Hackers rusos utilizan códigos QR maliciosos para infectar la aplicación de mensajería Signal de militares ucranianos y acceder a sus mensajes. Es una de las conclusiones del grupo de inteligencia de amenazas de Google (Google Treat Intelligence Group), que destaca haber observado en el último año “un incremento de la actividad por parte de varios agentes de amenazas alineados con el Gobierno ruso” que en su opinión puede responder “al imperativo bélico de acceder a comunicaciones gubernamentales y militares sensibles, en el contexto de la nueva invasión rusa de Ucrania”. Los expertos indican en su informe que es previsible que estas tácticas y métodos “se extiendan a otras regiones y agentes de amenazas fuera del escenario de la guerra” en territorio ucraniano.
Signal está considerada como una de las apps de mensajería más seguras, por lo que suele ser utilizada por personas que son susceptibles de ser objetivos del espionaje. Según el grupo de Google, los ataques con ese tipo de técnicas también se extienden a otras apps como WhatsApp y Telegram. El informe recoge que las últimas versiones de Signal para Android e iOS “incorporan funciones reforzadas que, de cara al futuro, mejoran la protección frente a este tipo de campañas”. Por eso es importante disponer de la versión más actualizada en cada momento.
La novedad del ataque ruso a Signal es que utiliza una función de la app que permite ser usada no sólo en el móvil original sino también en otros dispositivos vinculados. Para poder utilizar esta función y vincular un dispositivo adicional hay que escanear un código QR. Lo que han hecho los hackers en este caso ha sido crear códigos maliciosos que, al ser escaneados, vinculan la cuenta de la víctima con una de Signal controlada por el atacante. A partir de ese momento, cualquier mensaje se entrega al mismo tiempo en el dispositivo de la víctima y el del atacante. Es una forma, indican los expertos de Google, de crear “un medio persistente de escucha de las conversaciones seguras de la víctima, sin necesidad de comprometer la totalidad del dispositivo”.
El informe de Google revela que también se ha observado la utilización de códigos QR maliciosos en operaciones de acceso de proximidad. Un agente llamado APT44, alias Sandworm (gusano de arena), que ha sido relacionado con un centro tecnológico especial de la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU) “ha puesto los medios necesarios para que las tropas rusas desplegadas en el frente puedan vincular cuentas de Signal de dispositivos capturados en el campo de batalla a la infraestructura controlada por el agente” y que este pueda explotarlas.
El informe apunta también que Rusia y Bielorrusia han intensificado sus esfuerzos para robar mensajes de Signal con técnicas diferentes de la vinculación de dispositivos adicionales. Google recomienda que los usuarios, en todos los casos, mantengan activado el bloqueo de pantalla en todos sus dispositivos móviles, con una contraseña larga y compleja formada por una combinación de letras mayúsculas y minúsculas, números y símbolos, lo que dificulta el acceso a dispositivos capturados.
Lee también
Otras medidas de seguridad son instalar lo más rápido posible cualquier actualización del sistema operativo y de las apps de mensajería. En Signal y otras aplicaciones, es importante también comprobar regularmente qué dispositivos están vinculados, por si se detecta alguno desconocido. La seguridad aumenta con el uso de autenticación de dos factores y la verificación biométrica como el reconocimiento facial o la huella dactilar. En el iPhone existe un modo aislamiento, una protección extrema en el caso de sospechar que se está siendo víctima de un ciberataque.
