Signal ha sido víctima de un ciberataque que ha expuesto datos personales de hasta 1.900 de sus usuarios. La aplicación de mensajería instantánea, conocida por ofrecer una alternativa más privada y segura que WhatsApp, lo confirmó este lunes en su cuenta de Twitter.

Signal trabaja con Twilio, una empresa externa que realiza un servicio de verificación de los números de teléfono asociados a la app mediante mensajes en SMS. A principios de agosto, esta compañía fue víctima de una "sofisticada" agresión informática que permitió a los atacantes penetrar sus sistemas y hacerse con el control de datos confidenciales de sus clientes, entre ellos de algunos usuarios de Signal. Eso se logró mediante el método 'phishing', que suplantó la identidad de los empleados de Twilio para hacerse con un acceso al sistema.

La aplicación, recomendada por el exanalista de la CIA Edward Snowden por su seguridad, ha explicado ahora que ese ataque ha comprometido los datos de 1.900 usuarios, una pequeña proporción de los más de 40 millones de usuarios que Signal tiene en todo el mundo. "Todos los usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información de perfil, a quiénes habían bloqueado y otros datos personales siguen siendo privados y seguros y no se vieron afectados", han informado en un comunicado.

¿Qué hacer si tienes Signal?

Así, la información robada por los atacantes podría permitirles intentar registrar el número de teléfono de un usuario de Signal en un nuevo dispositivo. Eso podría darse en aquellas cuentas que no tenían activado el bloqueo de registro. En ese caso, los atacantes no tendrían acceso a los mensajes previos a su instalación de la app, aunque si podrían usar la cuenta para suplantar la identidad de la víctima.

Es por ello que la compañía —sin ánimo de lucro— ha pedido a sus usuarios activar el bloqueo de registro, una función que refuerza la seguridad de la cuenta al pedir el PIN para volver a registrar el número de teléfono. Para hacerlo, los usuarios pueden ir a la aplicación, configuración, privacidad y ahí activar ese bloqueo de registro ('registration lock', en inglés).