Especialistas de un curso de hacking reportaron el hallazgo de una vulnerabilidad en Signal, una plataforma de mensajería con enfoque en la privacidad de los usuarios. Acorde a los investigadores de Tenable, la explotación de esta falla podría permitir rastrear la actividad de los usuarios con sólo llamar a su número en la aplicación. Signal es muy popular entre periodistas, activistas e incluso entre refugiados políticos, por lo que la explotación podría tener consecuencias desastrosas.
David Wells, investigador a cargo del hallazgo, señala que hay dos aspectos fundamentales sobre esta vulnerabilidad. El primero es que, si dos usuarios de Signal se tienen como contactos, es posible que puedan determinar la ubicación y la dirección IP del otro con sólo una llamada, incluso si el otro usuario no contesta la llamada.
Por otra parte, los expertos del curso de hacking mencionan que esta exposición de información podría desencadenarse incluso si el usuario objetivo recibe una llamada de Signal proveniente de un número desconocido, además, los atacantes ni siquiera dependen de que la víctima conteste la llamada para determinar una ubicación aproximada.
“Es algo un poco extraño que alguien pueda obtener tu ubicación con sólo una llamada”, asegura Wells. “Podría emplear un teléfono de prepago y llamar al usuario objetivo; todo pasa tan rápido que sólo queda un registro de llamada perdida de un número desconocido. Esto es más que suficiente para que el atacante verifique a qué servidor DNS se conecta el teléfono y forzarlo a responder; al saber con qué servidor DNS se está interactuando, es posible determinar una ubicación general”, añade el experto del curso de hacking.
Cabe mencionar que este método es poco confiable; durante su investigación, Wells llamó a un usuario de Signal radicado en Pennsylvania, aunque el servidor DNS asociado arrojó una ubicación en Toronto, a más de 600 kilómetros de distancia.
Al parecer el problema reside en el interior de la aplicación, y a diferencia de otras variantes de ataque a usuarios de servicios de mensajería (como el phishing), no hay nada que los usuarios puedan hacer para mantenerse a salvo, reporta el Instituto Internacional de Seguridad Cibernética (IICS).
Signal no ha declarado nada al respecto, aunque una fuente cercana a la compañía mencionó que en breve un parche de actualización estará disponible en las plataformas de aplicaciones. Si bien Wells considera que esta no es una falla crítica, el hecho de que las aplicaciones con acceso a esta clase de detalles dejen tantos cabos sueltos es indeseable: “No diría que esto es un ataque de hacking, pues no estamos rompiendo el cifrado en Signal o algo parecido, aunque la firma debe corregir este inconveniente”, concluye Wells.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
