Mike Waltz revela por accidente una app que el gobierno usa para archivar mensajes de Signal
(404media.co)- Una foto del teléfono de Mike Waltz, integrante de la administración Trump, reveló el uso de lo que parece ser una versión no oficial de Signal para archivar mensajes
- Waltz fue asesor de Seguridad Nacional de EE. UU. hasta el jueves, lo que aumenta las dudas sobre qué nivel de información discuten los funcionarios públicos en Signal
- La foto de Reuters muestra a Waltz revisando su teléfono durante una reunión de gabinete en la Casa Blanca presidida por Donald Trump
- En la pantalla se ven mensajes de altos funcionarios del gobierno como JD Vance, Tulsi Gabbard y Marco Rubio
- En la parte inferior de la pantalla aparece un texto que parece ser el mensaje de verificación de PIN de Signal normal, lo que puso el foco tanto en la prevención de secuestro de cuentas como en la forma de archivar mensajes
Uso de una versión no oficial de Signal revelado por una foto
- Una foto del teléfono de Mike Waltz captó el uso de una app que parece ser una versión no oficial de Signal
- Se sabe que esta versión es una app diseñada con el objetivo de archivar mensajes
- Waltz fue National Security Advisor de Estados Unidos hasta el jueves
Contexto de la foto de Reuters
- La foto publicada por Reuters muestra a Waltz revisando su teléfono durante una reunión de gabinete convocada por Donald Trump en la Casa Blanca
- En la pantalla se ven mensajes de varios altos funcionarios del gobierno
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Mensaje de PIN de Signal y contexto de seguridad
- En la parte inferior de la pantalla del teléfono de Waltz hay un texto que parece ser el mensaje de verificación de PIN de Signal normal
- El mensaje de verificación de PIN de Signal puede mostrarse para ayudar al usuario a recordar su PIN
- El PIN puede usarse para evitar que otra persona secuestre la cuenta
Preguntas prácticas pendientes
- Si la versión no oficial de Signal se usa para archivar mensajes, la cuestión central pasa a ser qué nivel de información discuten los funcionarios públicos en esta app
- También queda pendiente confirmar cómo se protegen los datos archivados
1 comentarios
Opiniones de Hacker News
https://archive.ph/oXYXe
Las agencias gubernamentales ya han pagado antes por versiones de mensajería cifrada con funciones de archivado. En 2021, CBP le pagó 700 mil dólares a Wickr.
Esto parece un caso de uso ideal para apoyar a Signal. Las grandes empresas o las agencias gubernamentales podrían pagarles directamente a los desarrolladores de la app por un fork personalizado, así que no entiendo por qué TeleMessage se queda con el dinero. ¿Será que Signal Foundation no facilita la implementación de forks pagos?
“TM SGNL” parece referirse al software de una empresa llamada TeleMessage. Esta empresa crea clones de apps populares de mensajería y agrega funciones de archivado a cada una.
No entiendo qué sentido tiene usar Signal si vas a permitir que una empresa extranjera intercepte tus comunicaciones. Supongo que querían la UX de un producto comercial en vez de la experiencia torpe de una app aprobada por el gobierno, pero ¿alguien sabe cuál era la alternativa?
Signal está aprobado para uso gubernamental, pero no para información no pública del Departamento de Defensa. Para algo como “ven al SCIF, ahí hablamos los detalles” se podría usar Signal, y los detalles deberían discutirse en un entorno seguro.
CISA recomendó usar en su lugar servicios con cifrado de extremo a extremo, y mencionó específicamente a Signal.
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Signal, al final, no es más que una app en el teléfono. Si se va a usar para comunicaciones secretas, ese teléfono debería tener el mínimo de software posible, o nada, y protegerse con contraseñas, cifrado y todos los métodos disponibles.
Me pregunto si hace falta aceptar vulnerabilidades de seguridad solo para archivar. Al fin y al cabo, podrían pedirle a Israel y a Pegasus que les pasen los archivos.
Al ver algunos detalles, TeleMessage era —o quizá sigue siendo— una empresa israelí [1], pero el año pasado fue adquirida por la empresa estadounidense Smarsh [2], y Smarsh a su vez es subsidiaria de la empresa estadounidense K1 Investment Management. No sé si la empresa se mudó.
Puede que no esté directamente relacionado, pero en los términos de servicio también aparece una cláusula aparte sobre mensajería en China, y parece incluir divulgaciones al gobierno chino. No queda claro cómo funciona la app. Se promociona como un fork del cliente de Signal y parece subir todo a un servidor remoto, lo que por supuesto rompe el cifrado de extremo a extremo, a menos que se considere al repositorio como un extremo receptor y se dé por segura esa conexión. También parece promocionarse con la misma interfaz que Signal.
Pero los clientes de Signal para iOS y Android son ambos AGPLv3. No pude encontrar indicios de que el cliente de TeleMessage no sea software propietario. Entonces, ¿será que, bajo la AGPLv3, entregan el software y el código fuente solo a clientes de pago, y esos clientes pueden redistribuirlo? ¿Reimplementaron el cliente por completo? ¿O es un fork propietario ilegal? Lo primero parece poco probable, y las otras dos opciones son bastante inquietantes desde el punto de vista de la seguridad de la app.
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
Al menos la GPLv2 solía describirse como amigable con las empresas en el sentido de que las modificaciones “privadas” siguen siendo privadas y los empleados no cuentan como distribución externa. No sé bien cómo funciona con la AGPL.
Hace tiempo trabajé en una empresa que vendía soluciones de software a medida que usaban software GPL a clientes relacionados con el ámbito militar, probablemente del DOD. Durante más de 10 años nadie pidió el código, hasta que hace unos años alguien finalmente lo solicitó. Supongo que querían evaluarlo, pero como era algo usado como pieza central de varias operaciones, hacerle un fork habría sido bastante trabajoso. Tenía muchísimas partes móviles.
Mientras alguien no se haya conectado a un servidor TM SGNL, haya pedido el código fuente y se lo hayan negado, no es ilegal.
Lo que sí da algo de miedo es que Global Relay ingiere todo vía SMTP. No verifiqué si tienen configurado DNSSEC o MTA-STS, pero por cómo opera Global Relay, no parece que lo hayan hecho. Con un proxy bien ubicado o contaminación de DNS, probablemente se podría absorber una cantidad considerable de correos sensibles enviados a Global Relay.
La app parece ser esta:
https://www.telemessage.com/how-to-install-and-register-sign...
Tengo mucha curiosidad por saber qué significa el mensaje que JD envió diciendo “recibí confirmación de la otra parte de que estaba apagado”.
Espera, ¿lo que están usando es una app clon de Signal operada por oficiales de inteligencia israelíes?
Parece que esta parte todavía no se ha difundido bien. Si buscas la dirección de la empresa en Google Maps, lo que aparece en realidad es una compañía llamada “Cyberint”, lo cual se ve muy mal.
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Peor aún: si miras la presentación del equipo en el sitio web de la empresa, está llena de personas que parecen ser “ex” oficiales de inteligencia israelíes, incluido el CEO.
https://www.telemessage.com/team/
Esto parece un asunto mucho más grande que lo que se sabe hasta ahora. Varios órdenes de magnitud más grande que el Signalgate original. La implicación aquí es que oficiales de inteligencia israelíes podrían haber tenido el mejor acceso del mundo en este momento: un feed en tiempo real de todas las conversaciones en las que participa el asesor de Seguridad Nacional de Estados Unidos.