[ad_1]
![](https://techcrunch.com/wp-content/uploads/2018/10/GettyImages-597888146.jpg?w=600)
La aplicación de mensajería cifrada de extremo a extremo Signal dice que, como parte de una vulnerabilidad en el gigante de las comunicaciones Twilio, los atacantes accedieron a los números de teléfono y códigos de verificación de SMS de casi 2000 usuarios la semana pasada.
Twilio, que proporciona los servicios de verificación de números de teléfono de Signal, dijo el 8 de agosto que los actores maliciosos accedieron a los datos de 125 clientes después de phishing con éxito a varios empleados. Twilio no dijo quiénes eran los clientes, pero probablemente serán grandes organizaciones después de que Signal confirmara el lunes que fue una de esas víctimas.
Signal dijo en una publicación de blog el lunes que alertaría a unos 1.900 usuarios cuyos números de teléfono o códigos de verificación de SMS fueron robados cuando los atacantes accedieron a la consola de atención al cliente de Twilio.
«Con alrededor de 1900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal», dijo el gigante de la mensajería. «Entre los 1.900 números de teléfono, el atacante buscó específicamente tres números y recibimos un mensaje de uno de esos tres usuarios de que su cuenta se había vuelto a registrar».
Si bien esto no le dio al atacante acceso al historial de mensajes, que Signal no almacena, ni a las listas de contactos y la información del perfil protegida por el PIN de seguridad del usuario, Signal dijo: «En caso de que un atacante pudiera volver a registrar una cuenta, puede enviar y recibir mensajes de señal desde ese número de teléfono”.
Para los afectados, la compañía dice que cancelará el registro de Signal en cualquier dispositivo que el usuario esté usando actualmente, o donde un atacante los haya registrado, y requerirá que los usuarios vuelvan a registrar Signal con su número de teléfono en su dispositivo preferido. Signal también recomienda a los usuarios que activen el bloqueo de registro, una función que evita que una cuenta se vuelva a registrar en otro dispositivo sin el PIN de seguridad del usuario.
Aunque la violación de Twilio afecta a una fracción de los más de 40 millones de usuarios de Signal, los usuarios se han quejado durante mucho tiempo de que Signal, considerada una de las aplicaciones de mensajería más seguras, requiere que los usuarios registren un número de teléfono para crear una cuenta. Otras aplicaciones de cifrado de extremo a extremo, como Wire, permiten a los usuarios iniciar sesión con un nombre de usuario. Si bien Signal se ha movido lentamente para terminar con su dependencia de los números de teléfono, como con la introducción de los PIN de Signal en 2020, es probable que este incidente reavive las llamadas para un movimiento más rápido.
[ad_2]