La aplicación de mensajería segura Signal ha existido durante años. Pero gracias a la mayor conciencia de la necesidad de privacidad, la aplicación recientemente explotó con nuevos usuarios.
Todos, desde Elon Musk hasta Edward Snowden, han estado hablando de Signal. Amigos, familiares y seguidores recibieron recomendaciones para crear cuentas en esta aplicación de mensajería, haciendo que nos preguntemos: ¿qué es Signal? Y lo que es más importante, ¿Signal es seguro?
Entonces, ¿estás pensando en unirte a Signal? En pocas palabras: si te importa la privacidad, es una buena idea. Esto es lo que necesitas saber.
Indice
¿Qué es Signal?
Signal es una aplicación gratuita de mensajería y conversación de voz centrada en la privacidad que se puede usar en teléfonos inteligentes Apple y Android y a través del escritorio. Todo lo que necesitas es un número de teléfono para unirte. Puedes enviar mensajes de texto o hacer llamadas de voz o video con amigos, ya sea uno a uno o en grupos, y usar reacciones emoji o pegatinas como en otras aplicaciones. Pero hay una gran diferencia: Signal es realmente privada.
Los orígenes de la aplicación de mensajería Signal se remontan al 2010, cuando una empresa ahora desaparecida con el nombre de Whisper Systems lanzó versiones beta de RedPhone y TextSecure. La primera era una aplicación de llamadas de voz encriptada, mientras que la segunda consistía en un programa de mensajes de texto encriptados. Whisper Systems fue una startup de seguridad móvil empresarial fundada por Stuart Anderson, un especialista en robótica, y Moxie Marlinspike (nombre real Matthew Rosenfeld, un investigador de seguridad.
La famosa plataforma de redes sociales Twitter adquirió Whisper Systems en noviembre de 2011. Poco después, RedPhone dejó de estar disponible, lo que generó fuertes críticas del público debido a la relevancia de la aplicación en el campo de la ayuda humanitaria.
En 2018, Brian Acton, fundador de WhatsApp, donó 50 millones de dólares para crear la Signal Foundation, que ahora dirige Signal. Acton se unió a la misión de crear un servicio de mensajería verdaderamente privado después de que Facebook adquiriera WhatsApp.
¿Cómo funciona?
En realidad, usar la aplicación Signal es bastante simple. Puedes descargarla en tu iPhone, Android o computadora de escritorio de forma gratuita para comenzar a enviar mensajes a tus amigos que tienen Signal. Regístrate solo con tu número de teléfono, y la aplicación podrá escanear tus contactos para ver qué números en tu directorio telefónico también son usuarios de Signal.
Luego, puedes usar la aplicación en tu teléfono o computadora. Si inicias una conversación en tu teléfono, puedes usar un código QR para iniciar sesión en tu computadora portátil y recogerlo allí, pero no podrás ver los mensajes anteriores (los que enviaste desde tu teléfono).
Los mensajes se almacenan en tu dispositivo real, no en el mágico espacio digital de la aplicación. Eso es porque Signal usa un protocolo de código abierto para encriptar todo, desde textos hasta videos, notas de voz y fotos.
En tecnología, eso significa que puedes verificar el código fuente manteniendo tus mensajes de Signal privados para ti mismo en GitHub. En lenguaje no tecnológico, significa que se supone que tus mensajes siguen siendo privados siempre que seas la única persona con acceso a tu dispositivo, serás el único que los verá.
¿Es segura la aplicación Signal?
Anteriormente conocido como TextSecure Protocol, el Signal Protocol se desarrolló en 2013, el mismo año en que Moxie Marlinspike fundó Open Whisper Systems. Es un protocolo criptográfico no federado diseñado para proporcionar cifrado de extremo a extremo a varios canales de comunicación, a saber, mensajes instantáneos, llamadas de voz y videollamadas. Su uso principal es dentro de la aplicación Signal del mismo nombre.
Varias otras aplicaciones de mensajería de código cerrado afirman haber implementado el Protocolo de señal para respaldar sus novedosas funciones de chat secreto. Los ejemplos más conocidos incluyen:
- Facebook Messenger
- Skype
El protocolo de cifrado de mensajes de Signal se basa en dos algoritmos diferentes y un protocolo de acuerdo de claves, como se indica en la página de información técnica en el sitio web oficial de la aplicación:
- Algoritmo de cifrado de mensajes Sesame
- Algoritmo de gestión de llaves de doble trinquete
- Protocolo de acuerdo clave Diffie-Hellman de curva elíptica
Protocolo Diffie-Hellman
Diffie-Hellman de curva elíptica (ECDH) es un protocolo de acuerdo de claves que permite a dos partes crear un secreto compartido a través de un canal inseguro al otorgar a cada una un par de claves público-privada de curva elíptica.
Un secreto compartido es un término perteneciente a la criptografía que se refiere a un dato que solo conocen los participantes involucrados en una comunicación. Puede usarse directamente como clave o para derivar otra clave.
Según la página de información técnica en el sitio web de Signal, la aplicación hace uso del protocolo de acuerdo de claves Diffie-Hellman de dos maneras, cada una detallada en sus documentos.
A través de formatos de clave pública y privada inicialmente definidos para las funciones Diffie-Hellman de curva elíptica X25519 y X448, el servicio crea y verifica firmas compatibles con EdDSA conocidas como XEdDSA. La misma sección también describe VXEdDSA, o el proceso de extender firmas XEdDSA y transformarlas en funciones aleatorias verificables, o VRF para abreviar.
Un documento separado detalla cómo la aplicación Signal usa el protocolo de acuerdo de claves X3DH, que significa Extended Triple Diffie-Hellman. Mediante el establecimiento de una clave secreta compartida entre el remitente y el receptor que se verifican mutuamente a través de claves públicas, X3DH ofrece negación criptográfica y reenvío secreto al chat.
Algoritmo de trinquete doble
Anteriormente conocido como Axolotl Ratchet, el algoritmo de gestión de claves Double Ratchet fue desarrollado por Moxie Marlinspike en colaboración con el ingeniero de criptografía Trevor Perrin en 2013. Su función principal es proporcionar cifrado de extremo a extremo a la mensajería instantánea como parte de un protocolo criptográfico.
Las partes obtienen nuevas claves para cada mensaje de Double Ratchet, de modo que las claves anteriores no se puedan calcular a partir de las posteriores. Las partes también envían valores públicos a Diffie-Hellman adjuntos a sus mensajes. Los resultados de los cálculos de Diffie-Hellman se mezclan con las claves derivadas para que las claves posteriores no se puedan calcular a partir de las anteriores. Estas propiedades brindan cierta protección a los mensajes cifrados anteriores o posteriores en caso de que se comprometan las claves de una parte.
Algoritmo Sesame
Sesame es un algoritmo que gestiona las sesiones de cifrado de mensajes en un entorno multidispositivo y asincrónico. Fue diseñado para usarse en conjunto con las sesiones de chat encriptadas de extremo a extremo de Double Ratchet que se crean a través del protocolo de acuerdo de claves X3DH mencionado anteriormente.
¿Signal es realmente privada?
El protocolo de cifrado de la aplicación de mensajería instantánea es indudablemente sólido e influyente, pero ¿Signal también es seguro en lo que respecta a la confidencialidad? ¿Qué datos personales almacena y cuánto comparte con terceros o con las fuerzas del orden? Echemos un vistazo a la Política de privacidad de la aplicación como se describe en el sitio web oficial de Signal y averigüémoslo.
Se requiere un número de teléfono válido al crear una cuenta de Signal. Completar otros bits de información de perfil personal, como el nombre o la imagen, es opcional. Si eliges agregar estos detalles, se cifrarán de extremo a extremo como cualquier otra comunicación en la plataforma.
Como otra característica opcional, puedes optar por sincronizar los contactos en tu libreta de direcciones con Signal para descubrir si alguno de ellos está registrado en la aplicación. Esta información se codifica criptográficamente cuando se comunica al servidor.
Los mensajes que envía a través de Signal no se pueden descifrar ni acceder de ninguna otra manera, ni por empleados de la empresa ni por terceros relacionados. Los servidores almacenan solo los mensajes que están a la espera de ser enviados a dispositivos temporalmente fuera de línea. Tu historial de mensajes personales se almacena únicamente en el dispositivo en el que está instalada la aplicación.
Tokens de autenticación, fichas de empuje, llaves y otros materiales necesarios para la transmisión de mensajes y de llamadas se almacenan en los servidores de Signal. Sin embargo, la aplicación limita estos recursos al mínimo requerido para que sus servicios funcionen correctamente.
Finalmente, Signal User Support almacena y usa cualquier dato personal que pueda compartir para investigar mejor tu problema y luego contactarte con una solución.
¿Qué datos comparte con terceros?
En su Política de privacidad, Signal revela que la aplicación trabaja con algunos terceros para brindar servicios como la entrega de códigos de verificación al momento de la autenticación. Además, la aplicación se puede utilizar en conjunto con otros terceros como YouTube, Spotify, Giphy y más. En tales casos, la Política de privacidad del tercero respectivo rige cómo se almacenan y comparten los datos.
Signal también se reserva el derecho a compartir sus datos con las autoridades legales pertinentes cuando se le solicite formalmente. Además de esto, el servicio está dedicado a proteger sus activos y los de sus usuarios de daños, lo que le permite usar algunos de sus datos. Además, es posible que la aplicación divulgue cierta información si es necesario en la investigación de un incumplimiento de los Términos y condiciones, así como para detectar o prevenir fraudes y otros problemas de seguridad.
Signal vs. Whatsapp
Tanto Signal como WhatsApp están encriptados de extremo a extremo utilizando la misma tecnología. Eso significa que el contenido de los mensajes que envías y las llamadas que tienes son privados. Sin embargo, Facebook recopila mucha otra información en forma de estadísticas de uso, metadatos y más. Y ya no hay forma de optar por no participar.
Signal no tiene tantas funciones de personalización sofisticadas como WhatsApp, como fondos. Pero cuando se trata de verdadera privacidad, no hay comparación.
Otra aplicación que está ganando popularidad es Telegram. Telegram dice que también se trata de privacidad, pero en realidad tiene muchas desventajas. Los mensajes en Telegram no están realmente encriptados de un extremo a otro de forma predeterminada. Además, el hecho de que los grupos privados tengan un tamaño ilimitado, se puedan unir a través de un enlace y no estén explícitamente moderados lo ha convertido en un semillero de contenido tóxico e ilegal, como el terrorismo y la pornografía de venganza. Signal tampoco modera el contenido, pero limita los grupos a 1,000, y se trata más de comunicarse con personas que son contactos reales que de unirse a grupos de extraños como en WhatsApp y Telegram.
Consejos de seguridad al usar Signal
La mensajería instantánea se ha convertido en un elemento básico de la oficina moderna, pero ¿es Signal lo suficientemente seguro para las empresas?
Signal también se puede usar para trabajar sin tener que pasar por un proceso de registro diferente o comprar complementos. Por lo tanto, tus comunicaciones comerciales pueden beneficiarse de sus chats cifrados de extremo a extremo y los empleados pueden compartir información esencial de forma segura. No obstante, impulsar las defensas digitales debería ser una prioridad cuando se trabaja con datos confidenciales o se revelan datos personales en línea.
Aquí hay cinco consejos de seguridad de Signal que debes considerar independientemente de si estás utilizando la aplicación de mensajería instantánea para interacciones personales o comerciales.
Bloquea tu dispositivo móvil
Como se mencionó anteriormente, los chats de Signal están encriptados de un extremo a otro. Esto significa que ni los empleados de Signal ni los proveedores de servicios móviles pueden interceptar o leer los mensajes enviados a través de la aplicación.
Sin embargo, esto no evita que terceros malintencionados simplemente tomen el teléfono y abran la aplicación para leer conversaciones privadas. Por lo tanto, bloquear tu teléfono es esencial para la seguridad de tus chats de Signal y la información personal en general.
Dependiendo de la marca y el modelo de tu dispositivo móvil, puedes elegir dibujar un patrón, elegir una contraseña, escribir un PIN numérico o incluso autenticarse con datos biométricos como huellas dactilares o reconocimiento facial. También puedes elegir combinaciones de estos métodos de verificación en función de las funciones compatibles con el sistema operativo.
¿Quieres llevar tu ciberseguridad móvil un paso más allá? Cifra tu dispositivo Android y bloquea aplicaciones seleccionadas como Signal. Puedes encontrar estas funciones en la pestaña Seguridad de la Configuración de tu dispositivo. En cuanto a los usuarios de iOS, ten en cuenta que los iPhones y iPads generalmente cifran todos los datos automáticamente.
Ocultar mensajes de la pantalla de bloqueo
Signal muestra los mensajes no leídos como notificaciones en la pantalla de bloqueo de forma predeterminada. Si bien esto puede ser útil, también puede ser perjudicial para la seguridad de tu información. Nunca se sabe quién está cerca y se las arregla para echar un vistazo a tus conversaciones privadas.
Por lo tanto, deshabilitar las notificaciones de la pantalla de bloqueo para la aplicación Signal es otra forma en que puedes aumentar tus defensas digitales. También vale la pena ocultar los mensajes de la pantalla de bloqueo junto con la configuración de un método de autenticación sólido para dispositivos móviles.
Incluye estas especificaciones en tu política BYOD corporativa para asegurarte de que todos los dispositivos personales que se lleven a la oficina sean seguros.
Verifica la identidad de tus contactos
Como muchos otros canales digitales de comunicación, Signal también puede ser blanco de ataques man-in-the-middle. Por este motivo, debes confirmar la identidad de las personas con las que estás hablando. Afortunadamente, hacer esto es bastante simple, ya que la aplicación asigna a cada contacto una clave de verificación única. Para asegurarte de que tus contactos sean quienes dicen ser, puedes:
- Escanear su código QR,
- Verificar su secuencia única de 66 caracteres.
Además, la aplicación de mensajería instantánea Signal siempre mostrará una notificación cuando la clave de verificación de un contacto haya cambiado. Esto puede suceder por dos razones:
- Estás siendo el objetivo de un ataque de hombre en el medio,
- Tu contacto ha cambiado su dispositivo móvil.
Es por eso que verificar la identidad de tus contactos es fundamental para la seguridad de tus conversaciones, estén o no relacionadas con el trabajo. Este es otro punto que debe incluirse en la política BYOD de la empresa si se utiliza Signal en el trabajo.
Eliminar mensajes sensibles
Después de enviar o recibir un mensaje en una conversación de Signal con uno de tus contactos, las copias se almacenan solo en dos ubicaciones: tus respectivos dispositivos móviles y los de tu contacto. Esto sucede porque, a diferencia de otras aplicaciones de mensajería instantánea, Signal no almacena copias de tus mensajes en la nube. Esto significa que las posibilidades de que actores malintencionados se encuentren con tus interacciones digitales en el mundo en línea son escasas o nulas.
Sin embargo, ya hemos hablado de cómo alguien puede simplemente levantar tu teléfono o mirar por encima del hombro las notificaciones entrantes. La mejor manera de evitar que otros husmeen es eliminando los mensajes confidenciales. Esto es bastante simple de lograr. Para eliminar un mensaje individual, simplemente tócalo y elige la opción Eliminar en el menú emergente. En cuanto a eliminar una conversación completa, el proceso es similar en Android, mientras que en iOS implica deslizar la interacción seleccionada hacia la izquierda.
Filtrar el tráfico de DNS móvil
Filtrar tu tráfico móvil a nivel de DNS es crucial para una experiencia segura de mensajería instantánea. El filtrado de DNS agrega un paso adicional entre tu consulta e Internet, verificando cada solicitud que realizas.
En comparación con otras aplicaciones de mensajería instantánea que existen, Signal parece ofrecer una alternativa más segura para las interacciones digitales. Es una combinación ideal entre un protocolo de cifrado sólido que agrega negación criptográfica y secreto de reenvío a todos los chats y una política de privacidad que destaca el almacenamiento mínimo de datos por parte del servicio y los terceros asociados.
Sin embargo, ten en cuenta que Signal aún puede compartir la información que recopila sobre ti con las autoridades que lo soliciten. Como muchos otros servicios de este tipo, está obligado por ley cuando se realizan investigaciones criminales.