Trump y su gabinete culpan a Signal por la filtración sobre Yemen

El llamativo escándalo en torno a la invitación accidental del gabinete de Trump al redactor en jefe de The Atlantic a unirse a un grupo de mensajería de texto que planeaba en secreto un atentado en Yemen ha entrado en su tercer día, y esa polémica ya tiene nombre: SignalGate, una referencia al hecho de que la conversación tuvo lugar en la herramienta de mensajería gratuita cifrada de extremo a extremo Signal.

Mientras ese nombre se convierte en una abreviatura de la mayor metedura de pata pública de la segunda administración Trump hasta la fecha, sin embargo, los expertos en seguridad y privacidad que han promocionado Signal como la mejor herramienta de mensajería cifrada disponible para el público quieren dejar clara una cosa:

SignalGate no tiene que ver con Signal

Desde que el editor de The Atlantic, Jeffrey Goldberg, revelara el lunes que fue incluido por error en un chat de grupo de Signal a principios de este mes, creado para planificar ataques aéreos estadounidenses contra los rebeldes hutíes en Yemen, la reacción de los críticos del gabinete de Trump e incluso de la propia administración ha parecido en algunos casos culpar a Signal de la brecha de seguridad. Algunos comentaristas han señalado los informes del mes pasado de phishing dirigido a Signal por espías rusos. El asesor de seguridad nacional Michael Waltz, que supuestamente invitó a Goldberg al chat de grupo de Signal, ha llegado a sugerir que Goldberg podría haberlo pirateado.

El miércoles por la tarde, incluso el presidente Donald Trump sugirió que Signal era de alguna manera responsable del fiasco del chat de grupo. «No sé si Signal funciona», expresó Trump a los periodistas en la Casa Blanca. «Creo que Signal podría ser defectuoso, para ser honesto con ustedes».

La verdadera lección es mucho más simple, dice Kenn White, un investigador de seguridad y criptografía que ha realizado auditorías en herramientas de cifrado ampliamente utilizadas en el pasado como director del Open Crypto Audit Project: no invites a contactos que no sean de confianza a tu chat de grupo de Signal. Y si usted es un funcionario del gobierno que trabaja con información altamente sensible o clasificada, utilice las herramientas de comunicación cifrada que se ejecutan en dispositivos restringidos, a menudo con “Air Gap” (aislar físicamente un sistema de redes como internet, para añadir protección), destinados a un entorno de alto secreto en lugar de los dispositivos no autorizados que pueden ejecutar aplicaciones disponibles públicamente como Signal.

Culpas mal asignadas

«Inequívocamente, no se puede culpar de esto a Signal», señala White. «Signal es una herramienta de comunicación diseñada para conversaciones confidenciales. Si se introduce en una conversación a alguien que no debería formar parte de ella, no es un problema tecnológico. Es un problema del operador».

El criptógrafo Matt Green, profesor de informática en la Universidad Johns Hopkins, lo explica de forma más sencilla. «Signal es una herramienta. Si usas mal una herramienta, van a pasar cosas malas», explica Green. «Si te golpeas en la cara con un martillo, no es culpa del martillo. De ti depende asegurarte de que sabes con quién estás hablando».

El único sentido en el que SignalGate es un escándalo relacionado con Signal, añade White, es que el uso de Signal sugiere que los funcionarios de nivel de gabinete involucrados en los planes de bombardeo houthi, incluidos el secretario de Defensa Pete Hegseth y la directora de Inteligencia Nacional Tulsi Gabbard, estaban llevando a cabo la conversación en dispositivos conectados a internet (posiblemente incluso personales), ya que Signal normalmente no se permitiría en las máquinas oficiales, altamente restringidas, destinadas a tales conversaciones. «En administraciones anteriores, al menos, eso estaría absolutamente prohibido, especialmente para comunicaciones clasificadas», aclara White.

Canales incorrectos

De hecho, el uso de Signal en dispositivos comerciales conectados a internet no solo deja las comunicaciones abiertas a cualquiera que pueda explotar de algún modo una vulnerabilidad pirateable en Signal, sino a cualquiera que pueda piratear los dispositivos iOS, Android, Windows o Mac que puedan estar ejecutando las aplicaciones Signal para móvil o escritorio.

Esta es la razón por la que las agencias de EE UU en general, y el Departamento de Defensa en particular, llevan a cabo sus actividades en dispositivos federales especialmente gestionados que están especialmente preparados para controlar qué software se instala y qué funciones están disponibles. Independientemente de que los miembros del gabinete hubieran mantenido el debate en Signal o en otra plataforma de consumo, la cuestión principal era la comunicación sobre operaciones militares secretas de alto riesgo utilizando dispositivos o software inadecuados.