Signal y Twilio: cómo evitar un hackeo con la verificación en dos pasos por SMS

Signal, la popular aplicación de mensajería encriptada, informó que los números de teléfono y los códigos de verificación enviados por mensaje de texto de 1.900 usuarios podrían estar en manos de piratas informáticos luego de que Twilio, una empresa que brinda servicios de verificación de verificación en la mencionada plataforma, sea objetivo de una brecha de seguridad a principios de agosto.

Si bien Signal confirma que el historial de mensajes, la información del perfil y los datos de contacto son seguros, el hackeo es solo otro ejemplo de por qué la verificación por SMS no es una buena idea.

Contexto del hackeo a Twilio y Signal

La brecha de seguridad en Twilio ocurrió el 4 de agosto, cuando algunos de los empleados de la empresa fueron víctimas de ataques de phishing y, estafados, facilitaron a los atacantes sus datos y claves de acceso.

La empresa, en un comunicado, explicó que los piratas informáticos utilizaron las cuentas de los empleados para acceder a varios sistemas internos y robar datos de algunos de sus clientes. Entre ellos se encuentra Signal, para quienes brindan servicios de verificación por SMS.

Los atacantes, verificados por la propia plataforma de mensajería, supuestamente obtuvieron los números de teléfono y códigos asociados a ellos, de casi 2.000 de sus usuarios. Signal dice “un porcentaje muy pequeño”, pero eso tiene un inconveniente muy importante, ya que permite el acceso a las cuentas de otros usuarios.

“Para unos 1.900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haber aprendido que su número estaba registrado en Signal”, se puede leer en el comunicado de Signal.

El acceso a la cuenta de Signal podría permitir a los piratas informáticos enviar y recibir mensajes. No tienen acceso, eso sí, a chats anteriores. Ni información de perfil ni direcciones de contacto. Todo esto está protegido por un PIN que debe ser ingresado manualmente por el propietario de la cuenta y no está en manos de Twilio.

El ataque a Signal demuestra que la verificación por SMS es peligroso

La verificación de SMS es un método simple para verificar a un usuario, que no necesita recordar una contraseña para acceder a su cuenta. Plataformas como Lime, Signal o WhatsApp lo utilizan.

También se utiliza como protección adicional en plataformas que admiten la verificación en dos pasos. En estos casos, el usuario, además de definir su nombre de usuario y contraseña, debe ingresar un código PIN único enviado por SMS, que también caduca después de su uso.

Sin embargo, enviar estos códigos a través de SMS no es la forma más ideal, ya que es relativamente fácil de acceder. Especialmente si es el método de verificación principal (es decir, no se utiliza como método secundario en un sistema de verificación de dos pasos).

En el caso de Signal, los atacantes pudieron robar números de teléfono y sus códigos asociados a través de un ataque de phishing contra la empresa que brinda el servicio de envío de códigos para la plataforma de mensajería.

Pero acceder a plataformas internas robando las credenciales de los empleados no es la única forma de robar códigos de verificación.

Cómo identificar estas estafas por SMS y qué hacer

Algunos piratas informáticos convencen a las víctimas para que, sin darse cuenta, reenvíen las llamadas a otro número de teléfono (de los atacantes) para que puedan acceder a su cuenta de WhatsApp, Telegram o Signal.

Luego registran una cuenta en un nuevo dispositivo. Después de enviar el código de verificación por SMS, solicitan recibir esta clave con una llamada.

Algo similar ocurre con los códigos de verificación en dos pasos (2FA). Algunos de ellos también se envían por SMS y se pueden mostrar de forma similar. Por lo tanto, lo más recomendable es utilizar plataformas que generen estas claves aleatorias, como Authy, iCloud o Google Authenticator.

De todos modos, WhatsApp y Signal recientemente, así como muchas otras plataformas que continúan enviando códigos a través de SMS, también permiten medidas de acceso adicionales.

Entre ellos, código personal. Así, además de introducir el código recibido vía SMS, también deberán introducir el código de acceso para poder completar el registro y utilizar la aplicación.

SEGUIR LEYENDO