FBI advierte que hackers rusos ahora apuntan a claves de respaldo de Signal para acceder a historiales de mensajería

Qué pasó

La nueva alerta del FBI detalla que los actores de amenaza asociados a los Servicios de Inteligencia Rusos (RIS, por su sigla en inglés) han sofisticado una campaña de phishing que originalmente buscaba secuestrar cuentas de Signal mediante el robo de códigos de verificación o pines de acceso. Ahora, los atacantes dirigen sus esfuerzos a obtener las denominadas Backup Recovery Keys, una cadena alfanumérica que Signal entrega a los usuarios cuando activan la función de respaldo cifrado de sus conversaciones.

Según el anuncio público del FBI, la campaña es rastreada por la comunidad de ciberseguridad bajo los identificadores UNC5792 y UNC4221, e involucra a oficiales incrustados en el Servicio de Seguridad Federal (FSB) ruso, específicamente en unidades de guardias fronterizos, además de otros operadores que trabajan para el aparato militar ruso. Los blancos prioritarios incluyen a funcionarios actuales y ex funcionarios de gobierno de Estados Unidos y otras naciones, personal militar, figuras políticas, periodistas y autoridades ucranianas.

El mecanismo de ataque se sustenta en mensajes fraudulentos que se hacen pasar por cuentas automatizadas de soporte técnico de Signal. Los textos alegan que la aplicación está implementando una verificación de dos factores obligatoria, tras una supuesta ola de ataques atribuidos falsamente a hackers iraníes y de países postsoviéticos. Las instrucciones indican a la víctima activar la función de respaldos dentro del menú de configuración y copiar al portapapeles la clave de recuperación, que luego es enviada a los atacantes mediante ventanas emergentes o formularios falsos.

Una vez en posesión de esa clave, los atacantes pueden restaurar respaldos cifrados en dispositivos bajo su control y acceder al historial completo de conversaciones, incluso de mensajes antiguos que ya fueron eliminados del dispositivo original de la víctima. De acuerdo con el FBI, esta técnica representa un quiebre respecto del modelo tradicional de ataque, que buscaba interceptar comunicaciones en tiempo real, ya que permite reconstruir archivos completos de mensajería.

Contexto

La advertencia del FBI se inscribe en una tendencia creciente de ataques dirigidos a aplicaciones de mensajería cifrada, consideradas durante años como el estándar más seguro para comunicaciones sensibles. Signal, en particular, es utilizada de forma masiva por funcionarios gubernamentales, periodistas y activistas en todo el mundo, lo que la ha transformado en un objetivo prioritario para operaciones de inteligencia estatal.

El aviso original de marzo de 2026 ya había documentado que los servicios rusos empleaban técnicas de phishing para vincular dispositivos controlados por atacantes a cuentas legítimas de Signal, lo que les permitía sincronizar mensajes en tiempo real sin necesidad de romper el cifrado. La nueva variante centrada en las claves de respaldo amplía el alcance del ataque, dado que un único respaldo puede contener años de comunicaciones acumuladas.

En el ecosistema tecnológico global, este tipo de campañas refuerza la percepción de que la ingeniería social sigue siendo el eslabón más débil de la cadena de seguridad, incluso en plataformas con criptografía robusta. La industria de ciberseguridad ha advertido que la sofisticación de los grupos estatales supera con creces la capacidad de respuesta de usuarios individuales y de muchas organizaciones, particularmente en mercados emergentes donde la cultura de protección de identidades digitales aún es incipiente. La atribución a múltiples unidades del FSB y a actores vinculados al Ministerio de Defensa ruso confirma la naturaleza estratégica y sostenida de estas operaciones.

Impacto para empresas chilenas

Aunque la campaña documentada por el FBI apunta específicamente a funcionarios extranjeros, periodistas y personal militar, el método descrito tiene aplicabilidad directa sobre empresas, pymes y equipos directivos en Chile que utilizan Signal como canal de comunicación para temas sensibles, como negociaciones comerciales, información financiera o datos de clientes. La ingeniería social no distingue geografías: cualquier usuario que active la función de respaldos puede convertirse en blanco de operaciones similares si maneja información de valor.

Para el sector corporativo chileno, el caso refuerza la necesidad de establecer protocolos formales de comunicación segura, que incluyan la verificación de identidad de los remitentes y la capacitación permanente de los colaboradores en detección de phishing. Empresas con operaciones internacionales, despachos legales, firmas de consultoría y equipos de cumplimiento normativo deberían evaluar si el uso deSignal responde a sus estándares de protección de información, considerando que el respaldo en la nube, si bien es una buena práctica de continuidad operativa, también amplía la superficie de ataque.

Asimismo, el escenario ilustra la urgencia de que las organizaciones chilenas adopten soluciones de gestión de identidad y autenticación multifactor robustas, así como políticas claras sobre qué tipo de información puede intercambiarse a través de aplicaciones de mensajería. La sofisticación de los grupos estatales descrita por el FBI debiera servir como antecedente para que los equipos de seguridad informática locales eleven sus estándares de alerta y monitoreo, especialmente en industrias reguladas como la financiera, la minera y la de telecomunicaciones.

Qué sigue

Es esperable que las operaciones vinculadas a servicios de inteligencia rusos continúen diversificando sus vectores de ataque hacia otras aplicaciones de mensajería cifrada, como WhatsApp, Telegram o Wire, que también ofrecen funciones de respaldo en la nube. Las agencias de seguridad de Estados Unidos y sus aliados probablemente ampliarán las advertencias públicas y entregarán indicadores de compromiso actualizados para que las organizaciones puedan detectar intentos de intrusión.

En el corto plazo, Signal podría verse obligada a introducir cambios en su modelo de respaldo cifrado o a implementar verificaciones adicionales para la activación de la función de recuperación, con el fin de reducir la eficacia de este tipo de phishing. Para las empresas chilenas, el episodio confirma que la seguridad de las comunicaciones depende tanto de la tecnología empleada como de la disciplina operativa de los usuarios y de la madurez de los procesos internos de gestión de riesgos digitales.