Signal es una alternativa a WhatsApp o Telegram que destaca, entre sus fortalezas, el envío de mensajes cifrados extremo a extremo así como por las garantías que ofrece a sus usuarios en materia de seguridad y privacidad. Sin embargo, nada es infalible en este mundo. Un ataque a uno de sus proveedores ha comprometido a cerca de 2.000 de sus usuarios.

Lo cuenta la propia plataforma en redes sociales, y algunos medios ya se han hecho eco del incidente. Twilio es el proveedor de envío automatizado de SMS que usa Signal. Este servicio es indispensable para garantizar el doble factor de autenticación cada vez que un usuario de Signal inicia sesión o crea una cuenta nueva.

El envío de estos mensajes de textos con códigos aleatorios sirven para identificar a los usuarios. El problema es que el proveedor ha sido atacado con phishing, con lo que la información de 1.900 usuarios de Signal se ha visto comprometida. La app de mensajería reconoce que los datos que se pueden haber visto expuestos incluyen números de teléfono y códigos de autenticación vía SMS.

"No se ha accedido ni se puede acceder al historial de mensajes, a los perfiles de usuarios, a sus listas de contactos y a otros datos", tranquiliza Signal en un hilo en Twitter que ha compartido este lunes por la tarde (hora peninsular). Pero "la información a la que han accedido los atacantes puede permitirles registrar los números de teléfono de los usuarios afectados en nuevos dispositivos".

La situación es la siguiente: tú tienes tu cuenta de Signal activa en tu móvil y en tu tableta, pero de repente la app te lanza un mensaje. Tu cuenta se ha abierto en otro dispositivo. Uno que no conoces. Puede haber sido uno de los ciberdelincuentes aprovechando el acceso a tu número de teléfono y al consecuente código de activación.

6 cosas que sí puedes hacer en Signal y no puedes hacer en WhatsApp

De esta manera, los criminales informáticos responsables del incidente a Twilio, proveedor de Signal, podrían suplantar a usuarios de la app de mensajería o llegar a interactuar con sus contactos.

La aplicación, por su parte, ha recordado un método con el que los usuarios pueden evitar que estos escenarios puedan llegar a darse. De hecho, Signal ya se está poniendo en contacto con los 1.900 afectados para que activen dicho método: se llama registro de bloqueo y está disponible en el menú de Ajustes de la aplicación.

Este bloqueo de registro permite a los usuarios desactivar la posibilidad de que la cuenta de Signal se abra en nuevos dispositivos, con lo que garantiza holgadamente la seguridad de las personas cuyos datos se hayan visto expuestos en este ataque que ha sufrido el proveedor de Signal.

La plataforma reivindica que su compromiso con la privacidad y con la construcción "de un producto que proteja tu información de terceros, incluyendo de la propia Signal" es lo que ha "asegurado" que tanto el historial de mensajes como la información del perfil o las listas de contactos de los afectados no se hayan visto expuestas.

Signal es una aplicación con una trayectoria dilatada, pero su crecimiento se disparó a principios del año pasado después de que Facebook (ahora Meta) anunciara un cambio en las políticas de privacidad de WhatsApp que llegó incluso a posponer. Esos cambios que los usuarios no aceptaron generó un aumento del 4.200% en las descargas de Signal en las principales tiendas de apps.