Cuando se trata de seguridad y privacidad, a menudo se considera a Signal el estándar de oro en aplicaciones de mensajería cifrada. Pero, ¿hasta qué punto está justificada esta reputación? En este artículo, investigamos cuán segura es la aplicación Signal, incluido el Protocolo Signal, el protocolo criptográfico subyacente que asegura Signal y otras aplicaciones similares, como WhatsApp, Facebook Messenger, Google Messages para el cifrado de extremo a extremo RCS y Skype para su función de Conversaciones Privadas (ahora descontinuada).

¿Qué es la aplicación Signal?

Signal es una aplicación de mensajería gratuita con cifrado de extremo a extremo (E2EE). E2EE significa que los mensajes se cifran en el dispositivo del remitente y solo pueden ser descifrados por el destinatario previsto, no por Signal mientras están en tránsito o en almacenamiento. Como tal, es una alternativa convincente a aplicaciones populares pero propietarias y menos respetuosas con la privacidad como WhatsApp y Facebook Messenger (veremos esto con más detalle a continuación).

¿Quién es el dueño de Signal?

Tanto Signal como el Protocolo Signal son de código abierto, lo que significa que cualquiera puede verificar, usar y modificar su código. Son desarrollados por la Signal Foundation, una organización sin fines de lucro 501(c)(3)(ventana nueva) con sede en EE. UU. fundada por el renombrado criptógrafo y activista de la privacidad Moxie Marlinspike y el cofundador de WhatsApp Brian Acton, quien donó 50 millones de dólares para poner en marcha la fundación después de dejar Facebook en 2018.

¿Cómo gana dinero Signal?

Con el objetivo declarado de crear “herramientas de privacidad que permitan a las personas comunicarse libremente sin miedo ni inhibición”, la independencia sin fines de lucro de la Signal Foundation le permite rechazar el modelo de financiación típico de Silicon Valley y priorizar la privacidad sobre los beneficios de los accionistas, tal como hace la Proton Foundation con Proton.

Fundamentalmente, la Signal Foundation “no tiene datos que vender, ni anunciantes a los que venderlos, ni accionistas que se beneficien de tal venta”. Para apoyar el desarrollo de Signal y del Protocolo Signal, recibe financiación de:

  • Donaciones individuales (fuente principal)
  • Suscripciones a Signal Sustainer(ventana nueva) (un flujo de ingresos creciente que regulariza las donaciones individuales)
  • Subvenciones filantrópicas
  • La dotación de Brian Acton (que sigue siendo un estabilizador financiero para la Fundación)

¿Es seguro Signal?

Todos los mensajes en Signal están asegurados usando el Protocolo Signal, un moderno protocolo de mensajería asíncrona cifrada de extremo a extremo construido a partir de tres componentes principales:

1. X3DH (Triple Diffie-Hellman Extendido)

Antes de enviar tu primer mensaje a un contacto, tu aplicación toma sus claves públicas del servidor de Signal. Usando estas, crea un secreto compartido que solo tu dispositivo y el dispositivo de tu contacto pueden calcular.

Aunque el servidor ayuda a pasar los mensajes, no aprende nada sobre el secreto. Piénsalo como dejar un paquete cerrado en la puerta de alguien que solo su clave única puede abrir.

Signal ahora ha mejorado el protocolo de acuerdo de claves X3DH original para hacerlo resistente a la post-cuántica, un diseño que la compañía llama PQXDH(ventana nueva), que ha sido ampliamente elogiado(ventana nueva) por expertos en seguridad.

Más información sobre criptografía de clave asimétrica

2. Double Ratchet

Este algoritmo asegura que tus claves de mensajería cambien constantemente, de forma automática e invisible. Una vez que comienza una conversación, cada mensaje se cifra con nuevas claves que nunca se reutilizan. Esto proporciona secreto perfecto hacia adelante(ventana nueva), por lo que incluso si un mensaje se ve comprometido, todos los demás permanecerán seguros.

3. Sesame

Este algoritmo administra sesiones de cifrado de mensajes en un entorno asíncrono y multidispositivo. Debido a que cada mensaje tiene una clave única de un solo uso, Signal puede manejar cosas como:

  • Mensajes que llegan tarde
  • Mensajes que llegan desordenados
  • Pérdida temporal de conexión

Para hacer esto, Sesame mantiene un pequeño “alijo” de claves no utilizadas localmente en tu dispositivo, para que pueda decodificar mensajes retrasados de forma segura. También maneja el soporte multidispositivo (los mensajes se cifran varias veces, una para cada dispositivo) y la mensajería grupal (cada persona obtiene su propia copia cifrada única de tu mensaje).

Debido a que todos y cada uno de los mensajes están cifrados de forma única, tus conversaciones permanecen privadas incluso si el servidor de Signal es hackeado o pierdes tu dispositivo.

Los datos en sí están asegurados utilizando primitivas criptográficas probadas como AES‑GCM o ChaCha20‑Poly1305 con firmas digitales d25519 para probar que un mensaje realmente provino de la persona correcta.

En la aplicación Signal, puedes verificar la identidad de nuevos contactos comparando Números de Seguridad en otros canales de confianza. También puedes establecer un PIN de bloqueo de registro (PIN de Signal) para evitar secuestros de intercambio de SIM donde un hacker vuelve a registrar tu cuenta de Signal en otro dispositivo.

Preocupaciones de seguridad con el Protocolo Signal

Aunque el Protocolo Signal generalmente se considera seguro y protegido, existen algunas preocupaciones que debes conocer.

Ataque de desanonimización de 0 clics

A principios de 2025, un investigador de seguridad (un estudiante de secundaria llamado “Daniel”) publicó una prueba de concepto de ataque de desanonimización de 0 clics(ventana nueva) que podría geolocalizar a los usuarios de Signal y otras aplicaciones (como Discord) dentro de un radio de 250 millas abusando de cómo las redes de entrega de contenido (CDN) — principalmente Cloudflare — almacenan imágenes en caché.

Cloudflare respondió lanzando un parche, pero «Daniel» afirma que esto no resuelve fundamentalmente el problema. Por su parte, Signal ve el problema como uno relacionado con cómo funcionan las CDN y, por lo tanto, fuera de su alcance. Si se requiere verdadero anonimato al usar Signal, recomienda usar una VPN de código(ventana nueva) abierto(ventana nueva) o Tor(ventana nueva).

Auditoría inconsistente

El Protocolo Signal se ha sometido a numerosas auditorías de terceros(ventana nueva) independientes. Se encontraron problemas pero ya se han solucionado. El protocolo en sí (no solo las implementaciones específicas) sigue siendo ampliamente considerado como criptográficamente fuerte, y análisis formales(ventana nueva) a lo largo de los años no han encontrado fallos importantes en su diseño central, como su secreto perfecto hacia adelante, E2EE o el algoritmo Double Ratchet.

Sin embargo, no hay una auditoría totalmente actualizada que cubra el ecosistema completo de aplicaciones, incluidas todas las versiones actuales y plataformas de aplicaciones, código de servidor y almacenamiento, la interfaz de usuario y el mecanismo de actualización.

¿Es privado Signal?

Cualquier aplicación que use el Protocolo Signal es segura, lo que significa que ningún usuario no autorizado (incluida la propia empresa) puede acceder al contenido de tus mensajes de texto y llamadas de voz o video.

Sin embargo, el Protocolo Signal no asegura tus metadatos, por lo que los desarrolladores de la aplicación pueden ver con quién hablas, cuándo hablas con ellos, con qué frecuencia y durante cuánto tiempo. Por lo tanto, el Protocolo Signal no proporciona, en sí mismo, privacidad.

Lo que diferencia a Signal (la aplicación desarrollada por la Signal Foundation) de la mayoría de las otras aplicaciones que usan el Protocolo Signal, es que no recolecta tus metadatos. Signal solo guarda “la fecha y hora en que un usuario se registró en Signal y la última fecha de conectividad de un usuario al servicio Signal”. Esta afirmación ha sido probada en los tribunales(ventana nueva).

Preocupaciones de privacidad de Signal

Nuevamente, aunque ampliamente elogiado por su respeto por tu privacidad, existen algunas preocupaciones (bastante menores).

Número de teléfono

Debes registrarte con un número de teléfono válido para coincidir con los contactos. Sin embargo, desde 2024, Signal ha introducido nombres de usuario, permitiéndote ocultar tu número de teléfono a otros (incluso en chats grupales) y evitar que otros te encuentren por tu número. Los contactos se almacenan solo localmente y la Signal Foundation no puede acceder a ellos. Esta configuración también hace que sea relativamente fácil encontrar a otras personas que conoces que usan Signal.

Dependencia de SGX

Signal te permite ver qué personas de tus contactos usan la aplicación sin exponer tu lista de contactos a la empresa ni depender de una base de datos centralizada de números de teléfono. Hace esto utilizando enclaves Intel Software Guard Extensions (SGX), que permiten el descubrimiento privado de contactos y evitan que Signal acceda o almacene las libretas de direcciones de los usuarios.

Sin embargo, SGX es (ventana nueva)vulnerable a una serie de amenazas(ventana nueva) — notablemente ataques de canal lateral — que podrían descubrir qué números de teléfono se están comprobando durante el descubrimiento de contactos y quién más en tu lista de contactos usa Signal. Estas vulnerabilidades no presentan peligro para el contenido cifrado de extremo a extremo de tus mensajes o llamadas.

Signal reconoce que SGX no es ideal(ventana nueva) pero dice que los sistemas de contacto alternativos son actualmente demasiado lentos a escala global sin aceleración de hardware.

Dependencia de AWS

Signal depende principalmente de Amazon Web Services (AWS) para alojar su infraestructura, incluidos sus enclaves SGX, que está sujeta a demandas legales del gobierno de EE. UU. y otras agencias policiales de EE. UU. Estas teóricamente podrían usar su acceso privilegiado para atacar o eludir el aislamiento SGX.

Acuses de recibo

Un artículo académico(ventana nueva) de octubre de 2025 mostró que los acuses de recibo (los mensajes que confirman que un mensaje ha sido entregado) pueden ser abusados para exponer metadatos (no el contenido del mensaje) en una serie de aplicaciones de mensajería instantánea que incluyen WhatsApp, Threema y Signal.

Los atacantes pueden enviar interacciones especialmente diseñadas, a menudo invisibles, como ediciones de mensajes o reacciones que activan acuses de recibo silenciosos sin notificar al destinatario. Al observar el tiempo y el patrón de estos recibos, un atacante puede inferir si un usuario está online, activo, dormido o cambiando entre dispositivos, y potencialmente puede tomar la huella digital del número y tipo de dispositivos que una persona usa para acceder a ese servicio de mensajería.

Estos ataques de “canal lateral” permiten potencialmente el seguimiento encubierto, el perfilado de comportamiento y los ataques de drenaje de batería o datos, a menudo sin darte ninguna señal de advertencia. Sin embargo, también dependen de que el atacante conozca tu número de teléfono, por lo que pueden mitigarse al menos parcialmente en Signal ocultando tu número de teléfono y usando un nombre de usuario en su lugar.

¿Por qué cambiar a Signal?

A pesar de estas objeciones, Signal sigue siendo ampliamente considerado entre los profesionales de la seguridad como la aplicación de mensajería más segura capaz de enfrentarse cara a cara con, y proporcionar una alternativa respetuosa con la privacidad a, los “grandes jugadores” de propiedad comercial en el espacio de las aplicaciones de mensajería.

Gráfico comparando Signal con otras plataformas de mensajería

Signal vs. SMS

El Servicio de Mensajes Cortos (SMS) se desarrolló mucho antes de que la seguridad y la privacidad fueran preocupaciones centrales de diseño en la comunicación moderna. El resultado es que los mensajes SMS son un libro abierto, fácilmente leído por tu proveedor de servicios móviles, tu gobierno y hackers criminales.

A diferencia de Signal, los mensajes SMS no están cifrados de ninguna manera, por lo que tu proveedor de servicios móviles puede leer todo lo que envías y recibes. En el caso de una vulneración de datos, esa información podría quedar expuesta públicamente. Además, los operadores móviles pueden entregar esta información a terceras partes en ciertas circunstancias. En los Estados Unidos, por ejemplo, la Ley de Privacidad de las Comunicaciones Electrónicas(ventana nueva) permite a la policía acceder libremente a los mensajes SMS con más de 180 días de antigüedad; acceder a mensajes más nuevos requiere una orden judicial.

Los mensajes SMS también son altamente vulnerables a ataques de intermediario(ventana nueva) a través de SS7, la masa en expansión de tecnologías obsoletas que datan de la década de 1970 que continúan sustentando toda la red SMS. Estas debilidades han sido explotadas tanto por actores estatales como por hackers criminales, haciendo que los SMS sean la opción menos segura para la comunicación privada.

Más información sobre por qué deberías dejar de usar SMS

Signal vs. WhatsApp

Todos los mensajes de WhatsApp están asegurados usando el Protocolo Signal, por lo que nadie puede acceder a su contenido. Sin embargo, como se señaló anteriormente, el Protocolo Signal no protege tus metadatos.

Dado que WhatsApp es propiedad de Meta (que también es propietaria de Facebook), cuyo modelo de negocio completo es aprender tanto sobre ti como sea posible para poder dirigirte anuncios cada vez más personalizados, siempre fue una suposición segura que Meta abusaría de su acceso a los metadatos de WhatsApp. Y, al igual que Signal, Meta tiene su sede en los Estados Unidos y, por lo tanto, está sujeta a solicitudes de cumplimiento de la ley de EE. UU. para datos de usuarios, a menudo sin una orden judicial o aviso.

Una demanda de (ventana nueva)2025(ventana nueva) del ex jefe de seguridad de WhatsApp afirma que los empleados de WhatsApp tienen acceso a información sensible del usuario, incluida la ubicación, fotos de perfil, membresías de grupos y listas de contactos. También alega que Meta ignoró repetidamente fallos importantes de seguridad y privacidad que podrían ser explotados por hackers y otras entidades maliciosas.

Más información sobre si es seguro usar WhatsApp

Signal vs. Facebook Messenger

Al igual que WhatsApp, Facebook Messenger es propiedad de Meta. También como WhatsApp, el contenido de los mensajes está cifrado de extremo a extremo usando el Protocolo Signal, pero Meta puede acceder a los metadatos. Como tal, todas las críticas dirigidas a WhatsApp anteriormente también se aplican a Facebook Messenger.

Signal vs. correo electrónico

La mayoría de los correos electrónicos no están cifrados de extremo a extremo. Están cifrados en tránsito usando HTTPS y almacenados cifrados en los servidores del proveedor de correo electrónico. En términos generales, esto hace que los correos electrónicos estén seguros frente a hackers criminales. Pero, como el proveedor de correo electrónico realiza el cifrado y tiene las claves (como Gmail), puede acceder y procesar para publicidad o cumplimiento con solicitudes de terceros, dependiendo de sus políticas y la ley aplicable.

Proton Mail es mucho más seguro que el correo electrónico normal. Los correos electrónicos enviados entre cuentas de Proton Mail están cifrados de extremo a extremo, y puedes enviar correos electrónicos E2EE a usuarios que no son de Proton utilizando nuestra función de Correo electrónico protegido por contraseña o OpenPGP. Todos los correos electrónicos almacenados en nuestros servidores están asegurados usando cifrado de acceso cero, lo que significa que ni siquiera nosotros podemos acceder a ellos.

Sin embargo, el correo electrónico es un sistema muy antiguo que (como los SMS) fue diseñado mucho antes de que la necesidad de seguridad y privacidad se le ocurriera a alguien. Esto significa que no hay forma de ocultar tus metadatos. Y debido a que diseñamos Proton Mail para que fuera compatible con el estándar abierto OpenPGP E2EE, actualmente no ciframos la línea de asunto. Tampoco podemos hacer nada para asegurar los correos electrónicos no protegidos por contraseña o OpenPGP almacenados en servidores de terceros.

Signal vs. Threema

Threema representa una raza de aplicaciones de mensajería de código abierto que posiblemente rivalizan o incluso superan a Signal en términos de privacidad.

Todas las aplicaciones de Threema usan la biblioteca de criptografía NaCl(ventana nueva) de código abierto para cifrar mensajes de extremo a extremo, y han sido auditadas por profesionales de la seguridad(ventana nueva). A diferencia de la mayoría de las aplicaciones de mensajería, no necesitas una dirección de correo electrónico o número de teléfono para registrar una cuenta, y es posible comprar Threema para Android anónimamente usando Bitcoin —Threema es una aplicación de pago. La compañía dice que esto te permite enviar mensajes de texto y hacer llamadas anónimamente, y se esfuerza por asegurar que recopila el mínimo de metadatos(ventana nueva).

El mayor inconveniente de Threema es su pequeña base de usuarios.

La infame “filtración” del Signalgate del gobierno de EE. UU.

En marzo de 2025(ventana nueva), se creó un chat grupal entre varios líderes de alto nivel de seguridad nacional de EE. UU. en Signal en el que se discutieron planes operativos altamente sensibles para atacar a militantes hutíes en Yemen.

En una asombrosa vulneración de la seguridad nacional, un reportero de The Atlantic fue invitado inadvertidamente a unirse al chat grupal y pronto puso a disposición del público una transcripción parcialmente redactada del mismo. Fundamentalmente, todo el escándalo “Signalgate” fue el resultado de un error puramente humano, no de ningún fallo técnico en Signal.

Un problema similar parece ser responsable de una exitosa operación de espionaje del FBI(ventana nueva) que tuvo como objetivo un chat grupal de Signal de activistas por los derechos de los inmigrantes. Aunque los detalles aún no están claros, el FBI dijo que la información provino de una “fuente sensible con excelente acceso”, lo que sugiere fuertemente que una fuente interna había sido invitada al chat.

Pensamientos finales sobre la seguridad de Signal

Signal sigue siendo ampliamente considerado como el estándar de oro para la mensajería privada segura por muy buenas razones. El Protocolo Signal es extremadamente seguro y, a diferencia de la mayoría de las otras aplicaciones que usan el Protocolo Signal, Signal no recopila casi ningún metadato de la aplicación Signal.

Signal es, por lo tanto, mucho más privado que cualquiera de sus competidores principales, y con un fácil descubrimiento de contactos y una gran cantidad de funciones avanzadas, podrías convencer de manera realista a tus amigos y familiares para que lo usen realmente.

Sin embargo, estar alojado en servidores AWS sigue siendo una preocupación a la luz de la dependencia de Signal de SGX. Hay una serie de aplicaciones de mensajería cifrada de código abierto como Threema que intentan abordar este y otros problemas percibidos con Signal — como su dependencia de un servidor centralizado y la necesidad de proporcionar un número de teléfono real— algunas de las cuales muestran una gran promesa.

Pero ninguna de estas se ha sometido al mismo nivel de riguroso escrutinio externo que Signal, y todas ellas tienen bases de usuarios minúsculas en comparación con Signal, lo que limita su utilidad práctica.