Signal desmiente haber sufrido una vulnerabilidad de día cero

La app de mensajería segura perjura que no hay evidencias de que ese fallo se haya producido, pese a los rumores.

Alberto Payo

Periodista

Guardar

whatsapp-signal
whatsapp-signal

Signal tiene fama de ser una de las aplicaciones de mensajería instantánea que más cuidado tiene respecto a la seguridad y la privacidad, sin embargo, esta buena reputación se ha puesto en entredicho en los últimos días.

Durante el fin de semana circularon algunos rumores que señalaban que había una vulnerabilidad de día cero en la herramienta, vinculada a su función para generar vistas previas de enlaces (Generate Link Previews). A través de esta brecha, según se especulaba, los atacantes podían realizar la adquisición total de los dispositivos. 

El medio especializado en ciberseguridad Bleeping Computer se puso en contacto con Signal para preguntarles por esta información. Poco después la aplicación publicó un comunicado en Twitter asegurando que habían llevado a cabo una investigación y no había evidencias que indicaran que esa brecha fuera real. 

"Hemos visto vagos informes virales que alegan una vulnerabilidad de día 0 en Signal", podía leerse en su comunicado. "Después de una investigación responsable no tenemos ninguna evidencia que sugiera que esta vulnerabilidad sea auténtica ni que se ha compartido ninguna información adicional a través de nuestros canales oficiales de informes".

Además, la compañía también habría hablado con algunas personas del gobierno de EE.UU., ya que el rumor "de copia y pega" señalaba que esta era la fuente. "Aquellos con quienes hablamos no tienen información que sugiera que esta sea una afirmación válida", apostillaban.

El origen

Tomando esta supuesta fuente oficial de EE.UU., el rumor corrió como la pólvora en las redes sociales. Dichas confidentes anónimos también comentaban que la vulnerabilidad podría mitigarse al deshabilitar la citada función de la configuración. 

Los errores de día cero son bastante solicitados y los agentes de vulnerabilidades están dispuestos a pagar una cantidad considerable por dichas fallas que pueden conducir a la ejecución remota de código en los dispositivos.