De alguna manera, Mike Waltz ha empeorado aún más el uso de Signal
El jueves, Reuters publicó una foto del entonces asesor de seguridad nacional de Estados Unidos, Mike Waltz, consultando su teléfono durante una reunión de gabinete celebrada por el presidente Trump en la Casa Blanca. Si se amplía la parte de la imagen que captura la pantalla de Waltz, parece mostrarlo usando la aplicación de mensajería cifrada Signal. Pero si se observa con más atención, una notificación en la pantalla se refiere a la aplicación como "TM SGNL". Durante una reunión de gabinete de la Casa Blanca el miércoles, Waltz aparentemente usó una aplicación israelí llamada TeleMessage Signal para comunicarse con personas que parecen ser altos funcionarios estadounidenses, como J.D. Vance, Marco Rubio y Tulsi Gabbard.
Después de que altos funcionarios del gabinete de la administración Trump usaran mensajes de Signal que desaparecían para coordinar los ataques militares de marzo en Yemen, e incluyeran accidentalmente al editor jefe de The Atlantic en el chat grupal, el escándalo "SignalGate" puso de relieve preocupantes infracciones del protocolo tradicional de "seguridad operativa" del gobierno , así como problemas de cumplimiento con las leyes federales de retención de registros. En el centro de la debacle se encontraba Waltz, quien fue destituido por Trump como asesor de seguridad nacional de EE. UU. el jueves. Waltz creó el chat "Houthi PC Small Group" y fue quien incorporó al editor principal de The Atlantic, Jeffrey Goldberg. "Asumo toda la responsabilidad. Yo creé el grupo", declaró Waltz a Fox News a finales de marzo. "Contamos con los mejores técnicos investigando cómo sucedió esto", añadió entonces.
SignalGate no tenía nada que ver con Signal. La aplicación funcionaba con normalidad y simplemente se estaba utilizando en un momento inapropiado para una conversación extremadamente sensible que debería haberse llevado a cabo en dispositivos y plataformas de software federales reforzados y específicos. Sin embargo, si se pretende incumplir los protocolos, Signal es (relativamente hablando) un buen lugar para hacerlo, ya que la aplicación está diseñada para que solo quienes envían y reciben mensajes en un chat grupal puedan leerlos. Además, la aplicación está diseñada para recopilar la menor información posible sobre sus usuarios y sus asociados. Esto significa que si funcionarios del gobierno estadounidense estuvieran chateando en la aplicación, espías o hackers maliciosos solo podrían acceder a sus comunicaciones comprometiendo directamente los dispositivos de los participantes, un desafío potencialmente superable, pero que al menos limita los posibles puntos de acceso. Sin embargo, usar una aplicación como TeleMessage Signal, presumiblemente para cumplir con los requisitos de retención de datos, abre muchas otras vías para que los adversarios accedan a los mensajes.
"No sé ni por dónde empezar con esto", dice Jake Williams, exhacker de la NSA y vicepresidente de investigación y desarrollo de Hunter Strategy. "Es asombroso que el gobierno federal esté utilizando tecnología israelí para enviar datos extremadamente sensibles con fines de archivo. Uno sabe que alguien está obteniendo una copia de esos datos. Incluso si TeleMessage no los cede voluntariamente, se acaba de convertir en uno de los principales objetivos de los estados-nación".
TeleMessage fue fundada en Israel en 1999 por extecnólogos de las Fuerzas de Defensa de Israel y estuvo gestionada desde el país hasta que fue adquirida el año pasado por Smarsh, empresa estadounidense de archivo de comunicaciones digitales. El servicio crea copias de aplicaciones de comunicación equipadas con un archivador móvil para grabar y almacenar los mensajes enviados a través de la aplicación.
“Captura, archiva y monitorea comunicaciones móviles: SMS, MMS, llamadas de voz, WhatsApp, WeChat, Telegram y Signal”, afirma TeleMessage en su sitio web. Para Signal, añade: “Graba y captura llamadas, mensajes de texto, contenido multimedia y archivos de Signal en teléfonos BYOD de la empresa y de los empleados”. (BYOD significa "traiga su propio dispositivo"). En otras palabras, existen versiones de Signal de TeleMessage para prácticamente cualquier dispositivo de consumo. La compañía afirma que, con TeleMessage Signal, los usuarios pueden mantener todas las funciones de la aplicación Signal, así como su cifrado, y añade que la aplicación proporciona cifrado de extremo a extremo desde el teléfono móvil hasta el archivo corporativo. Sin embargo, la existencia del archivo corporativo socava la privacidad y la seguridad del sistema de cifrado de extremo a extremo.
Las aplicaciones de TeleMessageno están aprobadas para su uso bajo el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) del gobierno estadounidense. TeleMessage y Smarsh no respondieron de inmediato a las solicitudes de comentarios sobre si sus productos son utilizados por el gobierno federal estadounidense y en qué medida.
"Como hemos dicho muchas veces, Signal es una aplicación aprobada para uso gubernamental y está instalada en los teléfonos gubernamentales", declaró a WIRED la secretaria de prensa de la Casa Blanca, Anna Kelly. No respondió a preguntas sobre si la Casa Blanca aprueba que los funcionarios federales utilicen TeleMessage Signal (una aplicación diferente de Signal) ni sobre si otros funcionarios, además de Waltz, la han usado o la usan actualmente.
La Agencia de Ciberseguridad y Seguridad de Infraestructura no crea políticas sobre el uso de tecnología federal, pero sí publica directrices públicas . Al ser preguntada sobre el aparente uso de TeleMessage Signal por parte de Waltz, la CISA simplemente remitió a WIRED a su guía de mejores prácticas para comunicaciones móviles. El documento aconseja específicamente: «Al seleccionar una aplicación de mensajería con cifrado de extremo a extremo, evalúe hasta qué punto la aplicación y los servicios asociados recopilan y almacenan metadatos».
No está claro cuándo Waltz comenzó a utilizar TeleMessage Signal y si ya lo estaba usando durante SignalGate o comenzó a usarlo después en respuesta a las críticas de que activar la función de mensajes que desaparecen de Signal está en conflicto con las leyes federales de retención de datos.
“No me cabe duda de que la cúpula del aparato de seguridad nacional estadounidense sometió este software a un proceso exhaustivo de verificación de la información para garantizar que no se filtrara información a países extranjeros”, afirma Matt Green, criptógrafo de Johns Hopkins. “Porque si no lo hicieron, estamos en problemas”.
wired
