A principios de este año, Donncha Ó Cearbhaill, un investigador de seguridad que investiga ataques de software espía, se encontró en una posición inusual. Por una vez, se convirtió en el objetivo de los piratas informáticos.
«Estimado usuario, soy el ChatBot de soporte de seguridad de Signal. Hemos notado actividad sospechosa en su dispositivo, lo que podría haber provocado una fuga de datos», se lee en un mensaje que recibió en su cuenta de Signal.
«También hemos detectado intentos de obtener acceso a sus datos privados en Signal», afirma el mensaje.
«Para evitar esto, debe pasar el procedimiento de verificación, ingresando el código de verificación en el Chatbot de soporte de seguridad de Signal. NO LE DIGA A NADIE EL CÓDIGO, NI SIQUIERA SEÑALE A LOS EMPLEADOS».
Obviamente, Ó Cearbhaill, que dirige el Laboratorio de Seguridad de Amnistía Internacional, reconoció de inmediato que se trataba de un intento “imprudente” de piratear su cuenta de Signal. En cambio, pensó que sería una buena oportunidad para lanzarse a una investigación inesperada.
El investigador le dijo a TechCrunch que hasta entonces, «nunca a sabiendas» había sido blanco de un ciberataque con un solo clic o un intento de phishing como este.
“Tener el ataque en mi bandeja de entrada y la oportunidad de darle la vuelta a los atacantes y comprender más sobre la campaña fue demasiado buena para dejarla pasar”, dijo.
Al final resultó que, el intento de ataque a Ó Cearbhaill probablemente fue parte de una campaña de piratería más amplia dirigida a un gran grupo de usuarios de Signal. Las estrategias de los piratas informáticos fueron hacerse pasar por Signal, advertir sobre amenazas de seguridad falsas e intentar engañar a los objetivos para que les dieran acceso a su cuenta vinculándola a un dispositivo controlado por los piratas informáticos.
Esas técnicas fueron exactamente las mismas que las vistas en una campaña más amplia sobre la cual la agencia de ciberseguridad estadounidense CISA, la agencia de ciberseguridad del Reino Unido y la inteligencia holandesa advirtieron sobre los ataques y culparon a espías del gobierno ruso. Signal también ha advertido sobre ataques de phishing dirigidos a sus usuarios. La revista de noticias alemana Der Spiegel descubrió que los piratas informáticos rusos pudieron comprometer a varias personas dentro del país, incluidos políticos de alto perfil.
Ó Cearbhaill dijo en una serie de publicaciones en línea que pudo descubrir que él era uno de los más de 13.500 objetivos. Se negó a revelar exactamente cómo investigó el intento de piratería y la campaña para evitar revelar su mano a los piratas informáticos, pero compartió algunos detalles sobre lo que aprendió.
Primero, se dio cuenta de que otros objetivos incluían a periodistas con los que había trabajado, así como a un colega. En ese momento, Ó Cearbhaill dijo que ya sospechaba que se trataba de un ataque oportunista en el que los piratas informáticos comprometían objetivos e identificaban nuevas víctimas potenciales, gracias a esos ataques exitosos.
Ó Cearbhaill lo llamó una “hipótesis de bola de nieve” y dijo que está convencido de que se convirtió en un objetivo porque probablemente estaba en un chat grupal con alguien que fue pirateado, lo que les dio a los piratas informáticos la oportunidad de encontrar la información de contacto de nuevos objetivos.
El investigador dijo que pudo identificar el sistema que estaban usando los piratas informáticos, llamado «ApocalypseZ», que automatiza el ataque, permitiendo a los piratas informáticos atacar a muchas personas al mismo tiempo en masa con supervisión humana limitada.
También descubrió que el código base y la interfaz del operador están en ruso, y que los piratas informáticos estaban traduciendo los chats de las víctimas al ruso, lo que se alinea con la hipótesis de que se trataba del mismo grupo de piratas informáticos del gobierno ruso detrás de campañas similares.
Ó Cearbhaill dijo que todavía está monitoreando la campaña y ha visto continuar los ataques, lo que significa que el número total de objetivos es ciertamente mucho mayor que el número que vio a principios de este año.
Dijo que duda que los hackers vuelvan a perseguirlo y, en primer lugar, probablemente se arrepienta de haberlo perseguido. Dijo: «Doy la bienvenida a los mensajes futuros, especialmente si tienen días cero que les gustaría compartir», refiriéndose a las fallas de seguridad que el proveedor aún no conoce y que a menudo se utilizan en los ataques que investiga.
Ó Cearbhaill dijo que si a los usuarios de Signal les preocupa ser blanco de este tipo de ataque, deberían activar el Bloqueo de registro, una función que permite a los usuarios establecer un PIN para su cuenta que evita que otros registren su número de teléfono en un dispositivo diferente.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
