La aplicación de mensajería Signal dio el salto a la popularidad en enero del 2021, cuando WhatsApp cambió su política de privacidad. Tras la directa recomendación de Elon Musk a usar Signal, millones de usuarios descargaron la aplicación, lo que tuvo como resultado una serie de problemas técnicos temporales en el servicio.
Sin embargo, los expertos en ciberseguridad seguimos la pista de Signal desde hace mucho tiempo y no es de extrañar; ya que sus desarrolladores han dedicado años a pulir la privacidad y seguridad de la aplicación. A continuación te contaremos todo lo que han logrado y cómo fortalecer aún más la seguridad en Signal.
Las funciones de Signal
Las funciones disponibles a todos los usuarios de Signal incluyen el cifrado de extremo a extremo, el almacenamiento seguro de datos y la capacidad para ver el código de Signal.
El cifrado de extremo a extremo, un pilar de la privacidad
Una de las ventajas indiscutibles de Signal es su función predeterminada de cifrado de extremo a extremo. Esto significa que solo las partes que comparten mensajes entre ellos pueden leerlos, y que nadie (ni siquiera los desarrolladores de la aplicación) pueden escuchar las llamadas individuales o grupales. Con el cifrado de extremo a extremo se consigue mejorar la seguridad durante el intercambio de los mensajes.
En muchos sentidos, ha sido gracias a Signal que el cifrado de extremo a extremo ha conseguido hacerse tan popular entre las aplicaciones de mensajería. Incluso la competencia, WhatsApp, Facebook Messenger y Skype, utilizan el protocolo de Signal para una comunicación segura. Pero, en comparación, Signal cifra mucho más datos.
A diferencia de Telegram, cuyo cifrado de extremo a extremo solo funciona en los famosos chats secretos para dos usuarios, Signal también cifra los chats de grupo y las llamadas de extremo a extremo. Es más, el servicio no almacena información del grupo como los participantes, el título o el avatar.
Los desarrolladores de Signal también protegen los metadatos del chat (información adicional sobre quién escribió a quién), los cuales no pueden ser menos delicados que los contenidos del chat y que son una fuente frecuente de filtraciones de información confidencial.
Por último, Signal también cifra la información del perfil de usuario. Solo los usuarios que apruebes (contactos, personas a las que les hayas escrito y aquellos a quienes otorgues permiso expreso para ver los datos de tu cuenta) pueden ver tu nombre, avatar y estado.
La privacidad de los contactos y los enclaves seguros
Signal utiliza los llamados enclaves seguros, un almacenamiento aislado en sus servidores al que ni siquiera los propietarios del servidor tienen acceso. Debido a este aislamiento, puedes saber quién de entre tus contactos utiliza Signal sin revelar tu agenda a los desarrolladores. La aplicación envía una solicitud cifrada al enclave; este último contrasta tus contactos con los números de usuarios registrados y devuelve una respuesta cifrada. Ningún otro ser vivo podrá ver el contenido de tu solicitud.
La política de transparencia
Como un proyecto de fuente abierta, Signal facilita su código de forma gratuita, de manera que cualquier usuario con habilidades tecnológicas puede leer o construir un código para el software del servidor de Signal, las aplicaciones de Android y iOS y las versiones de escritorio para Windows, mac OS y Linux para asegurarse de que no contengan puertas traseras que proporcionarían acceso a datos sensibles de los usuarios.
La configuración de Signal
Más allá de la seguridad inherente de la aplicación, Signal permite que los usuarios opten por una mayor privacidad y seguridad con varias configuraciones.
El PIN de Signal
Puedes usar tu PIN de Signal para recuperar tu perfil, así como las configuraciones y contactos que guardes en la aplicación (es decir, contactos que no estén en tu agenda) y la lista de tus contactos bloqueados, en caso de que pierdas tu dispositivo o reinstales la aplicación.
¿Esto significa que tus datos en realidad están almacenados en los servidores de Signal y quedan accesibles para los desarrolladores o ciberdelincuentes? Sí y no. Sí, la información en realidad está almacenada en los servidores. Pero no, no puede robarse porque está cifrada y guardada en los enclaves seguros antes mencionados y la única opción de acceder a ella es mediante ese PIN que solo tú conoces.
La aplicación indica a los usuarios que configuren un PIN cuando se registran, después puedes cambiarlo en los ajustes. En el caso de que no confíes lo suficiente en el PIN y en los enclaves, puedes desactivar la función, ya sea durante el registro o mediante los ajustes. Sim embargo, si lo haces, cuando elimines la aplicación también estarás borrando todos los datos que almacenaste en tu dispositivo, incluidos los contactos que no están en tu libreta de contactos.
De la misma forma, si no cuentas con un PIN, cualquiera podría registrarse en Signal usando tu número de teléfono, por ejemplo mediante la técnica de suplantación de la tarjeta SIM. Lo mismo podría suceder si no has utilizado el número durante el tiempo necesario para que se desconecte y se le asigne a otra persona.
Los ajustes de privacidad
Para proteger a tus contactos de cualquier persona que pueda hacerse con tu smartphone, te recomendamos activar la función del bloqueador de pantalla en los ajustes de la aplicación. Una vez activada, necesitarás utilizar el mismo código, huella digital o reconocimiento facial para acceder a la aplicación, de la misma forma que para desbloquear el teléfono.
De forma predeterminada, la aplicación no se bloquea cuando la dejas en segundo plano, así que asegúrate de cambiar esa configuración. Tanto los usuarios de Android como los de iOS pueden establecer una duración del tiempo de espera del bloqueo de pantalla en la configuración de privacidad o elegir Ninguno. Una vez bloqueado, Signal requerirá un código, huella digital o reconocimiento facial cada vez que regreses a la aplicación.
Los usuarios de Android, además de depender de un tiempo de inactividad, pueden también bloquear la aplicación de forma manual desde la barra de notificaciones.
La versión de Android de Signal presenta otra función de privacidad útil en los ajustes: el teclado incógnito. Si la activas, tu smartphone ya no aprenderá tus palabras y frases nuevas y de uso más frecuente y te las pedirá durante el uso, lo que significa que la aplicación del teclado no procesará ni guardará el texto que escribas. El teclado incógnito podría no funcionar con algunos dispositivos, en cuyo caso la aplicación te advertirá cuando intentes activar la función.
Por último, podrás elegir si quieres que tus contactos vean si has leído un mensaje entrante o estás escribiendo texto. De forma similar a otras aplicaciones de mensajería, una vez que desactives la opción, no podrás recibir esta misma información sobre otros usuarios.
Los dispositivos enlazados
Puedes chatear en Signal en tu smartphone, tablet, y ordenador al mismo tiempo; solo tienes que enlazar los dispositivos adicionales a tu cuenta.
Para ello, dirígete a Dispositivos enlazados y pulsa en + para activar la cámara y recibir y un código QR para escanear. A continuación, ejecuta Signal en el segundo dispositivo (por ejemplo, tu PC) y sigue las instrucciones.
Verás una lista de todos tus dispositivos enlazados en los ajustes de la aplicación. Te recomendamos verificar esta lista de vez en cuando para detectar dispositivos desconocidos, es decir, usuarios no autorizados. De igual forma, no te olvides de desvincular cualquier dispositivo que ya no necesites.
Las copias de seguridad de los chats
Signal no crea copias de seguridad de los chats por defecto, pero puedes activar la función de manera que puedas recuperar tus chats de ser necesario. Sigue las instrucciones en los ajustes y asegúrate de guardar la contraseña de 30 caracteres que la aplicación crea para ti. Si la pierdes, tu copia de seguridad será inútil.
Signal almacena las copias de seguridad en tu dispositivo, de forma que, si necesitas recuperar tus datos en un nuevo teléfono, aún necesitarás acceso a tu antiguo dispositivo. Esto significa que si pierdes tu smartphone o se rompe, no podrás restaurar tus chats.
Los ajustes avanzados (para los más precavidos)
Estas opciones ocultarán por completo tus actividades de mensajería de ojos curiosos.
- En Chats, desactiva la recuperación de la vista previa de enlaces en tus mensajes. Esto evitará que Signal envié una solicitud web adicional al sitio web referenciado, lo que de otra manera lo dejaría disponible para tu proveedor de servicios de Internet.
- En los ajustes de privacidad avanzados, configura las llamadas de voz para conectarte mediante los servidores de Signal en lugar de conectarte directamente a tus contactos. Hacerlo oculta tus direcciones IP, lo que será útil en ciertas circunstancias, aunque los desarrolladores advierten que esto podría reducir la calidad de la llamada.
- Activa un proxy para evitar una posible vigilancia de una forma aún más eficiente. Aquí, un proxy es un elemento de protección entre tu dispositivo y los servidores de la aplicación (el sitio web del servicio contiene instrucciones detalladas). Con un proxy, incluso Signal no sabrá nada sobre tu dirección IP. Esta opción también será útil en países que bloquean Signal.
Recomendaciones finales
Ahora que ya has asegurado la privacidad de tu información personal en Signal, incluidos los chats, los metadatos y la información del perfil, asegúrate de que también has tomado las medidas necesarias para evitar el acceso físico o remoto no autorizado a tu dispositivo. Bloquea siempre tu smartphone, actualiza todas las aplicaciones y el sistema operativo de forma oportuna e instala una solución de seguridad de confianza. Y, si utilizas otras aplicaciones de mensajería, no te olvides de configurar Discord y Telegram para obtener la máxima seguridad y privacidad.