El llamativo escándalo en torno a la invitación accidental del gabinete de Donald Trump al redactor en jefe de The Atlantic a unirse a un grupo de mensajería de texto que planeaba en secreto un atentado en Yemen ya tiene nombre: SignalGate, una referencia al hecho de que la conversación tuvo lugar en la herramienta de mensajería gratuita cifrada de extremo a extremo Signal. Mientras ese nombre se convierte en una abreviatura del mayor descuido de la segunda administración Trump hasta la fecha, sin embargo, los expertos en seguridad y privacidad que han promocionado Signal como la mejor herramienta de mensajería cifrada disponible para el público quieren dejar clara una cosa: Desde que el editor de The Atlantic, Jeffrey Goldberg, revelara el pasado lunes que fue incluido por error en un chat de grupo de Signal a principios de este mes - creado para planificar ataques aéreos estadounidenses contra los rebeldes huttíes en Yemen - la reacción de los críticos del gabinete de Trump e incluso de la propia administración ha parecido en algunos casos culpar a Signal de la brecha de seguridad. Así, el asesor de seguridad nacional Michael Waltz, que aparentemente invitó a Goldberg al chat de grupo de Signal, ha llegado a sugerir que Goldberg podría haberlo pirateado. El miércoles por la tarde, incluso el presidente Donald Trump sugirió que Signal era de alguna manera responsable del fiasco del chat de grupo. "No sé si Signal funciona", expresó Trump a los periodistas en la Casa Blanca. "Creo que Signal podría ser defectuoso, para ser honesto con ustedes". La verdadera lección es mucho más simple, dice Kenn White, un investigador de seguridad y criptografía que ha realizado auditorías en herramientas de cifrado ampliamente utilizadas en el pasado como director del Open Crypto Audit Project: no invites a contactos que no sean de confianza a tu chat de grupo de Signal. Y si usted es un funcionario del gobierno que trabaja con información altamente sensible o clasificada, utilice las herramientas de comunicación cifrada que se ejecutan en dispositivos restringidos, a menudo con “Air Gap” (aislar físicamente un sistema de redes como internet, para añadir protección), destinados a un entorno de alto secreto en lugar de los dispositivos no autorizados que pueden ejecutar aplicaciones disponibles públicamente como Signal. "Inequívocamente, no se puede culpar de esto a Signal", señala White. "Signal es una herramienta de comunicación diseñada para conversaciones confidenciales. Si se introduce en una conversación a alguien que no debería formar parte de ella, no es un problema tecnológico. Es un problema del operador" acoto. El criptógrafo Matt Green, profesor de informática en la Universidad Johns Hopkins, lo explica de forma más sencilla. "Signal es solo una herramienta. Pero si usas mal una herramienta, van a pasar cosas malas", explica Green. "Si te golpeas en la cara con un martillo por ejemplo, no es culpa del martillo. De ti depende asegurarte de que sabes con quién estás hablando". El único sentido en el que SignalGate es un escándalo relacionado con Signal, añade White, es que su uso sugiere que los funcionarios de nivel de gabinete involucrados en los planes de bombardeo de los hutties, incluidos el secretario de Defensa Pete Hegseth y la directora de Inteligencia Nacional Tulsi Gabbard, estaban llevando a cabo la conversación en dispositivos conectados a internet (posiblemente incluso personales), ya que Signal normalmente no se permitiría en las máquinas oficiales, altamente restringidas, destinadas a tales conversaciones. "En administraciones anteriores, al menos, eso estaría absolutamente prohibido, especialmente para comunicaciones clasificadas", aclara White. De hecho, el uso de Signal en dispositivos comerciales conectados a internet no solo deja las comunicaciones abiertas a cualquiera que pueda explotar de algún modo una vulnerabilidad pirateable en Signal, sino a cualquiera que pueda piratear los dispositivos iOS, Android, Windows o Mac que puedan estar ejecutando las aplicaciones Signal para móvil o escritorio. Esta es la razón por la que las agencias de EE UU en general, y el Departamento de Defensa en particular, llevan a cabo sus actividades en dispositivos federales especialmente gestionados que están especialmente preparados para controlar qué software se instala y qué funciones están disponibles. Independientemente de que los miembros del gabinete hubieran mantenido el debate en Signal o en otra plataforma de consumo, la cuestión principal era la comunicación sobre operaciones militares secretas de alto riesgo utilizando dispositivos o software inadecuados. Una de las razones más evidentes por las que las aplicaciones de comunicación como Signal y WhatsApp no son adecuadas para el trabajo gubernamental clasificado es que ofrecen funciones de "desaparición de mensajes" (mecanismos para eliminar automáticamente los mensajes luego de un tiempo preestablecido) que son incompatibles con las leyes federales de conservación de registros. Este problema se puso de manifiesto en el chat de los directores sobre el inminente ataque a Yemen, que originalmente estaba programado para una semana de borrado automático antes de que la cuenta de Michael Waltz cambiara el temporizador a cuatro semanas de borrado automático, según las capturas de pantalla del chat publicadas por The Atlantic el miércoles. Si Goldberg, de The Atlantic, no hubiera sido incluido por error en el chat, su contenido podría no haber sido preservado de acuerdo con los antiguos requisitos del gobierno. En un testimonio ante el Congreso ese mismo día, la directora de inteligencia nacional de EE UU, Tulsi Gabbard, dijo que Signal podría haber vendo preinstalado en los dispositivos del gobierno. Pero múltiples fuentes admitieron que esto no es la norma, y señalaron específicamente que la descarga de aplicaciones de consumo como Signal a los dispositivos del Departamento de Defensa está muy restringida y a menudo prohibida. El hecho de que Hegseth, el secretario de Defensa, participara en el chat indica que, o bien obtuvo una exención extremadamente inusual para instalar Signal en un dispositivo del departamento, o bien se saltó el proceso estándar para solicitar dicha exención, o quizás estaba utilizando un dispositivo ajeno al Departamento de Defensa para el chat. Según el consultor político y podcaster Fred Wellman, los "designados políticos" del Departamento de Defensa exigieron que Signal se instalara en sus dispositivos gubernamentales el mes pasado. El núcleo de la defensa de la administración Trump se basa en la afirmación de que no se discutió ningún material clasificado en el chat de Signal. En particular, Gabbard y otros han señalado que el propio Hegseth es la autoridad de clasificación de la información. Múltiples fuentes afirman sin embargo, que esta autoridad no hace que una aplicación de consumo sea el foro adecuado para tal discusión. "La forma en que se comunicaba, la conversación no tenía una designación formal como 'solo para uso oficial' o algo así. Pero tanto si debía ser clasificada como si no, fuera lo que fuera, se trataba obviamente de información operativa sensible que ningún soldado u oficial debería revelar al público, pero habían añadido a un miembro de los medios de comunicación al chat", afirma Andy Jabbour, veterano del ejército estadounidense y fundador de la empresa de gestión de riesgos de seguridad nacional Gate 15. Jabbour añade que el personal militar recibe una formación anual sobre concientización y seguridad de la información para reforzar los procedimientos operativos en el manejo de todos los niveles de información no pública. Múltiples fuentes subrayaron que, aunque la información contenida en el chat del ataque a Yemen parece cumplir la norma de clasificación, incluso el material no clasificado puede ser extremadamente sensible y suele protegerse cuidadosamente. "Dejando a un lado por un momento que la información clasificada nunca debe ser discutida a través de un sistema no clasificado, también es alucinante para mí que todas estas personas de alto nivel que estaban en esta línea y nadie se molestó en comprobar, por razones de seguridad ¿Quiénes son todos los nombres que aparecen en la lista? " dijo el senador estadounidense Mark Warner, demócrata de Virginia, durante la audiencia del martes del Comité de Inteligencia del Senado. Según The Atlantic, 12 funcionarios de la administración Trump estaban en el chat grupal de Signal, entre ellos el vicepresidente JD Vance, el secretario de Estado Marco Rubio y la asesora de Trump Susie Wiles. Jabbour añade que incluso con las autoridades decisorias presentes y participando en una comunicación, establecer una designación de información o desclasificar información ocurre a través de un proceso establecido y proactivo. Como él dice: "Si derramas leche en el suelo, no puedes simplemente decir: 'Eso en realidad no es leche derramada, porque tenía la intención de derramarla'". Es decir, SignalGate plantea muchos problemas de seguridad, privacidad y legales. Pero la seguridad de Signal en sí no es uno de ellos. A pesar de eso, y con motivo de la historia de The Atlantic del lunes, algunos han buscado tenues conexiones entre la violación de seguridad del gabinete de Trump y las vulnerabilidades de Signal. El martes, por ejemplo, un asesor del Pentágono se hizo eco de un informe de los investigadores de seguridad de Google, que alertaron de Signal a principios de este año “sobre una técnica de phishing que la inteligencia militar rusa utilizó para atacar a los usuarios de la aplicación en Ucrania”. Pero Signal lanzó una actualización para hacer que esa táctica (que engaña a los usuarios para que añadan a un hacker como dispositivo secundario en su cuenta) sea mucho más difícil de llevar a cabo, y la misma táctica también se dirigió a algunas cuentas de los servicios de mensajería WhatsApp y Telegram. "Los ataques de phishing contra personas que utilizan aplicaciones y sitios web populares son un hecho en internet", explico Jun Harada, portavoz de Signal. "Una vez que supimos que los usuarios de Signal estaban siendo atacados, y cómo lo estaban siendo, introdujimos salvaguardas adicionales y advertencias in-app para ayudar a proteger a las personas de ser víctimas de ataques de phishing. Este trabajo se completó hace meses". De hecho, añade White, el investigador de criptografía, si la administración Trump va a poner en riesgo las comunicaciones secretas discutiendo planes de guerra en dispositivos comerciales no aprobados y apps de mensajería de libre acceso, podrían haber hecho mucho peor que elegir Signal para esas conversaciones, dada su reputación y trayectoria entre los expertos en seguridad. "Signal es la recomendación consensuada para comunidades de alto riesgo: activistas de derechos humanos, abogados y fuentes confidenciales de periodistas", afirma White. Pero no, como ha quedado claro esta semana, para los funcionarios del poder ejecutivo que planean ataques aéreos contra países enemigos. ¿En qué medida podría afectar este escándalo a la administración Trump? De seguro tanto sus adversarios políticos como el establishment querrán sacar provecho de ello... Y es que están con la sangre en el ojo.
