Hackers rusos roban claves Signal: miles de cuentas en 2026

Miles de cuentas Signal comprometidas por hackers rusos en 2026

El FBI y CISA confirmaron que hackers de inteligencia rusa han comprometido miles de cuentas de Signal a nivel global mediante una campaña de phishing que ahora ataca directamente las claves de recuperación de backup. Esta escalada representa un cambio crítico: incluso si cambias de dispositivo o reinstalas la app, los atacantes mantienen acceso a tus mensajes históricos si obtuvieron tu clave una vez.

Para founders y equipos startup que usan Signal para comunicaciones confidenciales con inversores, abogados o co-founders, esto no es teoría: es un riesgo operativo inmediato que puede exponer estrategia, cap tables y conversaciones sensibles.

¿Qué está haciendo diferente esta campaña de phishing en 2026?

La campaña, atribuida a los Servicios de Inteligencia Rusos (RIS) y rastreada bajo los nombres UNC5792 y UNC4221, evolucionó desde marzo 2026. Inicialmente, los atacantes se hacían pasar por soporte de Signal para robar códigos SMS y PINs. Ahora, el objetivo principal es la clave de recuperación de backup (Backup Recovery Key).

El mecanismo es sofisticado pero depende completamente de ingeniería social:

• Los atacantes envían mensajes que parecen venir de un "Signal Security Support ChatBot" legítimo
• Alertan falsamente sobre "inicios de sesión desde dispositivos no reconocidos" o "fugas de datos detectadas"
• Solicitan que el usuario "valide" su cuenta compartiendo su PIN de Signal, código SMS o clave de recuperación
• Una vez obtenida la clave de recuperación, pueden restaurar el backup completo en otro dispositivo

Lo crítico: el cifrado de extremo a extremo de Signal NO fue vulnerado. El ataque explota el comportamiento humano, no fallos técnicos en la criptografía. Esto significa que actualizar la app no te protege; solo la educación y disciplina del usuario lo hace.

¿Por qué la clave de recuperación es tan peligrosa si cae en manos equivocadas?

Signal permite hacer backup cifrado de tus conversaciones en la nube (iCloud o Google Drive). Para restaurar ese backup, necesitas una clave de recuperación de 30 dígitos que Signal te muestra una única vez al activar la función.

El FBI advierte que si un atacante obtiene esa clave:

1. Puede crear una nueva cuenta Signal con tu mismo número de teléfono
2. Al restaurar el backup con la clave robada, accede a todos tus mensajes históricos
3. Cambiar de dispositivo o reinstalar Signal NO invalida la clave robada
4. El atacante mantiene acceso persistente incluso después de que tomes medidas correctivas

Esto es particularmente peligroso para startups porque las conversaciones en Signal suelen incluir:

• Discusiones de estrategia con co-founders
• Términos de investment con VCs
• Información legal sensible con abogados
• Credenciales o datos de usuarios compartidos internamente

¿A quién están apuntando los hackers rusos?

Según el aviso conjunto del FBI y CISA, los objetivos de alto valor incluyen:

• Funcionarios actuales y anteriores del gobierno de EE. UU.
• Personal militar y oficiales clave en Ucrania
• Figuras políticas influyentes y periodistas destacados
• Individuos de alto valor de inteligencia en sectores tecnológicos y financieros

Aunque el foco parece ser gubernamental, la campaña es global y miles de cuentas civiles ya fueron comprometidas. No hay razón para asumir que founders de startups tecnológicas estén exentos, especialmente si manejan información sensible sobre defensa, fintech, o tecnologías duales.

¿Qué recomienda oficialmente el FBI y CISA para proteger tu cuenta Signal?

Las agencias emitieron recomendaciones específicas que todo founder debería implementar inmediatamente:

Prevención (antes del ataque)

• Nunca compartas códigos de verificación, PIN o claves de recuperación con nadie. El soporte legítimo de Signal nunca solicita estos datos por mensajes directos
• Trata con extrema precaución alertas de seguridad inesperadas dentro de la app
• Nunca escanees códigos QR no solicitados ni hagas clic en enlaces enviados por contactos desconocidos
• Verifica solicitudes por canales alternativos: si recibes una alerta, no uses los enlaces del mensaje; abre Signal directamente desde tu home screen
• Activa el PIN de registro y las alertas de cambio de dispositivo en la configuración de Signal

Respuesta (si sospechas que fuiste víctima)

1. Vuelve a registrar tu número en Signal inmediatamente para desconectar otros dispositivos
2. Revoca todos los dispositivos vinculados en la configuración de privacidad
3. Avisa a tus contactos que alguien pudo haberse hecho pasar por ti
4. Revisa conversaciones recientes buscando indicios de robo de datos (documentos, contraseñas, información sensible)
5. Reporta el incidente al Centro de Denuncias de Delitos en Internet del FBI en ic3.gov o a tu oficina local del FBI

¿Qué significa esto para tu startup?

Si tu equipo usa Signal para comunicaciones internas o con stakeholders externos, esta campaña representa un riesgo operacional concreto. No es paranoia: es higiene digital básica que muchos founders descuidan hasta que es tarde.

Acciones concretas que debes tomar esta semana

1. Auditoría de seguridad de comunicaciones (30 minutos)

Reúne a tu co-founding team y responde:

• ¿Quiénes en tu startup usan Signal para trabajo?
• ¿Tienen activado el backup cifrado? Si sí, ¿dónde guardaron la clave de recuperación?
• ¿Alguien compartió alguna vez su clave con un "soporte técnico" que contactó primero?
• ¿Usan Signal para discutir términos de inversión, estrategia legal o datos de usuarios?

Si la respuesta a alguna es "sí" o "no sé", tienes un gap de seguridad que cerrar.

2. Implementa política de higiene digital (1 hora)

Crea un documento interno simple con:

• Regla de oro: Nunca compartas códigos SMS, PINs o claves de recuperación, incluso si quien pide parece legítimo
• Protocolo de verificación: Si alguien de "soporte" te contacta, cuelga y llama tú directamente al número oficial de la plataforma
• Lista de canales oficiales: Dónde encontrar soporte real de Signal, WhatsApp, Slack, etc.
• Proceso de respuesta: Qué hacer paso a paso si alguien sospecha que fue víctima (re-registrar número, avisar al equipo, reportar a ic3.gov)

Comparte esto en tu próximo all-hands y haz que cada fundador lo firme. Suena extremo, pero la alternativa es explicar a tus inversores por qué se filtró el cap table.

3. Considera alternativas para comunicaciones ultra-sensibles

Para discusiones de M&A, fundraising en etapa avanzada, o información legal crítica:

• Usa canales con verificación de identidad más estricta (llamadas verificadas, reuniones en persona)
• Implementa soluciones enterprise como Wire, Threema Work o Signal Business (si está disponible en tu región)
• Para documentos, usa plataformas con audit trail como DocuSign o plataformas de data room

Signal es excelente para privacidad, pero no es infalible contra ingeniería social dirigida. La capa humana es siempre el eslabón más débil.

El contexto más amplio: ¿por qué Rusia apunta a apps de mensajería?

Esta campaña no es aislada. Los Servicios de Inteligencia Rusos han incrementado operaciones de ciberespionaje contra objetivos occidentales desde 2022. Signal, al ser la app preferida por periodistas, activistas y funcionarios por su cifrado robusto, se convirtió en objetivo prioritario.

Lo irónico: no necesitan romper el cifrado. Solo necesitan que un usuario cansado, distraído o bajo presión comparta voluntariamente su clave. La ingeniería social es más barata y efectiva que cualquier exploit técnico.

Para el ecosistema startup hispanohablante, la lección es clara: la seguridad no es solo tecnología; es cultura. Y la cultura se construye con educación repetitiva, no con una charla de onboarding.

Fuentes

• FBI says Russian intelligence hackers have a new trick for reading your Signal messages
• FBI: Russian hackers now target Signal backup recovery keys
• El FBI y la CISA advierten del hackers cuentas de Signal y WhatsApp
• FBI alerta por vulneración de cuentas de Signal de políticos, militares y periodistas