Phishing en señal: Cuando los atacantes no necesitan romper el cifrado

Por /

El final de abril de 2026 demostró una vez más lo frágil que puede ser la idea de „comunicación segura“. El viernes 24 de abril, la fiscalía federal alemana anunció que llevaba a cabo una investigación desde mediados de abril por presunto espionaje, dirigida a cuentas de Signal pertenecientes a políticos, diplomáticos, militares y periodistas. Entre los objetivos mencionados estaban las ministras federales Karin Prien (Educación) y Verena Hubertz (Construcción) y la portavoz del Bundestag Julia Klöckner. Según un informe de Der Spiegel, más de 300 cuentas de alto nivel podrían haber sido atacadas. Al día siguiente, fuentes gubernamentales alemanas declararon a la AFP que la campaña „probablemente estaba dirigida desde Rusia“, una formulación que seguía siendo prudente, en contraste con una atribución más clara de los servicios holandeses.

No se trata de un hecho aislado. Ya el 9 de marzo de 2026, los servicios de inteligencia neerlandeses AIVD y MIVD publicaron una advertencia exhaustiva sobre una campaña „global a gran escala“ dirigida contra cuentas de Signal y WhatsApp; entre las víctimas había funcionarios neerlandeses. Y el 1 de abril, Político publicó un informe exclusivo: la Comisión Europea ordenó a los jefes de departamento y a sus adjuntos que cerraran los chats de grupo internos en Signal por temor a ataques de piratas informáticos.

Tres acontecimientos, un patrón. Y un denominador común que vale la pena comprender: encriptación nadie entró en Signal. Los ataques se dirigen a otra parte: a los usuarios.

Por qué es más importante que un „hack“ clásico“

Cuando pensamos en un ataque a las comunicaciones cifradas, la mayoría pensamos en un fallo matemático, un día cero en una aplicación o un malware en un teléfono. Nada de eso ocurre aquí. Los atacantes están explotando una característica perfectamente legítima de Signal llamada dispositivos conectados (Dispositivos vinculados) - el que le permite Señal instálalo en tu ordenador de sobremesa y utiliza la misma cuenta desde el portátil y el móvil (Signal admite hasta cinco dispositivos conectados y sincroniza chats y contenido multimedia hasta los últimos 45 días después de la primera conexión).

El principio de la conexión es sencillo: la versión de escritorio de Signal muestra un código QR, usted lo escanea con su teléfono móvil y, a partir de ese momento, ambos dispositivos reciben sus mensajes. El cifrado sigue funcionando, pero el dispositivo del atacante se convierte en el punto final autorizado al que Signal entrega legítimamente nuevos mensajes. Desde la perspectiva del servidor de Signal, se trata de una situación normal y prevista.

El ataque explota exactamente este mecanismo. El atacante prepara un código QR de un dispositivo conectado, lo disfraza en una página fraudulenta („invitación a un grupo“, „alerta de seguridad de Signal“, „inicio de sesión en la aplicación de la empresa“) y lo entrega a la víctima a través de un enlace en un correo electrónico, mensaje o red social. Cuando la víctima escanea el código QR con un escáner en el Ajustes → Dispositivos conectados, La víctima vincula su cuenta a la instancia de Signal controlada por el atacante. El teléfono móvil de la víctima no muestra signos de compromiso: no hay malware, la duración de la batería no disminuye, el sistema operativo no ha notado nada. Mientras tanto, el atacante lee todos los mensajes nuevos en tiempo real y, según las conclusiones de los investigadores alemanes, pudo acceder al historial de conversaciones de los 45 días anteriores aproximadamente a través de una ventana de sincronización.

Existen variantes más sencillas del ataque. Según Aviso AIVD/MIVD i informar sobre el caso alemán Los atacantes suelen hacerse pasar por un „chatbot de soporte de Signal“ y piden a la víctima un código de verificación por SMS o un PIN de Signal. Si el usuario proporciona el código, el atacante simplemente vuelve a registrar la cuenta en su dispositivo y el propietario original queda desconectado de la aplicación.

Para completar: el contexto económico describe Artículo de EUobserver, que, citando fuentes anónimas de los servicios de inteligencia y seguridad privada europeos, informa de que el acceso a contenidos extranjeros de Signal se negocia por entre 10.000 y 20.000 dólares en el mercado gris, para WhatsApp contenido por entre 2.000 y 4.000 dólares y los datos del historial de viajes de la víctima por entre 200 y 400 dólares. Estas cifras no se han podido verificar de forma independiente, pero incluso a título orientativo indican que existe una demanda estructurada para este tipo de acceso.

Anatomía de un ataque en cinco pasos

  1. Preparación. Un atacante registra un dominio visualmente similar a Signal (por ejemplo señal-confirmar.site, signal-protect.host) y clona la página Signal Group Invite. El JavaScript que normalmente redirigiría a la entrada del grupo se sustituye por código que llama al URI sgnl://linkdevice?uuid=... - Signal reconoce esto como una solicitud para conectar un nuevo dispositivo.
  2. Cebo. La víctima recibe el enlace por correo electrónico, en un mensaje de Signal/Telegram o a través de un contacto comprometido. El cebo simula ser una invitación a un grupo, una alerta de seguridad de Signal, instrucciones para conectar un nuevo dispositivo o el inicio de sesión en una aplicación especializada.
  3. Escanea el QR. La víctima abre la página, ve el código QR y lo escanea directamente con el escáner de Ajustes → Dispositivos vinculados → Vincular nuevos dispositivos. En ese momento Signal muestra fielmente su normal „¿Conectar dispositivo? - Signal Desktop“.
  4. Conexión. La instancia Signal del atacante se convierte en un dispositivo vinculado legítimo en la cuenta de la víctima. El servidor envía copias de los mensajes automáticamente.
  5. Intervención telefónica permanente. Cada nuevo mensaje llega simultáneamente a la víctima y al atacante. La detección es posible principalmente auditando los dispositivos conectados; los cambios en los Números de Seguridad o los duplicados sospechosos de contactos en grupos pueden ayudar especialmente con el nuevo registro de cuentas o una cuenta recién creada junto a la tuya.

Cinco minutos que merece la pena invertir ahora mismo

Aquí está el quid de todo el texto. Si utilizas Signal, sigue estos pasos, no en algún momento, sino en los próximos minutos.

1. Auditoría de los dispositivos conectados. Abre Signal, toca el icono de tu perfil en la esquina de la pantalla y continúa por Ajustes → Dispositivos conectados. Sólo deberías ver los dispositivos que hayas conectado tú mismo, normalmente Signal Desktop en tu ordenador o iPad. Desconecta cualquier otro. Haz de esta comprobación una rutina mensual; si tu profesión es más delicada (periodista, abogado, activista, funcionario público), hazla una vez a la semana.

2. PIN de señalización y bloqueo de registro. Configuración → Cuenta. Si no tienes PIN, créate uno: lo ideal es que sea alfanumérico y tenga más de seis caracteres. Pero lo más importante Activar el bloqueo de registro. Sin él, un atacante sólo necesita capturar un código SMS para volver a registrar tu número en su cuenta. teléfono. Registration Lock no puede hacerlo sin su PIN. Atención al detalle: el Bloqueo de Registro se libera tras siete días de inactividad, así que abre la app al menos una vez a la semana.

3. Números de seguridad de los contactos clave. Cada conversación tiene un número de seguridad único de 60 dígitos que se utiliza para verificar la identidad de la otra parte. En los detalles del contacto, pulse Ver el número de seguridad. La verificación ideal es la personal: escanea el código QR de la otra parte. Si esto no es posible, utiliza otro canal que ya hayas verificado (teléfono, reunión cara a cara). Nunca envíes el número a través de Signal y deja siempre que la otra parte envíe primero los suyos; de lo contrario, si se ven comprometidos, el atacante enviará de vuelta los tuyos. Los números de seguridad no son una detección mágica para todos los ataques, pero una práctica consistente de verificarlos forma parte de la higiene básica.

4. Bloqueo de pantalla y Bloqueo de pantalla de señal. Contraseña alfanumérica fuerte del teléfono (no un PIN de cuatro dígitos), desbloqueo biométrico de la propia Señal (Ajustes → Privacidad → Bloqueo de pantalla) y ocultar la vista previa de los mensajes en las notificaciones. Para los usuarios de iOS que pertenecen a grupos vulnerables, las agencias de inteligencia también recomiendan considerar Modo Bloqueo (Configuración → Privacidad y seguridad).

5. Actualización. Las versiones de Signal publicadas después de febrero de 2025 han mejorado la protección contra el phishing de QR: nuevo diálogo de enlace y advertencias más contundentes. Mantén activadas las actualizaciones automáticas.

Cómo detectar un código QR fraudulento

El código QR en sí no puede distinguirse visualmente como „bueno“ o „malo“: es sólo una representación gráfica del URI. La diferencia es el contexto en el que se te presenta. Es importante distinguir para qué sirve el código QR en Signal: hay códigos QR legítimos para unirse al grupo (Signal los admite oficialmente y escanearlos sólo te añade al grupo), mientras que los códigos QR para conexión de nuevos equipos son las que pueden dar lugar a escuchas telefónicas.

Una prueba sencilla que funciona siempre: si alguna página, correo electrónico o contacto le lleva a escanear un código QR en el menú Ajustes → Dispositivos conectados, Considérelo un ataque, a menos que el código provenga directamente de su propia instancia de Signal Desktop o Signal iPad que haya instalado usted mismo desde señal.org.

Más banderas rojas:

  • Alguien te envía un código QR „para escanear desde tu teléfono móvil“. Un QR legítimo para enlazar siempre lo genera la aplicación Signal Desktop en el momento en que tú mismo la inicias. Nunca al revés.
  • Presión para actuar inmediatamente: „La cuenta se desactivará“, „La invitación caduca en 5 minutos“. Signal no utiliza este tipo de lenguaje.
  • Una falsa „alerta de seguridad de Signal“ a través de un sitio web externo. Signal nunca te pide que escanees un código QR para la „verificación“.
  • Un código QR de un cartel, foto o folleto que lleva a un enlace de Signal. Nunca lo escanees.

Qué hacer si sospecha que la situación está comprometida

Si ves algo que no reconoces en la lista de dispositivos conectados, asume que el atacante ha estado leyendo tus mensajes desde que te conectaste - y probablemente ha visto algunas de las conversaciones de semanas anteriores.

  1. Desconecte el dispositivo inmediatamente en la lista de Dispositivos Vinculados. Realice este paso primero: dejará de leer los mensajes nuevos.
  2. Cambiar PIN de señal v Ajustes → Cuenta → Cambiar PIN.
  3. Asegúrese de que el bloqueo de registro está activado.
  4. Alerte a sus contactos clave a través de otro canal (teléfono, en persona). El atacante podría haber estado tecleando e interceptando respuestas en su nombre. Recertifique los números de seguridad con sus contactos.
  5. Cambia las contraseñas de los servicios cuyas credenciales de acceso, códigos 2FA o información sensible hayas compartido a través de Signal. Supongamos que el atacante ha leído los mensajes desde la conexión y desde la ventana de sincronización anterior.
  6. Comprueba el estado de tu teléfono - Actualizaciones del sistema operativo, aplicaciones instaladas; como último recurso, considera un restablecimiento de fábrica y restaura desde una copia de seguridad limpia.
  7. Informar del incidente al CERT nacional (CSIRT.CZ, csirt.cz) o la Comisión Nacional de Ciberseguridad e Información Seguridad (nukib.gov.cz), si pertenece a un grupo vulnerable.

Lo que hay que aprender

Varias instituciones y servicios de inteligencia europeos han descrito el mismo problema en pocas semanas: cifrado de extremo a extremo sigue siendo funcional, pero no basta por sí sola. Un atacante que no pueda romper la criptografía tiene como objetivo la interfaz humano-aplicación: códigos QR, asistencia falsa, PIN y confianza rutinaria.

La consecuencia práctica es trivialmente sencilla y notoriamente familiar: Bloqueo de registro activado, una lista limpia de dispositivos conectados, Números de Seguridad verificados y una sana desconfianza hacia cualquier código QR procedente del exterior. Cinco minutos de configuración ahora ahorrarán una larga lista de llamadas telefónicas después.

Y una conclusión más franca, que vino, entre otros, del director de la inteligencia militar holandesa, Peter Reesink, en relación con la advertencia de marzo: ni siquiera Signal con cifrado de extremo a extremo es un canal adecuado para información verdaderamente clasificada, sensible o confidencial. Es excelente para las comunicaciones privadas ordinarias. Para lo más sensible, hay razones para que los Estados operen sus propios canales separados y gestionados.

Recursos y lecturas complementarias

  • Reuters/AFP, „Alemania sospecha que Rusia envía señales phishing ataques contra políticos“ (25. 4. 2026)
  • AIVD, „Russia targets Signal and WhatsApp accounts in cyber campaign“ (9. 3. 2026)
  • Politico Europe, „Top EU officials’ Signal group chat shut down over hacking fears“ (1. 4. 2026)
  • Google Threat Intelligence Group, „Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger“ (febrero de 2025)
  • Signal Support, documentación oficial para Signal PIN, Registration Lock y Linked Devices
  • EUobserver, „RIP Signal: Russians kill trust in many EU diplomats’ beloved messaging app“ (cita precios del mercado gris como datos de fuentes anónimas)

Ir arriba