Actores vinculados a Rusia apuntan ahora a las claves de recuperación de Signal

El FBI y la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) han publicado un aviso conjunto en el que describen cómo una campaña de phishing atribuida a grupos ligados a servicios de inteligencia rusos ha incorporado una nueva táctica: el robo de las claves de recuperación de copias de seguridad de Signal.

Hasta ahora, Signal era considerado uno de los canales de mensajería más robustos gracias a su cifrado de extremo a extremo. Sin embargo, el punto débil que están explotando estos actores no es el protocolo criptográfico en sí, sino la función de copia de seguridad que permite a los usuarios restaurar su historial de mensajes en un nuevo dispositivo. Estas copias de seguridad se protegen mediante una clave de recuperación que, si cae en manos equivocadas, permite descifrar y leer toda la conversación histórica almacenada.

Cómo funciona el ataque

La campaña emplea técnicas de phishing dirigido para engañar a las víctimas y conseguir que revelen o introduzcan sus claves de recuperación en páginas o formularios fraudulentos. Una vez que los atacantes obtienen esa clave, pueden importar la copia de seguridad en otro dispositivo y acceder al contenido de los mensajes sin necesidad de vulnerar el cifrado de Signal.

Este enfoque es especialmente preocupante porque:

  • No requiere comprometer el dispositivo de la víctima en el momento del ataque.
  • Permite la extracción retrospectiva de comunicaciones, no solo el espionaje en tiempo real.
  • La clave de recuperación raramente se considera un secreto de alta prioridad por parte de los usuarios, lo que la convierte en un objetivo con menor vigilancia.

A quién va dirigida la campaña

Según el aviso de las agencias estadounidenses, los objetivos prioritarios son personas de interés para la inteligencia rusa, lo que incluye funcionarios gubernamentales, personal militar, periodistas y activistas que utilizan Signal como herramienta de comunicación segura.

Recomendaciones inmediatas

  1. Revisar y regenerar la clave de recuperación de Signal si existe alguna sospecha de exposición.
  2. Activar el bloqueo de pantalla y el registro de dispositivos vinculados dentro de la aplicación.
  3. Desconfiar de cualquier solicitud, enlace o formulario que pida introducir la clave de recuperación.
  4. Aplicar formación de concienciación sobre phishing específicamente orientada a aplicaciones de mensajería cifrada.
  5. Limitar el uso de copias de seguridad en la nube cuando no sea estrictamente necesario.

¿Estás cubierto en DefensOps?

Esta campaña implica la inhibición del acceso legítimo a datos históricos mediante el robo de claves de recuperación, una táctica que se alinea con T1490 – Inhibición de recuperación del marco MITRE ATT&CK. DefensOps dispone de la regla 111031 (plan Professional) que detecta actividad relacionada con la supresión o manipulación de mecanismos de recuperación, ayudándote a identificar comportamientos anómalos antes de que el daño sea irreversible.

Si tu organización utiliza Signal u otras herramientas de mensajería cifrada para comunicaciones sensibles, es el momento de revisar tu postura de seguridad.

👉 Consulta los planes y solicita una demo en DefensOps


Fuente: FBI: Russian hackers now target Signal backup recovery keys – BleepingComputer