Espías rusos escalan sus ataques contra Signal con un nuevo vector de robo de cuentas

El FBI y la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) han publicado una actualización conjunta de la advertencia que emitieron en marzo, en la que ya alertaban de que actores vinculados a los servicios de inteligencia rusos estaban llevando a cabo campañas de phishing dirigidas a cuentas de Signal. La novedad significativa ahora es que los operativos han añadido un componente crítico a su metodología: la obtención de la clave de recuperación de respaldo (Backup Recovery Key) de la aplicación.

¿Qué es la clave de recuperación de respaldo de Signal y por qué importa tanto?

Signal permite a sus usuarios generar una clave alfanumérica que sirve para restaurar el historial cifrado de mensajes en un dispositivo nuevo. Su utilidad legítima es clara: facilita la migración de cuentas sin perder conversaciones privadas. Sin embargo, ese mismo mecanismo se convierte en una puerta de entrada privilegiada si cae en manos equivocadas.

Cuando un atacante consigue esta clave, puede restaurar la copia de seguridad de la víctima en un dispositivo bajo su control, accediendo así al historial completo de mensajes —tanto individuales como grupales— y tomando el control efectivo de la cuenta. Lo más preocupante, según recoge la alerta, es que la clave no caduca automáticamente una vez utilizada, lo que otorga al adversario un acceso potencialmente prolongado sin necesidad de repetir el ataque inicial.

El engaño: ingeniería social adaptada

La táctica central sigue siendo el phishing, pero refinado. Los actores de amenaza elaboran pretextos creíbles —suplantando entidades de confianza, compañeros o servicios técnicos— para convencer al objetivo de que facilite su clave de recuperación. A diferencia de un código de verificación de un solo uso, la víctima puede no percibir la urgencia de revocarla o cambiarla, y el atacante dispone de una ventana de explotación mucho más amplia.

Este enfoque encaja con el patrón de operaciones de inteligencia a largo plazo: el objetivo no es interrumpir el servicio, sino mantener visibilidad silenciosa sobre comunicaciones sensibles.

Perfil de los objetivos

Aunque la alerta no especifica sectores concretos, las campañas previas atribuidas a estos grupos se han centrado históricamente en periodistas, diplomáticos, personal gubernamental y activistas. Cualquier persona o entidad cuyas comunicaciones privadas representen valor de inteligencia debe considerarse en el radio de alcance.

Recomendaciones inmediatas

  • Revisar y rotar la clave de recuperación de respaldo de Signal si existe alguna duda de que pudo haber sido compartida o comprometida.
  • No facilitar nunca la clave de recuperación a través de ningún canal, independientemente del pretexto que se emplee.
  • Activar el bloqueo de pantalla con PIN en Signal y habilitar el registro de seguridad de la aplicación.
  • Formar a los equipos sobre las tácticas de ingeniería social orientadas a aplicaciones de mensajería cifrada.
  • Reportar intentos de phishing relacionados con Signal a los equipos de seguridad internos y a las autoridades competentes.

¿Estás cubierto en DefensOps?

Esta campaña incluye técnicas orientadas a inhibir o socavar mecanismos de recuperación de cuentas, lo que se alinea con la técnica MITRE ATT&CK T1490 – Inhibit System Recovery (en su aplicación a la degradación o explotación de capacidades de restauración de credenciales y accesos).

DefensOps detecta actividad relacionada con esta técnica mediante la regla 111031 en el plan Professional, que monitoriza patrones de inhibición de recuperación y accesos anómalos a mecanismos de respaldo.

¿Tu organización tiene visibilidad sobre las actividades de recuperación de cuentas en las herramientas de comunicación que usan tus equipos? Si no estás seguro, es el momento de comprobarlo.

👉 Consulta los planes de DefensOps y solicita una demo para ver cómo la plataforma puede proteger a tu organización frente a este tipo de amenazas persistentes.


Fuente: The Hacker News – FBI Warns Russian Intelligence Hackers Target Signal Backup Recovery Keys