L’FBI adverteix que els pirates informàtics de la intel·ligència russa tenen com a objectiu les claus de recuperació de còpies de seguretat de Signal
07/07/2026

L’FBI i la CISA han actualitzat el seu avís de març sobre la suplantació d’identitat dels comptes de Signal de la intel·ligència russa, i els operadors han afegit un pas: ara convencen els objectius perquè lliurin la seva clau de recuperació de còpia de seguretat de Signal.
Una vegada lliurada l’atacant podrà restaurar la còpia de seguretat del compte, llegir l’historial de missatges privats i de grup i prendre el control del compte. Encara pitjor, la clau continua funcionant. Crea un compte nou amb el mateix número de telèfon i la clau antiga encara es podrà utilitzar en contra, adverteix l’avís.
La solució és contundent: generar una nova clau a Configuració, que elimina l’antiga per a futures descàrregues de còpia de seguretat, i acceptar que tot el que l’atacant ja hagi tret ha desaparegut.
L’avís actualitzat, PSA I-062626-PSA, afegeix dos noms de seguiment públics: Avís de març en què faltaven l‘UNC5792 i l‘UNC4221. L’FBI vincula l’activitat a múltiples grups dels Serveis d’Intel·ligència Russos (RIS), inclosos agents de l’FSB integrats amb els guàrdies fronterers de l’FSB i altres que treballen per als serveis militars russos. La campanya afecta els comptes de Signal i WhatsApp; la nova tàctica clau de recuperació que descriu l’avís és específica de Signal.
Els objectius són individus amb un alt valor en intel·ligència: funcionaris governamentals actuals i antics dels Estats Units i internacionals, personal militar, figures polítiques, periodistes i funcionaris d’Ucraïna. L’avís de març deia que la campanya més àmplia ja havia compromès milers de comptes a tot el món.
El missatge de suplantació d’identitat es fa passar per suport de Signal. Les onades anteriors demanaven codis de verificació per SMS i PIN de compte, o utilitzaven enllaços d’invitació a grups falsificats que silenciosament han vinculat el dispositiu d’un atacant al compte.
La versió actualitzada fa anar a la víctima a l’activació de les còpies de seguretat de Signal, l’obertura de la clau de recuperació i a enganxar-lo al xat. L’avís imprimeix dos missatges de mostra: un disfressat de desplegament obligatori de dos factors, l’altre com una solució urgent de «recuperació de dades» per a missatges suposadament en risc de pèrdua.
Igual que al març, les agències deixen clar que cap d’aquestes accions trenca el xifratge de Signal ni l’aplicació en si. Els actors comprometen els comptes individuals mitjançant l’enginyeria social i després entren a través d’una funció legítima.
Juntament amb l’actualització, el programa Rewards for Justice del Departament d’Estat ofereix fins a 10 milions de dòlars per informació sobre l’UNC5792.
L’activitat coincideix amb els avisos de la intel·ligència neerlandesa (AIVD i MIVD), BfV i BSI d’Alemanya i l’ANSSI de França a principis d’aquest any. El Grup d’Intel·ligència d’Amenaces de Google ha documentat per primera vegada que l’UNC5792 va abusar de la funció de dispositiu vinculat de Signal a principis del 2025, i va veure com la mateixa operació comercial apareixia contra WhatsApp i Telegram.
Què fer ara?
- Tracta qualsevol missatge dins de l’aplicació de «Suport de Signal» com a hostil. El suport real no t’envia missatges dins de l’aplicació per demanar codis, PIN o la teva clau de recuperació.
- No enganxis mai la teva clau de recuperació de còpia de seguretat, el codi de verificació o el PIN en un xat. Res que sigui legítim els demana d’aquesta manera.
- Obre Configuració, marca Dispositius vinculats i elimina tot allò que no reconeixes.
- Si creus que has lliurat la teva clau de recuperació, genera’n una de nova a Configuració ara i assumeix que qualsevol còpia de seguretat feta abans ja està en mans d’una altra persona.
L’avís del març advertia que les tàctiques canviarien. Han canviat, des de perseguir codis d’un sol ús fins a prendre la clau que obre tot l’arxiu. El xifratge es manté. El compte és el punt feble i la persona que el té n’és la víctima.









