Signal, la popular app de mensajería cifrada, ha informado que los números de teléfono y los códigos de verificación enviados por SMS de 1.900 de sus usuarios podrían estar en manos de hackers después de que Twilio, una compañía que ofrece a la mencionada plataforma servicios de verificación, sufriera una brecha de seguridad a inicios de agosto. Si bien Signal confirma que tanto el historial de mensajes, como la información de perfil y los datos de los contactos están a salvo, el hackeo no es más que otra muestra de por qué los SMS de verificación no son una buena idea.

La brecha de seguridad en Twilio se produjo el pasado 4 de agosto, cuando algunos de sus empleados cayeron en un ataque de phishing y, engañados, facilitaron a los atacantes sus datos y claves de acceso. La compañía, en un comunicado, detalló que los hackers utilizaron las cuentas de los empleados para acceder a diferentes sistemas internos y robar datos de algunos de sus clientes. Entre ellos, Signal, a quienes proporcionan servicios de verificación mediante SMS.

Los atacantes, según ha comprobado la propia plataforma de mensajería, habrían obtenido los números de teléfono y los códigos asociados a ellos, de casi 2.000 de sus usuarios. Un "porcentaje muy pequeño", dice Signal, pero que implica un inconveniente muy importante, pues permitió el acceso a cuentas de otros usuarios.

"Para unos 1.900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haber aprendido que su número estaba registrado en Signal".

El acceso a la cuenta de Signal pudo permitir a los hackers enviar y recibir mensajes. No tienen acceso, eso sí, a las conversaciones previas. Tampoco a la información del perfil o los contactos. Todo ello está protegido mediante un código PIN que debe introducir manualmente el propietario de la cuenta y que no estaba en manos de Twilio.

Los SMS de verificaicón no son una buena idea, y el ataque a Signal lo demuestra

Signal

La verificación mediante SMS es un método fácil de verificar a un usuario, el cual no tiene que recordar contraseñas para acceder a su cuenta. Plataformas como Lime, Signal o WhatsApp lo utilizan.

También se usa como un extra de protección en aquellas plataformas compatibles con la verificación en dos pasos. En esos casos, los usuarios, además de identificarse con su usuario y contraseña, deben introducir, un PIN único enviado por SMS que, además, expira tras su uso.

El envío de estos códigos mediante SMS, sin embargo, no es lo más idóneo, dado que es relativamente sencillo acceder a ellos. Especialmente si es el método de verificación principal (es decir, no se usa como método secundario en un sistema de verificación en dos pasos).

En el caso de Signal, los atacantes han podido robar los números de teléfono y su código asociado a través de un ataque de phishing a la compañía que ofrece a la plataforma de mensajería el servicio de envío de códigos. Pero acceder a plataformas internas a través del robo de credenciales de empleados no es la única forma de poder sustraer los códigos de verificación. Algunos hackers, por ejemplo, convencen a las víctimas para que realicen, sin que lo sepan, un desvío de llamadas a otro número de teléfono (el de los atacantes) y así poder acceder a su cuenta de WhatsApp. Estos, posteriormente, registran la cuenta en un nuevo dispositivo. Una vez se envía el código de verificación mediante SMS, solicitan recibir esa clave mediante una llamada.

Sucede algo similar con los códigos de verificación en dos pasos (2FA). Algunos de estos, también se envían mediante SMS, y pueden quedar expuestos de la misma manera. Lo más recomendable, por tanto, es utilizar plataformas que generen estas claves aleatorias, como Authy, iCloud,o Google Authenticator.

En cualquier caso, tanto WhatsApp como Signal recientemente, y muchas otras plataformas que mantienen el envío de códigos mediante SMS, también permiten medidas de acceso adicionales. Entre ellos, los códigos personales. De este modo, además de introducir el código que reciben por mensaje de texto, también deben introducir una clave de acceso para poder finalizar el registro y utilizar la app.

Participa en la conversación

2 Comentarios

Deja tu comentario

  1. Si son buena idea, funcinan bien El problema aquí es que hackeraron no al usuario si no al proveedor. Es como que roben las contraseñas de los usuarios a Google, qué culpa tiene el usuario?