Una imitación de Signal puso los chats de funcionarios bajo control de exagentes de inteligencia

La empresa TeleMessage, responsable del mensajero TM Signal — una versión modificada del popular Signal — se vio envuelta en un escándalo a gran escala relacionado con vulnerabilidades en su sistema de archivado de mensajes. El detonante fue la divulgación de información sobre el hackeo de los servidores de TeleMessage y la filtración de conversaciones de usuarios, incluidos funcionarios de la administración de Donald Trump. El atacante afirmó que accedió al contenido de los mensajes, inicios de sesión, contraseñas, información de contacto e incluso claves criptográficas en apenas 15-20 minutos.

Una investigación del periodista y especialista en ciberseguridad Micah Lee confirmó que, a pesar de las afirmaciones sobre cifrado de extremo a extremo, TM Signal transmite en la práctica los mensajes de los usuarios a los servidores de la empresa en texto plano. El código fuente de la aplicación para Android reveló que los datos no se cifran al transferirse al archivo. Esto significa que, al usar TM Signal, aunque el usuario vea una interfaz familiar de mensajero seguro, sus conversaciones pueden ser accesibles para terceros.

Lo que genera especial preocupación es que la aplicación fue utilizada por altos funcionarios del gobierno estadounidense. En una reunión del gabinete de seguridad nacional, se captó en cámara al exasesor de seguridad nacional del presidente, Mike Waltz, con TM Signal abierto. Según fuentes, mantenía conversaciones con el vicepresidente J.D. Vance, la directora de Inteligencia Nacional Tulsi Gabbard y, presuntamente, con el secretario de Estado Marco Rubio. Incluso si solo uno de los participantes usa la aplicación modificada, la vulnerabilidad compromete la seguridad de toda la conversación.

La arquitectura interna de TM Signal contempla la copia de todos los mensajes en un servidor de archivo, una función que puede ser útil para cumplir con regulaciones. Sin embargo, esta opción anula por completo las ventajas del verdadero cifrado de extremo a extremo que caracteriza al Signal original. Según Lee, el hecho mismo de almacenar registros sin cifrado y las vulnerabilidades en los servidores apuntan a una falla estructural en el diseño de seguridad de la aplicación.

La situación se agrava aún más al considerar que TeleMessage es una empresa israelí adquirida en 2024 por el proveedor estadounidense Smarsh. A pesar de su condición de contratista del gobierno de EE. UU., los productos de la compañía, incluido TM Signal, no están certificados bajo el estándar FedRAMP, lo que hace cuestionable su uso en estructuras gubernamentales. Además, como señaló el senador Ron Wyden en una carta al Departamento de Justicia, la dirección de TeleMessage está compuesta por antiguos agentes de inteligencia israelíes, y los productos podrían ser potencialmente un canal de fuga de información.

En su carta, Wyden declaró que las agencias que eligieron TM Signal en realidad introdujeron en sus comunicaciones una imitación insegura de Signal, haciéndola pasar por una herramienta confiable. Instó al Departamento de Justicia a investigar si la empresa engañó al gobierno al afirmar que ofrecía cifrado de extremo a extremo, lo cual no era cierto. El senador también se mostró interesado en saber si la empresa pudo haber compartido los mensajes recolectados con servicios de inteligencia extranjeros.

Tras las publicaciones en los medios, TeleMessage anunció la suspensión de TM Signal e inició una investigación interna. En un comunicado a sus clientes, la empresa reconoció que no es posible registrar nuevos usuarios, y que quienes cerraron sesión no podrán acceder nuevamente a la aplicación. Sin embargo, TeleMessage aún no ha respondido a preguntas directas sobre la magnitud y detalles del compromiso de seguridad.

El incidente vuelve a poner sobre la mesa la cuestión de la confianza en proveedores tecnológicos externos, especialmente cuando se trata de comunicaciones confidenciales entre altos funcionarios. Las vulnerabilidades en sistemas que se presentan como seguros, cuando son ampliamente utilizados en estructuras gubernamentales, pueden no solo provocar filtraciones de datos, sino implicar riesgos reales para la seguridad nacional.