Aplicación de mensajería más segura: funciones y trucos clave

iPhone World » General » Aplicación de mensajería más segura: funciones y trucos clave

Hoy vivimos pegados al móvil y a los chats, pero pocas veces nos paramos a pensar en qué aplicaciones de mensajería son realmente seguras y qué están haciendo con nuestros datos. Mientras escribes a tu familia, al trabajo o compartes información delicada, en segundo plano puede haber empresas y redes publicitarias recopilando metadatos sobre ti sin que te enteres.

Detrás de cada mensaje hay algo más que texto: quién habla con quién, desde dónde, a qué hora y con qué dispositivo. Esa información vale oro para anunciantes, intermediarios de datos e incluso gobiernos. Por eso han surgido toda una serie de apps que, en lugar de centrarse en los stickers y los filtros, han puesto todo el foco en la privacidad, el cifrado y el mínimo rastro posible.

Qué hace que una aplicación de mensajería sea realmente segura

Antes de elegir la que será tu herramienta diaria de comunicación conviene entender qué debe ofrecer una app para considerarse “segura”. No basta con que la empresa diga que cifra los mensajes: hay varios pilares que marcan la diferencia entre una app privada de verdad y un simple postureo de marketing.

El primero es el cifrado de extremo a extremo (E2EE). Significa que el mensaje se cifra en tu dispositivo y solo se descifra en el del destinatario, de forma que ni la propia empresa que ofrece el servicio puede leerlo. Sin E2EE, tus chats pueden ser visibles para el proveedor, para terceros con acceso a los servidores o para atacantes avanzados.

Muy ligado a lo anterior está el código abierto. Cuando el código fuente de la app y, a ser posible, del servidor, es público, la comunidad de expertos puede auditarlo, buscar fallos, descartar puertas traseras y comprobar que el cifrado está bien implementado. Si todo es propietario y opaco, toca fiarse a ciegas de lo que diga la empresa.

Otro punto clave son los metadatos y la retención de información. Incluso con E2EE, la app puede almacenar quién habla con quién, desde qué IP, a qué horas y durante cuánto tiempo. Las mejores soluciones intentan aplicar un diseño de tipo zero-knowledge: recogen la menor cantidad de metadatos posible, los guardan cifrados o directamente no los conservan.

Además, marcan la diferencia funciones extra como los mensajes que desaparecen, el registro anónimo y el enmascaramiento de IP. Los mensajes temporales reducen el historial que alguien podría ver si accede al dispositivo; no exigir número de teléfono rebaja el rastro identificable; y ocultar la IP hace más difícil triangular tu ubicación física.

Por último, un plus técnico muy relevante es el secreto perfecto hacia adelante (forward secrecy). Aquí cada mensaje o sesión se cifra con claves efímeras que se destruyen tras usarse. Así, aunque alguien consiguiera una clave maestra en el futuro, no podría descifrar las conversaciones antiguas.

Signal: la referencia en mensajería privada y segura

Entre todas las alternativas que han ido apareciendo, Signal se ha convertido en el estándar de oro para quienes se toman en serio la privacidad: periodistas, activistas, profesionales de alto riesgo, pero también usuarios normales que no quieren regalar sus datos a cambio de nada.

Signal nació en torno a 2013-2014 y desde entonces se ha centrado en combinar todas las funciones típicas de una app moderna de mensajería (chats individuales y grupales, llamadas de voz, videollamadas, envío de fotos, archivos, notas de voz y stickers) con un protocolo criptográfico tan sólido que se considera resistente incluso frente a ataques con ordenadores cuánticos.

Todo en Signal está protegido con cifrado de extremo a extremo por defecto: mensajes de texto, notas de voz, llamadas, videollamadas, grupos y hasta los stickers. Ningún contenido se almacena de forma legible en los servidores, de modo que ni la propia organización puede leer lo que envías, aunque reciba una orden judicial.

El sistema utiliza secreto perfecto hacia adelante, asignando claves efímeras a cada conversación que se van descartando. Esto impide que, aunque en el futuro se filtrase una clave, alguien pudiera deshacer el cifrado de los mensajes anteriores. Es uno de los motivos por los que el protocolo Signal se considera “patrón oro” y ha sido adoptado por otros servicios, como WhatsApp o Wire, para sus modos más seguros.

Además, Signal es software libre y de código abierto, tanto en las apps móviles y de escritorio como en la implementación del servidor. Expertos externos han auditado el código en numerosas ocasiones, lo que refuerza la confianza de que no hay puertas traseras ocultas. El proyecto se financia con donaciones y subvenciones a través de una fundación sin ánimo de lucro: no hay anuncios ni venta de datos a terceros.

La app recopila una cantidad mínima de metadatos. De hecho, se ha hecho público que la información que puede entregar ante un requerimiento legal se reduce prácticamente a la fecha de registro y a la última conexión aproximada. Listas de contactos, quién habla con quién o el contenido de los mensajes se quedan en tu dispositivo, no en la nube.

Funciones de Signal: todo lo que puede hacer la app

En sus inicios, Signal era poco más que un cliente para enviar mensajes de texto cifrados entre dos personas, muy apreciado por periodistas e investigadores que necesitaban canales confidenciales. Hoy en día, esa limitación es historia: la app ofrece casi todo lo que esperarías de cualquier plataforma de mensajería conocida.

Por un lado, permite conversaciones uno a uno y chats grupales con decenas de participantes. En ellos puedes enviar texto, emojis, stickers personalizados, notas de voz, imágenes en alta calidad y todo tipo de documentos y archivos.

También incluye llamadas de voz y videollamadas cifradas, tanto entre dos personas como en grupos. Las llamadas pueden protegerse adicionalmente mediante verificación de seguridad entre contactos (escaneando un código QR o comparando un número de seguridad) para asegurarte de que nadie está interceptando la comunicación.

Por supuesto, Signal es compatible con mensajes de voz, fotos y vídeos que se envían y reciben de forma muy similar a WhatsApp o Telegram, pero manteniendo el cifrado de extremo a extremo sin excepciones. Ni siquiera los stickers que usas quedan expuestos a terceros.

La app está disponible para Android, iOS y también para escritorio (Windows, macOS y Linux). El cliente de ordenador se vincula mediante un código QR que escaneas con el móvil y, a partir de ahí, puedes escribir desde el PC con la misma seguridad. El teléfono sigue siendo el dispositivo principal que controla los accesos.

Trucos y ajustes de Signal para exprimir la seguridad

Más allá de las funciones “básicas”, Signal esconde una buena colección de opciones de privacidad avanzadas y pequeños trucos con los que puedes blindar todavía más tus conversaciones y organizar mejor tu día a día.

Un primer paso fundamental es controlar la exposición de tu número de teléfono. Desde Ajustes > Privacidad > Número de teléfono puedes decidir quién puede ver tu número y quién puede encontrarte buscándolo. Lo más prudente suele ser configurarlo como “Nadie” y dejar que la gente te añada por nombre de usuario.

Precisamente para eso existe el alias o nombre de usuario. Signal genera uno por defecto, pero puedes crear uno personalizado mezclando letras y números, de forma que puedas compartirlo sin necesidad de dar tu número real. Es una forma sencilla de ganar anonimato y no tener que repartir tu teléfono por todos lados.

En el apartado de organización, Signal permite crear carpetas o categorías de chats para tener las conversaciones más ordenadas. Puedes, por ejemplo, agrupar todos los grupos ruidosos en una carpeta y silenciarlos de golpe, o separar lo personal de lo laboral para no volverte loco con las notificaciones.

Otra función estrella son los mensajes temporales o que desaparecen. Puedes activar un temporizador en cada chat para que los mensajes se borren automáticamente pasado un tiempo: desde 30 segundos hasta semanas, o un valor personalizado. Esto reduce tu huella digital si pierdes el móvil, te lo roban o prestas el dispositivo a alguien.

Si te preocupa que cualquiera pueda cotillear lo que haces en el móvil, tienes la opción de bloquear la aplicación con huella, PIN o biometría o activar el modo de aislamiento. Aunque el teléfono esté desbloqueado, para entrar en Signal habrá que pasar una capa extra de seguridad. Este ajuste está en Ajustes > Privacidad > Bloqueo de pantalla.

Para quienes no quieren vivir pendientes de los famosos “ticks azules”, Signal permite desactivar los indicadores de lectura. Así nadie sabrá si has leído un mensaje… pero tú tampoco verás si otros leen los tuyos. Es un cambio de todo o nada que puedes modificar en cualquier momento en el menú de privacidad.

Una función muy potente son los enlaces de llamada y videollamada. Desde la pestaña de Llamadas puedes generar un enlace para que otras personas se unan a una llamada cifrada, incluso si les pasas el enlace por otra plataforma. Además, puedes forzar que el organizador tenga que aprobar la entrada de cada nuevo participante.

Por último, para uso personal, Signal cuenta con un chat muy útil de “notas privadas” contigo mismo. Te sirve para guardar enlaces, ideas rápidas, fotos o recordatorios en un espacio cifrado y sincronizado entre tus dispositivos. Lo activas iniciando un chat con tu propio número dentro de la app.

Otras aplicaciones de mensajería seguras: alternativas más allá de Signal

Aunque Signal sea la referencia, el panorama de la mensajería privada está lleno de opciones que merecen la pena según lo que busques: máximo anonimato, entorno empresarial, descentralización o integración en ecosistemas existentes. Conviene conocerlas para elegir bien según tus necesidades.

Wire, por ejemplo, es una solución con sede en Suiza que nació en 2014 y está muy orientada tanto a usuarios particulares como, sobre todo, a equipos y empresas. Ofrece cifrado de extremo a extremo siempre activo para mensajes, llamadas y archivos, con secreto hacia adelante y código abierto tanto en clientes como en servidor.

Una de sus ventajas es que permite registrarse con correo electrónico en lugar de número de teléfono, algo interesante si quieres desvincular aún más tu identidad real. Además, cuenta con versiones autohospedadas para que las organizaciones puedan desplegar la plataforma en su propia infraestructura y mantener el control total de los datos.

Threema es otra alternativa de peso, también con corazón suizo, que apuesta por la privacidad radical y el mínimo rastro. Aquí no necesitas ni número de teléfono ni email: la app genera un identificador aleatorio (ID Threema) y puedes pagarla incluso con métodos anónimos. Es de pago único, pero a cambio no hay publicidad ni necesidad de monetizar datos.

En Threema todo está protegido con E2EE, mensajes que desaparecen y limitación máxima de metadatos. Tus conversaciones se almacenan localmente en el dispositivo y los mensajes se borran del servidor una vez entregados. Los clientes son de código abierto; el servidor, eso sí, sigue siendo propietario, así que hay que confiar en la empresa en ese punto.

Session representa la vía del anonimato extremo y la descentralización. No requiere teléfono ni correo; te da un ID largo alfanumérico. El tráfico se enruta a través de una red de nodos tipo onion (similar a Tor) montada sobre la blockchain de Oxen, lo que complica muchísimo rastrear quién habla con quién o desde dónde.

Esta arquitectura hace que Session sea una de las opciones más difíciles de rastrear, con muy pocos metadatos disponibles. A cambio, puede sufrir pequeños retrasos en la entrega de mensajes y su protocolo, a día de hoy, no ofrece secreto perfecto hacia adelante, algo importante a tener en cuenta para comunicaciones ultra sensibles.

En el ámbito descentralizado también destaca Element, cliente del protocolo Matrix. Matrix permite federar servidores, de forma que puedes escoger en qué servidor confiar (o incluso montar el tuyo) y aun así hablar con usuarios de otros servidores. Element ofrece chats, voz y vídeo, con posibilidad de activar E2EE según la sala.

Olvid, desarrollada en Francia, se ha ganado un hueco gracias a que no exige ni teléfono ni correo y a que ha pasado certificaciones de seguridad oficiales como la CSPN de la ANSSI. No muestra publicidad ni empuja contenidos promocionales, por lo que ha calado especialmente en contextos profesionales y de administraciones públicas.

Apps masivas: WhatsApp, Telegram, Viber e iMessage bajo la lupa

Más allá de las herramientas “de nicho”, hay plataformas gigantescas que usamos a diario y que también presumen de usar cifrado de extremo a extremo. Conviene ver dónde brillan y dónde flojean en materia de privacidad y tratamiento de datos.

WhatsApp, con miles de millones de usuarios, usa el protocolo Signal para cifrar mensajes, llamadas, fotos y vídeos por defecto. Ofrece verificación en dos pasos (PIN adicional) y la opción de activar copias de seguridad cifradas E2EE en iCloud o Google Drive para que el historial guardado también quede protegido.

El gran pero de WhatsApp es el volumen de metadatos que comparte con Meta: quién habla con quién, desde qué zona, durante cuánto tiempo, qué dispositivo usas, etc. Aunque el contenido cifrado no se vea, la empresa explota esa información para segmentación publicitaria y funciones empresariales, lo que genera muchas dudas de privacidad.

Telegram, por su parte, es la gran alternativa en cuanto a funciones y flexibilidad. Tiene canales públicos, grupos masivos, bots, almacenamiento en la nube y una experiencia muy pulida. Sin embargo, el E2EE solo se activa en los llamados “chats secretos” individuales que debes iniciar a mano. El resto de conversaciones usan cifrado cliente-servidor.

Eso significa que los servidores de Telegram ven el contenido de tus chats normales, y aunque la empresa afirma protegerlos y no basar su modelo en vender datos, el historial se almacena en la nube y puede estar sujeto a presiones legales. Además, Telegram usa su propio protocolo MTProto, propietario, lo que obliga a confiar en su diseño.

Viber es muy conocido en ciertas regiones y ofrece E2EE por defecto en chats individuales, grupos y llamadas, basándose parcialmente en tecnologías abiertas. Tiene detalles interesantes como la posibilidad de ocultar chats con un PIN y borrar mensajes enviados de todos los dispositivos de la conversación, no solo del tuyo.

El problema es que Viber recopila y utiliza bastantes datos personales: acceso a tu agenda (subiendo los contactos a sus servidores), dirección IP, e incluso, si lo permites, datos GPS precisos. Además, usa tu información para comunicaciones comerciales y marketing, propias y de terceros.

En el ecosistema Apple, iMessage juega un papel curioso: entre dispositivos Apple, todo va cifrado de extremo a extremo, con claves nuevas para cada mensaje y, si activas la “Protección avanzada de datos”, también las copias de seguridad de iCloud quedan E2EE, de modo que ni Apple puede descifrarlas.

Sin embargo, cuando escribes a un número que no es de Apple, iMessage baja al nivel de SMS sin cifrar. Además, su código es cerrado y se han descubierto vulnerabilidades en el pasado (como los ataques “zero-click” o casos de spyware tipo Pegasus), aunque Apple suele parchearlas rápido.

Otras propuestas seguras menos conocidas

Además de las grandes y de las “top” de privacidad, hay un ecosistema de apps que cubren casos de uso muy concretos o mercados específicos, en las que el cifrado y el control de datos también son protagonistas.

Wickr, ahora integrada en AWS, ofrece una plataforma muy orientada a comunicación empresarial y gobernamental, con mensajes que se autodestruyen, eliminación segura de restos en disco (“shredder”) y controles avanzados para administradores. La versión puramente de consumo se retiró, así que hoy es básicamente un producto corporativo de pago.

Cyphr, Dust o Silence son ejemplos de soluciones que han apostado por mensajes efímeros, cifrado fuerte y anonimato, con diferentes matices. Dust, por ejemplo, se centró en enviar “polvo” (mensajes que desaparecen muy rápido y ni siquiera se guardan en el almacenamiento permanente del teléfono), e incluso avisa de capturas de pantalla.

En el terreno europeo hay también apuestas como Olvid, Skred o variantes empresariales de Threema que enfatizan entornos regulados, cumplimiento del RGPD, servidores bajo jurisdicciones específicas y la posibilidad de pagar por el servicio para evitar el incentivo de explotar datos.

Consejos prácticos para proteger tus chats, uses la app que uses

Por muy robusta que sea la aplicación, la seguridad siempre va a depender en gran parte de cómo cuidas tu dispositivo y tus hábitos digitales. Si el móvil está infectado o cualquiera puede desbloquearlo, ningún cifrado te va a salvar.

Lo primero es usar contraseñas y bloqueos sólidos en el teléfono: nada de PIN de cuatro dígitos tipo 0000 o la fecha de cumpleaños. Siempre que puedas, combina un código largo con huella o reconocimiento facial. Y, si la app lo permite (como Signal, WhatsApp o Threema), activa un PIN o bloqueo adicional solo para la aplicación. Y, si puedes, cambia el PIN de la tarjeta SIM.

Evita, en la medida de lo posible, enviar información sensible a través de Wi‑Fi pública sin protección. Redes abiertas de cafeterías, aeropuertos o centros comerciales son un imán para atacantes que quieran esnifar tráfico. Si no te queda otra que usarlas, conéctate a través de una VPN fiable para cifrar toda la conexión.

Acostúmbrate a tirar de mensajes que desaparecen en aquellas conversaciones donde no necesitas conservar el historial para siempre. Muchas apps (Signal, WhatsApp, Telegram en chats secretos, Threema, Viber, etc.) ofrecen temporizadores; solo con activarlos reduces muchísimo lo que un tercero podría ver si se hace con tu móvil desbloqueado.

Mantén siempre el sistema operativo y las apps actualizadas. Gran parte de los ataques que vemos en el mundo real se apoyan en vulnerabilidades ya conocidas para las que existen parches. Si dejas de actualizar, te quedas expuesto a fallos que podrían permitir instalar spyware, registrar tus teclas o hacer capturas de pantalla en tu nombre.

Dedica un minuto a revisar las opciones de copia de seguridad de cada app. Si guardas tus chats en la nube sin cifrado de extremo a extremo, todo el esfuerzo del cifrado durante el transporte se pierde. Siempre que la aplicación lo ofrezca, activa las copias de seguridad cifradas con tu propia clave; si no, plantéate no hacer backups de los mensajes más delicados.

Finalmente, desconfía de enlaces raros, archivos adjuntos extraños y contactos que no conoces. Muchas estafas y malware entran por un simple clic inocente en un enlace que te llega por chat. Si un desconocido te pide datos personales o financieros, líbrate de la conversación sin contemplaciones.

En un escenario donde casi todos usamos alguna forma de mensajería instantánea a todas horas, contar con una app que priorice el cifrado, minimice la recogida de datos y ofrezca funciones como mensajes efímeros, registro anónimo o verificación de seguridad marca una diferencia enorme; combinada con buenos hábitos (bloqueo del dispositivo, actualizaciones al día, prudencia con redes públicas y backups cifrados), esa elección te permite chatear, llamar y trabajar a diario con bastante tranquilidad, sin renunciar a la comodidad pero evitando que tu vida entera quede expuesta en cada mensaje.