El FBI y CISA publicaron una alerta conjunta actualizada advirtiendo que una campaña de phishing operada por agentes de inteligencia rusa ha evolucionado sus tácticas. Los atacantes, identificados como grupos UNC5792 y UNC4221 vinculados al Servicio Federal de Seguridad (FSB) de Rusia, ya no solo buscan códigos de verificación o vincular dispositivos a tu cuenta: ahora van directamente por tu llave de recuperación de respaldos de Signal (Backup Recovery Key).
¿Qué significa esto en lenguaje claro? Si alguien obtiene esa llave, puede restaurar una copia completa de tu historial de mensajes, conversaciones privadas, grupos y archivos compartidos. Lo peor: esa llave sigue funcionando incluso si cambias de teléfono o creas una cuenta nueva con el mismo número.
Los atacantes se hacen pasar por el soporte técnico de Signal y envían mensajes dentro de la misma app diciendo que necesitas activar una "verificación obligatoria de dos factores" por supuestos ataques recientes. El mensaje te guía paso a paso para abrir la configuración de respaldos, copiar tu llave de recuperación y pegarla en el chat. Si lo haces, el atacante tiene acceso total a tu historial.
La alerta del FBI es clara: Signal nunca te contactará por mensaje dentro de la app para pedirte códigos, contraseñas ni llaves de recuperación. Cualquier mensaje que lo haga es un ataque.
¿Por qué importa para tu empresa? Signal y WhatsApp son las apps de mensajería más usadas para comunicaciones de negocio en México. Si tú o tu equipo comparten información sensible, contratos, datos de clientes o decisiones estratégicas por estas apps, un atacante con acceso a tu historial tiene acceso a todo eso. Esta campaña ya ha comprometido miles de cuentas en todo el mundo, según el FBI, y no se limita a funcionarios de gobierno: cualquier persona es un blanco potencial.
Este tipo de ataque de ingeniería social es exactamente la misma táctica que usan las bandas de ransomware para entrar a redes empresariales. Como vimos en el caso de VECT 2.0, el ransomware que destruye tus datos aunque pagues el rescate, la mayoría de los ataques empiezan con un mensaje de phishing convincente o una contraseña robada.
Qué hacer ahora:
Nunca compartas tu llave de recuperación de Signal con nadie, por ningún medio. Revisa ahora mismo en Signal: Configuración → Dispositivos vinculados, y elimina cualquier dispositivo que no reconozcas. Si sospechas que tu llave fue comprometida, genera una nueva en Configuración → Respaldos → Ver llave de recuperación (esto invalida la anterior). Refuerza la cultura de tu equipo: ninguna app legítima te pedirá códigos ni llaves por chat.
Si tu empresa no cuenta con campañas de concientización y simulación de phishing ni con un esquema de monitoreo continuo de seguridad, esta noticia es un recordatorio de que la ingeniería social no necesita romper tu encriptación para robar tu información.
¿Quieres proteger a tu equipo contra ataques de phishing como este? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.