FBI y CISA actualizaron la advertencia de marzo sobre una campaña de phishing de la inteligencia rusa dirigida contra usuarios de Signal. Según el boletín actualizado PSA I-062626-PSA, los operadores han añadido una nueva táctica: en lugar de códigos de verificación de un solo uso, ahora intentan engañar a las víctimas para que entreguen su Backup Recovery Key, la clave de recuperación de la copia de seguridad de Signal. Una vez obtenida esta clave, el atacante puede restaurar toda la copia de seguridad de la cuenta, leer el historial de mensajes personales y de grupo, así como tomar el control de la cuenta. La campaña tiene como objetivo a funcionarios gubernamentales en activo y anteriores, militares, políticos, periodistas y cargos públicos de Ucrania. La medida de protección clave es generar de inmediato una nueva clave de recuperación en los ajustes de Signal.
Evolución de la táctica: de los códigos de verificación a las claves de cifrado
El boletín de marzo PSA260320 describía olas anteriores de ataques en las que los operadores solicitaban a las víctimas códigos de verificación SMS y PIN de las cuentas, y también utilizaban enlaces falsos a «invitaciones a grupos» que permitían vincular de forma encubierta el dispositivo del atacante a la cuenta de la víctima. La versión actualizada de la campaña difiere de forma sustancial en la magnitud de sus consecuencias.
Ahora, el mensaje de phishing, disfrazado de notificación del servicio de soporte de Signal, guía a la víctima paso a paso por el proceso: activar la copia de seguridad, abrir la clave de recuperación y pegarla en el chat. El boletín proporciona dos ejemplos de señuelos: uno presentado como una actualización obligatoria de la autenticación de dos factores, y otro como una urgente «recuperación de datos» para mensajes supuestamente en riesgo de pérdida.
Un detalle de importancia crítica: la clave de recuperación sigue siendo válida incluso después de crear una nueva cuenta con el mismo número de teléfono. Esto significa que una única vez que se comprometa la clave otorga al atacante acceso permanente a las futuras copias de seguridad hasta que la víctima genere una nueva clave. La táctica de robo de claves de recuperación, según el boletín, es específica de Signal, aunque la campaña en general también afecta a WhatsApp y Telegram.
Las agencias subrayan que ninguno de los ataques descritos rompe el cifrado de Signal ni explota vulnerabilidades de la aplicación. La intrusión se produce exclusivamente mediante ingeniería social y el abuso de funciones legítimas del mensajero.
Atribución y alcance de la campaña
El boletín actualizado menciona por primera vez públicamente a dos grupos detrás de la campaña: UNC5792 y UNC4221. Según el FBI, la actividad está vinculada a varias unidades de los servicios de inteligencia rusos, incluidos oficiales del FSB destinados al Servicio de Guardafronteras del FSB, así como estructuras que trabajan para organismos militares rusos. Cabe señalar que esta atribución se basa en los datos de un único boletín gubernamental y no ha sido confirmada de forma independiente por otros investigadores.
El grupo Google Threat Intelligence Group documentó a principios de 2025 el abuso por parte de UNC5792 de la función de vinculación de dispositivos de Signal y registró el uso de métodos similares contra WhatsApp y Telegram. El boletín de marzo señalaba que, para entonces, la campaña ya había comprometido miles de cuentas en todo el mundo.
Paralelamente, el Departamento de Estado de EE. UU., a través del programa Rewards for Justice, anunció una recompensa de hasta 10 millones de dólares por información sobre el grupo UNC5792, lo que evidencia la seriedad con la que el gobierno de EE. UU. valora esta amenaza.
Quién está en el punto de mira
El público objetivo de la campaña son personas que representan un alto valor para la inteligencia:
- Funcionarios gubernamentales en activo y anteriores de EE. UU. y otros países
- Militares
- Actores políticos
- Periodistas
- Cargos públicos de Ucrania
Sin embargo, el propio mecanismo de ataque —phishing a través del mensajero— no requiere una infraestructura compleja y puede escalarse a cualquier categoría de usuarios de Signal. Los miles de cuentas ya comprometidas confirman que el alcance de la campaña va mucho más allá de los objetivos prioritarios iniciales.
Recomendaciones de protección
- Cualquier mensaje dentro de Signal procedente de «soporte técnico» debe considerarse hostil. El soporte legítimo de Signal no envía mensajes dentro de la aplicación y no solicita códigos, PIN ni claves de recuperación.
- Nunca pegue el Backup Recovery Key, el código de verificación ni el PIN en un chat. Ningún proceso legítimo requiere que se transmitan estos datos de este modo.
- Compruebe los dispositivos vinculados: abra Ajustes → Dispositivos vinculados y elimine todo lo que no reconozca.
- Si ha entregado la clave de recuperación, genere de inmediato una nueva en los ajustes de Signal. La clave antigua quedará anulada para futuras descargas de copias de seguridad, pero todo lo que el atacante ya haya descargado debe considerarse comprometido.
- Avise a sus contactos: si la cuenta se ha visto comprometida, alerte a sus interlocutores; el atacante podría haber enviado mensajes en su nombre.
El paso de robar códigos de un solo uso a obtener una clave que abre todo el archivo de conversaciones supone una escalada cualitativa. Un código de un solo uso proporciona acceso a una sesión; la clave de recuperación, a todo el historial de mensajes, y el acceso se mantiene hasta que se fuerce la rotación de la clave. La única acción que garantiza poner fin al acceso del atacante a las futuras copias de seguridad es generar un nuevo Backup Recovery Key en los ajustes de Signal. Si pertenece a cualquiera de las categorías objetivo enumeradas, hágalo ahora, sin esperar a ver indicios de compromiso.