MADRID, 18 Jul. (CIBERPRO) –
Expertos en ciberseguridad han alertado que la vulnerabilidad previamente explotada en la versión modificada de la aplicación Signal de TeleMessage sigue activa, después de detectar intentos recientes de actores maliciosos para robar contraseñas y datos sensibles.
La firma israelí TeleMessage ofrece versiones alteradas de Signal, WhatsApp y Telegram orientadas a empresas y entidades gubernamentales, permitiendo almacenar los chats dentro de la propia ‘app’ por motivos legales y de cumplimiento normativo.
En particular, la aplicación clon de Signal, utilizada por miembros del Gobierno de Estados Unidos, ya experimentó un ciberataque en mayo de este año, cuando un ‘hacker’ logró acceder a los registros de conversaciones almacenadas.
En ese incidente, el ciberatacante aprovechó varias vulnerabilidades en la modificación de Signal, que carecían de protección mediante encriptación de extremo a extremo. Actualmente, investigadores del grupo de ciberseguridad GreyNoise han detectado nuevos intentos de actores maliciosos por aprovechar el mismo fallo de seguridad.
La compañía lo ha comunicado en un artículo publicado en su blog, donde especifica que, si la vulnerabilidad, identificada como CVE-2025-48927, es explotada exitosamente, los ciberdelincuentes pueden obtener «una instantánea completa de la memoria» de las conversaciones, permitiendo así el acceso a «nombres de usuario en texto claro, contraseñas y otros datos confidenciales».
Hasta el 16 de julio, los investigadores de GreyNoise han encontrado hasta once direcciones IP que siguen intentando explotar la vulnerabilidad mencionada.
«Después de investigar un poco, descubrí que muchos dispositivos siguen expuestos y vulnerables a esto», comentó el investigador de GreyNoise, Howdy Fisher.
La empresa ha indicado que el problema subyacente de esta vulnerabilidad está relacionado con el módulo Spring Boot Actuator, que proporciona herramientas para supervisar y gestionar aplicaciones en producción.
Este módulo «expone el ‘endpoint’ de autenticación por defecto», lo que permite a los actores maliciosos, con un solo comando, descargar un archivo de aproximadamente 150MB que contiene nombres de usuario y contraseñas en texto plano, además de otra información.
