En un contexto donde la seguridad y la privacidad digital son prioridades fundamentales para millones de usuarios en todo el mundo, la aparición de aplicaciones que prometen comunicación segura pero que fallan en cumplir con estos estándares es motivo de gran preocupación. TM Signal, una aplicación de comunicación que ha ganado visibilidad tras ser usada por el asesor de seguridad nacional del expresidente Donald Trump, Mike Waltz, se encuentra en el centro de una polémica por ser un clon de Signal que no ofrece el nivel de seguridad esperado y, más preocupante aún, por permitir que la empresa que la desarrolla tenga acceso directo a los contenidos de los chats de sus usuarios. TM Signal es desarrollado por TeleMessage, una empresa israelí que fue adquirida recientemente por Smarsh, una compañía estadounidense especializada en archiving digital. Aunque TeleMessage se presenta como una solución segura para la mensajería instantánea, nuevas investigaciones, incluyendo un análisis exhaustivo del código fuente realizado por el periodista y experto en seguridad Micah Lee, revelan que la aplicación no cuenta con cifrado de extremo a extremo en todas las etapas del proceso. De hecho, parece enviar registros de los mensajes de los usuarios en texto plano a un servidor de archivo, lo que significa que la empresa puede leer directamente las conversaciones privadas.
Este hallazgo es alarmante, especialmente cuando se considera que TM Signal es compatible con Signal, una de las aplicaciones de mensajería más confiables y respetadas en materia de privacidad y seguridad. La compatibilidad implica que, si un usuario que utiliza Signal conversa con otro usuario que emplea TM Signal, el mensaje puede estar expuesto a ser almacenado y accesible sin la protección que Signal garantiza. Esta brecha de seguridad contradice las campañas de marketing de TeleMessage que aseguran ofrecer cifrado completo desde el dispositivo del usuario hasta el archivo corporativo. El hackeo reciente de TM Signal puso al descubierto que no solo los mensajes estaban en texto claro, sino que también se comprometieron nombres de usuario, contraseñas en texto plano y hasta claves privadas de cifrado. La relativa facilidad con la que los atacantes pudieron acceder al servidor de archivo pone en tela de juicio las capacidades de protección de TeleMessage y aumenta los riesgos para todos los usuarios de la aplicación, en particular para funcionarios y personalidades de alto perfil que manejan información sensible.
Estas vulnerabilidades han generado una reacción inmediata por parte de figuras políticas como el senador estadounidense Ron Wyden, quien solicitó una investigación por parte del Departamento de Justicia, calificando a TeleMessage como una amenaza seria para la seguridad nacional. Según Wyden, ofrecer a los funcionarios gubernamentales una aplicación que se asemeja a Signal pero que carece de sus principios de seguridad básicos equivale a proporcionarles una herramienta deficiente que expone no solo datos personales, sino también secretos de estado y comunicaciones diplomáticas. La gravedad de la situación se agrava por el hecho de que TeleMessage, a pesar de ser un contratista federal, no cuenta con la certificación requerida para sistemas gubernamentales bajo el programa FedRAMP, que evalúa la seguridad de las aplicaciones en instituciones oficiales. Esto significa que la plataforma no cumple con los estándares mínimos exigidos para proteger las comunicaciones y datos de los funcionarios públicos y empleados gubernamentales. El uso de TM Signal en cabinet meetings y comunicaciones oficiales, como fue evidenciado por fotografías que muestran a Mike Waltz comunicándose con otros altos funcionarios como el vicepresidente JD Vance o figuras de inteligencia y diplomacia, expone las conversaciones de alto nivel a riesgos innecesarios.
La compatibilidad de la aplicación con Signal, sin embargo, hace que sea difícil identificar cuándo los chats están siendo archivados y potencialmente expuestos, lo que genera una falsa sensación de seguridad entre los usuarios. Desde la perspectiva técnica, el diseño de TM Signal implica que las conversaciones se guardan en una base de datos local en el dispositivo y posteriormente se envían al servidor de archivo. La ausencia de cifrado de extremo a extremo en esta transferencia permite que cualquier persona con acceso a este servidor pueda leer los mensajes, ya sea un hacker externo o personal interno de la compañía. Esta configuración rompe con el modelo de seguridad imperante en aplicaciones modernas de mensajería que evitan justamente que ni siquiera la empresa controladora pueda acceder a los mensajes. Además, los incidentes de seguridad repentinos que enfrentó TeleMessage, incluyendo pausas en el servicio para investigar las brechas, revelan una falta de preparación y protocolos sólidos para responder a ataques cibernéticos.
La exposición de datos críticos no solo afecta la confianza de los usuarios existentes, sino que podría tener consecuencias más amplias en la percepción de la seguridad digital dentro del sector público y privado. En un mundo donde la privacidad digital es constantemente amenazada y la vigilancia sigue creciendo, contar con herramientas de comunicación verdaderamente seguras es esencial para proteger la integridad de las conversaciones y la información sensible. La situación con TM Signal destaca la importancia de evaluar rigurosamente las aplicaciones antes de su adopción en ambientes críticos, especialmente aquellos vinculados a gobiernos y políticas públicas. Para los usuarios comunes, esta controversia sirve como un recordatorio para ser cautelosos con las aplicaciones de mensajería que parecen ofrecer funciones robustas de seguridad, pero que pueden estar implementando soluciones deficientes o fraudulentas. La elección de aplicaciones con cifrado verificado, código abierto y auditado regularmente sigue siendo la mejor práctica para asegurar la confidencialidad de las comunicaciones.
En resumen, el caso de TM Signal no solo pone en evidencia un fallo grave en la seguridad de una aplicación utilizada por figuras políticas influyentes, sino que también plantea preguntas más amplias sobre las prácticas de transparencia y responsabilidad en el desarrollo de tecnologías que manejan datos privados y confidenciales. Mientras las investigaciones continúan, es imprescindible que tanto desarrolladores como usuarios asuman un rol activo en la protección de la privacidad digital, velando por la implementación correcta de estándares de cifrado y por la auditoría constante de las herramientas de comunicación. La polémica alrededor de TeleMessage y TM Signal es un llamado de atención para gobiernos, organizaciones y individuos sobre la necesidad de ser rigurosos en la selección y uso de aplicaciones de mensajería segura. La confianza errónea en un clon que falla en proteger la información puede tener consecuencias directas y significativas en la seguridad nacional y la privacidad individual, un precio demasiado alto para pagar en la era digital actual.
![Analysis of the Russian information manipulation set Storm-1516 [pdf]](/images/04474EE9-7E03-468D-9FFA-68B7EAED2D74)
