El FBI y CISA han actualizado su advertencia de marzo sobre el phishing de cuentas de Signal de la inteligencia rusa, y los operadores han agregado un paso: ahora convencen a los objetivos para que entreguen su clave de recuperación de respaldo de Signal.
Entréguelo una vez y el atacante podrá restaurar la copia de seguridad de la cuenta, leer el historial de mensajes privados y grupales y hacerse cargo de la cuenta. Peor aún, la llave sigue funcionando. Cree una nueva cuenta con el mismo número de teléfono y la clave anterior aún se podrá usar en ella, advierte el aviso.
La solución es contundente: generar una nueva clave en Configuración, que elimina la anterior para futuras descargas de respaldo, y aceptar que todo lo que el atacante ya haya extraído desaparecerá.
El aviso actualizado, PSA I-062626-PSA, agrega dos nombres de seguimiento público que faltaban en el aviso de marzo: UNC5792 y UNC4221. El FBI vincula la actividad a múltiples grupos de los Servicios de Inteligencia Rusos (RIS), incluidos oficiales del FSB integrados en la Guardia Fronteriza del FSB y otros que trabajan para los servicios militares rusos. La campaña llega a cuentas de Signal y WhatsApp; La nueva táctica de clave de recuperación que describe el aviso es específica de Signal.
Los objetivos son personas de alto valor de inteligencia: funcionarios gubernamentales actuales y anteriores de Estados Unidos e internacionales, personal militar, figuras políticas, periodistas y funcionarios en Ucrania. El aviso de marzo decía que la campaña más amplia ya había comprometido miles de cuentas en todo el mundo.
El mensaje de phishing se hace pasar por soporte de Signal. Olas anteriores pedían códigos de verificación por SMS y PIN de cuenta, o utilizaban enlaces de “invitación grupal” manipulados que vinculaban silenciosamente el dispositivo de un atacante a la cuenta.
La versión actualizada guía al objetivo para activar las copias de seguridad de Signal, abrir la clave de recuperación y pegarla en el chat. El aviso imprime dos mensajes de muestra: uno disfrazado de implementación obligatoria de dos factores, el otro como una solución urgente de “recuperación de datos” para mensajes supuestamente en riesgo de pérdida.
Al igual que en marzo, las agencias tienen claro que ninguno de estos rompe el cifrado de Signal ni la propia aplicación. Los actores comprometen cuentas individuales mediante ingeniería social y luego ingresan a través de una función legítima.
Además de la actualización, el programa Recompensas por la Justicia del Departamento de Estado ofrece hasta $10 millones por información sobre UNC5792.
La actividad se superpone con las advertencias de la inteligencia holandesa (AIVD y MIVD), la BfV y BSI de Alemania y la ANSSI de Francia a principios de este año. El Threat Intelligence Group de Google documentó por primera vez que UNC5792 abusaba de la función de dispositivo vinculado de Signal a principios de 2025, y vio la misma técnica aparecer contra WhatsApp y Telegram.
Que hacer ahora
- Trate cualquier mensaje dentro de la aplicación de “Soporte de Signal” como hostil. El soporte real no le envía mensajes dentro de la aplicación para solicitar códigos, PIN o su clave de recuperación.
- Nunca pegue su clave de recuperación de respaldo, código de verificación o PIN en un chat. Nada legítimo los pide de esa manera.
- Abra Configuración, verifique Dispositivos vinculados y elimine todo lo que no reconozca.
- Si cree que entregó su clave de recuperación, genere una nueva en Configuración ahora y asuma que cualquier copia de seguridad realizada antes ya está en manos de otra persona.
El aviso de marzo advirtió que las tácticas cambiarían. Lo han hecho, desde perseguir códigos de un solo uso hasta tomar la llave que abre todo el archivo. El cifrado se mantiene. La cuenta es el punto débil y la persona que la posee es el objetivo.