarse. El equipo también ha recomendado habilitar un bloqueo de registro que impida a cualquier persona volver a registrarse en otros dispositivos sin proporcionar un código PIN.
Twilio reveló la brecha el 8 de agosto. Los autores, actualmente no identificados, utilizaron estafas de phishing para obtener los datos de acceso y acceder a las cuentas de 125 clientes. Aunque no está claro qué otros clientes se vieron afectados, Twilio suele dar servicio a grandes empresas y organizaciones.
El ataque aumenta la presión sobre Signal para que se una a otros proveedores de mensajería encriptada y se aleje de los números de teléfono, que pueden ser vulnerables a los intercambios de SIM y otros esquemas basados en dígitos. También es un recordatorio de que los sistemas son tan seguros como sus socios tecnológicos: un desliz de un tercero es a veces tan peligroso como un ataque directo.
Con información de Europa Press.