El FBI dice que los espías rusos ahora están engañando a los usuarios de Signal para que entreguen sus claves de recuperación de respaldo

El FBI y CISA han advertido que los piratas informáticos de la inteligencia rusa ahora están apuntando a las claves de recuperación de respaldo de los usuarios de Signal, una escalada de una campaña de phishing que ya ha comprometido miles de cuentas en todo el mundo. El aviso actualizado publicado el jueves dice que una vez que se entrega la clave, los atacantes pueden restaurar las copias de seguridad de una cuenta, leer todo su historial de mensajes personales y grupales y tomar control de la cuenta.

Lo que funciona incluso después de que la víctima haya cambiado de teléfono. Si un objetivo crea una nueva cuenta con el mismo número de teléfono, la clave de recuperación anterior aún se puede usar para acceder a futuras copias de seguridad, advierte el aviso. La única solución es crear una nueva clave en la configuración de Signal, que anula la anterior para futuras descargas pero no puede recuperar nada que el atacante ya haya extraído.

El aviso, designado PSA I-062626-PSA, agregó dos nombres de seguimiento públicos no incluidos en el aviso de marzo del FBI: UNC5792 y UNC4221. La oficina vinculó la actividad con múltiples grupos de servicios de inteligencia rusos, incluidos oficiales del FSB integrados en la guardia fronteriza del FSB y otros que trabajan para el ejército ruso. La campaña está dirigida tanto a Signal como a WhatsApp, aunque la estrategia principal de recuperación es específica de Signal.

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!

Los objetivos son lo que el FBI describe como "altos estándares de inteligencia,incluidos funcionarios gubernamentales actuales y anteriores de Estados Unidos e internacionales, personal militar, figuras políticas, periodistas y funcionarios ucranianos. La consultora March dijo que la campaña generalizada ya había comprometido miles de cuentas en todo el mundo.

Los mensajes de phishing pretenden admitir señales. Olas anteriores solicitaron o utilizaron códigos de verificación por SMS y PIN de cuenta.Invitación grupal"Enlace que vincula silenciosamente el dispositivo de un atacante a la cuenta de una víctima. La versión actualizada se ejecuta en el objetivo activando Signal Backup, abriendo la pantalla de la clave de recuperación y pegando la clave en el chat.

El FBI publicó dos mensajes de muestra utilizados en la campaña. Uno se hace pasar por una implementación obligatoria de autenticación de dos factores y el otro se hace pasar por una emergencia ".recuperación de datos" solución para mensajes en riesgo de perderse. Ambos son ataques de ingeniería social que explotan la confianza en la propia interfaz de una plataforma en lugar de vulnerabilidades técnicas.

Las agencias tienen claro que ninguna de estas técnicas rompe el cifrado de la señal o de la aplicación. Los atacantes comprometen cuentas individuales mediante ingeniería social y luego inician sesión mediante un atributo legítimo. Es un patrón que se ha vuelto cada vez más común en los productos de seguridad, donde el eslabón más débil es la persona que sostiene el dispositivo, no la criptografía que protege los datos.

Además de las pistas, el programa Recompensas por la Justicia del Departamento de Estado ofrece hasta 10 millones de dólares por información sobre UNC5792. La actividad se superpone con advertencias previas de las agencias de inteligencia holandesas AIVD y MIVD, BfV y BSI de Alemania y ANSSI de Francia. El Threat Intelligence Group de Google documentó el abuso de la función de dispositivo vinculado de UNC5792 Signal ya en 2025 y luego observó prácticas similares dirigidas a WhatsApp y Telegram.

La campaña es un recordatorio de que el cifrado de extremo a extremo protege los mensajes en tránsito, pero no puede proteger a los usuarios que aceptan entregar las claves ellos mismos. Cualquiera que reciba un mensaje solicitando una clave de recuperación, un código de verificación o un PIN dentro de Signal, sin importar cuán confiable sea el remitente, debe ser tratado como un enemigo. Signal no solicita a los usuarios dentro de la aplicación que soliciten credenciales.