1 puntos por GN⁺ 2025-05-04 | 1 comentarios | Compartir por WhatsApp
  • Una foto del teléfono de Mike Waltz, integrante de la administración Trump, reveló el uso de lo que parece ser una versión no oficial de Signal para archivar mensajes
  • Waltz fue asesor de Seguridad Nacional de EE. UU. hasta el jueves, lo que aumenta las dudas sobre qué nivel de información discuten los funcionarios públicos en Signal
  • La foto de Reuters muestra a Waltz revisando su teléfono durante una reunión de gabinete en la Casa Blanca presidida por Donald Trump
  • En la pantalla se ven mensajes de altos funcionarios del gobierno como JD Vance, Tulsi Gabbard y Marco Rubio
  • En la parte inferior de la pantalla aparece un texto que parece ser el mensaje de verificación de PIN de Signal normal, lo que puso el foco tanto en la prevención de secuestro de cuentas como en la forma de archivar mensajes

Uso de una versión no oficial de Signal revelado por una foto

  • Una foto del teléfono de Mike Waltz captó el uso de una app que parece ser una versión no oficial de Signal
  • Se sabe que esta versión es una app diseñada con el objetivo de archivar mensajes
  • Waltz fue National Security Advisor de Estados Unidos hasta el jueves

Contexto de la foto de Reuters

  • La foto publicada por Reuters muestra a Waltz revisando su teléfono durante una reunión de gabinete convocada por Donald Trump en la Casa Blanca
  • En la pantalla se ven mensajes de varios altos funcionarios del gobierno
    • JD Vance
    • Tulsi Gabbard
    • Marco Rubio

Mensaje de PIN de Signal y contexto de seguridad

  • En la parte inferior de la pantalla del teléfono de Waltz hay un texto que parece ser el mensaje de verificación de PIN de Signal normal
  • El mensaje de verificación de PIN de Signal puede mostrarse para ayudar al usuario a recordar su PIN
  • El PIN puede usarse para evitar que otra persona secuestre la cuenta

Preguntas prácticas pendientes

  • Si la versión no oficial de Signal se usa para archivar mensajes, la cuestión central pasa a ser qué nivel de información discuten los funcionarios públicos en esta app
  • También queda pendiente confirmar cómo se protegen los datos archivados

1 comentarios

 
GN⁺ 2025-05-04
Opiniones de Hacker News
  • https://archive.ph/oXYXe

  • Las agencias gubernamentales ya han pagado antes por versiones de mensajería cifrada con funciones de archivado. En 2021, CBP le pagó 700 mil dólares a Wickr.
    Esto parece un caso de uso ideal para apoyar a Signal. Las grandes empresas o las agencias gubernamentales podrían pagarles directamente a los desarrolladores de la app por un fork personalizado, así que no entiendo por qué TeleMessage se queda con el dinero. ¿Será que Signal Foundation no facilita la implementación de forks pagos?

    • Si Signal pasa a depender financieramente de contratos gubernamentales, el gobierno tendría una gran influencia sobre la app. No parece muy bueno que esta plataforma quede en esa posición.
    • Wickr es propiedad de AWS y ahora solo tiene productos para gobierno/empresas. La versión personal fue descontinuada.
    • Probablemente el 90% del trabajo no sea el código, sino el cumplimiento normativo y pasar por los procesos de contratación gubernamental.
    • Signal quizá deba dedicar todos sus recursos al desarrollo de la app principal para su misión original: comunicaciones seguras para el público en general.
    • Katherine Maher, CEO de NPR, es presidenta de la junta de Signal Foundation.
  • “TM SGNL” parece referirse al software de una empresa llamada TeleMessage. Esta empresa crea clones de apps populares de mensajería y agrega funciones de archivado a cada una.

    • Da miedo. Ni siquiera es una empresa estadounidense.
  • No entiendo qué sentido tiene usar Signal si vas a permitir que una empresa extranjera intercepte tus comunicaciones. Supongo que querían la UX de un producto comercial en vez de la experiencia torpe de una app aprobada por el gobierno, pero ¿alguien sabe cuál era la alternativa?

    • Todo se entiende mucho mejor si, de entrada, no asumes que esta gente tenga siquiera un poco de capacidad intelectual.
      Signal está aprobado para uso gubernamental, pero no para información no pública del Departamento de Defensa. Para algo como “ven al SCIF, ahí hablamos los detalles” se podría usar Signal, y los detalles deberían discutirse en un entorno seguro.
    • Tradicionalmente, para intercambiar información no clasificada se usaba simplemente la red telefónica común. Pero, según CISA, los servicios de voz y SMS de las principales operadoras ya no se consideran seguros.
      CISA recomendó usar en su lugar servicios con cifrado de extremo a extremo, y mencionó específicamente a Signal.
      https://investigations.cooley.com/2025/01/15/federal-law-enf...
    • La alternativa es no instalar Signal en un teléfono con spyware. Esto no es una “intercepción” tipo ataque de intermediario, sino una extracción mediante vigilancia del teléfono personal donde está instalado Signal.
      Signal, al final, no es más que una app en el teléfono. Si se va a usar para comunicaciones secretas, ese teléfono debería tener el mínimo de software posible, o nada, y protegerse con contraseñas, cifrado y todos los métodos disponibles.
    • ¿No será que tenían que avisarles a sus handlers extranjeros lo que estaban haciendo? Quizá esté en alguna parte del contrato.
  • Me pregunto si hace falta aceptar vulnerabilidades de seguridad solo para archivar. Al fin y al cabo, podrían pedirle a Israel y a Pegasus que les pasen los archivos.

    • Un momento, esta sí era una empresa israelí.
  • Al ver algunos detalles, TeleMessage era —o quizá sigue siendo— una empresa israelí [1], pero el año pasado fue adquirida por la empresa estadounidense Smarsh [2], y Smarsh a su vez es subsidiaria de la empresa estadounidense K1 Investment Management. No sé si la empresa se mudó.
    Puede que no esté directamente relacionado, pero en los términos de servicio también aparece una cláusula aparte sobre mensajería en China, y parece incluir divulgaciones al gobierno chino. No queda claro cómo funciona la app. Se promociona como un fork del cliente de Signal y parece subir todo a un servidor remoto, lo que por supuesto rompe el cifrado de extremo a extremo, a menos que se considere al repositorio como un extremo receptor y se dé por segura esa conexión. También parece promocionarse con la misma interfaz que Signal.
    Pero los clientes de Signal para iOS y Android son ambos AGPLv3. No pude encontrar indicios de que el cliente de TeleMessage no sea software propietario. Entonces, ¿será que, bajo la AGPLv3, entregan el software y el código fuente solo a clientes de pago, y esos clientes pueden redistribuirlo? ¿Reimplementaron el cliente por completo? ¿O es un fork propietario ilegal? Lo primero parece poco probable, y las otras dos opciones son bastante inquietantes desde el punto de vista de la seguridad de la app.
    [1]: https://en.wikipedia.org/wiki/TeleMessage
    [2]: https://en.wikipedia.org/wiki/Smarsh

    • Smarsh parece ser una empresa bastante grande en el área de cumplimiento normativo. No es cualquier compañía. Aun así, sigue siendo ridículo usar una app clon de Signal que anula el propósito mismo de Signal.
    • El cifrado de extremo a extremo no significa lo que crees. En concreto, no tiene que ver con lo que el destinatario previsto, o su software, haga con el mensaje.
    • Tenía entendido que, cuando trabajas en una empresa y tu empleador te entrega software GPL modificado, eso no se considera distribución en el sentido en que aplica la GPL. Por eso tampoco eres libre de redistribuirlo.
      Al menos la GPLv2 solía describirse como amigable con las empresas en el sentido de que las modificaciones “privadas” siguen siendo privadas y los empleados no cuentan como distribución externa. No sé bien cómo funciona con la AGPL.
    • No es ilegal siempre que los clientes puedan redistribuirlo. Más aún si los clientes no tienen ninguna intención de filtrar el código fuente; el punto realmente clave es si alguien que no usa ese cliente se ha conectado alguna vez a un servidor relay AGPL.
      Hace tiempo trabajé en una empresa que vendía soluciones de software a medida que usaban software GPL a clientes relacionados con el ámbito militar, probablemente del DOD. Durante más de 10 años nadie pidió el código, hasta que hace unos años alguien finalmente lo solicitó. Supongo que querían evaluarlo, pero como era algo usado como pieza central de varias operaciones, hacerle un fork habría sido bastante trabajoso. Tenía muchísimas partes móviles.
      Mientras alguien no se haya conectado a un servidor TM SGNL, haya pedido el código fuente y se lo hayan negado, no es ilegal.
    • Eso de “si consideran al repositorio como un extremo y la conexión es segura”, para nada. TeleMessage tiene bastantes clientes, y la mayoría usa Global Relay como backend.
      Lo que sí da algo de miedo es que Global Relay ingiere todo vía SMTP. No verifiqué si tienen configurado DNSSEC o MTA-STS, pero por cómo opera Global Relay, no parece que lo hayan hecho. Con un proxy bien ubicado o contaminación de DNS, probablemente se podría absorber una cantidad considerable de correos sensibles enviados a Global Relay.
  • La app parece ser esta:
    https://www.telemessage.com/how-to-install-and-register-sign...

    • Dios mío, se instala mediante distribución por App Center.
  • Tengo mucha curiosidad por saber qué significa el mensaje que JD envió diciendo “recibí confirmación de la otra parte de que estaba apagado”.

  • Espera, ¿lo que están usando es una app clon de Signal operada por oficiales de inteligencia israelíes?
    Parece que esta parte todavía no se ha difundido bien. Si buscas la dirección de la empresa en Google Maps, lo que aparece en realidad es una compañía llamada “Cyberint”, lo cual se ve muy mal.
    https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
    Peor aún: si miras la presentación del equipo en el sitio web de la empresa, está llena de personas que parecen ser “ex” oficiales de inteligencia israelíes, incluido el CEO.
    https://www.telemessage.com/team/
    Esto parece un asunto mucho más grande que lo que se sabe hasta ahora. Varios órdenes de magnitud más grande que el Signalgate original. La implicación aquí es que oficiales de inteligencia israelíes podrían haber tenido el mejor acceso del mundo en este momento: un feed en tiempo real de todas las conversaciones en las que participa el asesor de Seguridad Nacional de Estados Unidos.