Ir al contenido principal

Signal: El estándar de oro en mensajería cifrada

Signal: cifrado E2E de máximo nivel, metadatos mínimos, código abierto completo y sin ánimo de lucro. Qué lo hace diferente y cómo usarlo.

Última actualización: 21 de abril de 2026

Resumen

  • Signal utiliza cifrado de extremo a extremo que nadie —ni siquiera Signal— puede descifrar.
  • Gestionado por una organización sin ánimo de lucro (Signal Foundation), financiada por donaciones, sin anuncios ni venta de datos.
  • Código abierto en todas las plataformas: investigadores de seguridad auditan el código de forma continua.
  • Almacena casi ningún metadato — incluso una citación judicial del FBI solo devuelve la fecha de creación de la cuenta y la última hora de conexión.
  • El Signal Protocol es tan confiable que WhatsApp, Facebook Messenger y Google RCS lo utilizan bajo licencia para su propio cifrado E2E.

¿Qué es Signal?

Signal es una aplicación de mensajería gratuita y de código abierto que te permite enviar mensajes de texto, voz, vídeo y archivos con el cifrado de extremo a extremo más sólido disponible para el público en general. Está desarrollada por la Signal Foundation, una organización sin ánimo de lucro estadounidense, y financiada íntegramente por donaciones — sin anuncios, sin venta de datos ni nivel de pago.

La aplicación está recomendada por todas las principales organizaciones de privacidad (EFF, Tor Project, Privacy International), es utilizada por periodistas, activistas, abogados e investigadores de seguridad de todo el mundo, y Edward Snowden la recomienda como el mensajero que usa a diario.

Qué hace diferente a Signal

La mayoría de los mensajeros «cifrados» protegen el contenido de tus mensajes en tránsito, pero exponen a su empresa gran cantidad de información sobre ti:

Propiedad Signal WhatsApp Telegram iMessage SMS
Cifrado de extremo a extremo por defecto ❌ (solo «Chats secretos») ✅ (Apple↔Apple)
Clientes de código abierto ✅ todas las plataformas parcial n/a
Servidor de código abierto n/a
Minimización de metadatos ✅ estricta ❌ compartidos con Meta ❌ retenidos parcial
Remitente sellado
Gestionado por una organización sin ánimo de lucro ❌ (Meta) ❌ (Apple) n/a
Financiado por anuncios o datos ❌ nunca ✅ (anuncios de Meta) parcial n/a n/a

La combinación de todas estas filas es lo que hace único a Signal. Otros mensajeros pueden igualar a Signal en la fortaleza del cifrado, pero ninguna alternativa mayoritaria ofrece el paquete completo de cifrado robusto, metadatos mínimos, código completamente abierto y un modelo de financiación estructuralmente alineado con la privacidad del usuario.

Cifrado de extremo a extremo, hecho correctamente

Signal utiliza el Signal Protocol (originalmente llamado Axolotl), un diseño de cifrado por capas construido a partir de tres primitivas criptográficas modernas:

  • Double Ratchet — genera una clave de cifrado nueva para cada mensaje, de modo que aunque una clave se vea comprometida de alguna manera, solo ese único mensaje queda expuesto
  • Secreto hacia adelante (forward secrecy) — los mensajes pasados permanecen seguros incluso si tu clave actual se filtra
  • Secreto hacia el futuro (post-compromise security) — si tu clave se filtra, el sistema se recupera automáticamente para que los mensajes futuros vuelvan a estar seguros
  • Denegabilidad — los mensajes prueban criptográficamente su autenticidad ante el destinatario, pero no ante terceros, por lo que nadie puede demostrar que enviaste un mensaje concreto a posteriori

El protocolo está tan bien diseñado que WhatsApp, Facebook Messenger, Google Messages y Skype lo utilizan bajo licencia para su propio cifrado de extremo a extremo. Cuando las aplicaciones de mensajería más grandes del mundo necesitan un cifrado en el que confiar, recurren al diseño de Signal.

La implementación criptográfica está publicada de forma abierta y ha sido auditada por investigadores de seguridad independientes — incluidas demostraciones matemáticas formales de las propiedades del protocolo publicadas en revistas científicas revisadas por pares.

Metadatos: donde Signal realmente gana

El cifrado protege el contenido de los mensajes. Los metadatos — con quién hablaste, cuándo, con qué frecuencia, desde dónde — suelen ser más reveladores que el propio contenido. El asesor general de la NSA Stewart Baker dijo célebremente: «Matamos a personas basándonos en metadatos».

La mayoría de los mensajeros retienen metadatos extensos. WhatsApp comparte con su empresa matriz Meta:

  • Tu lista de contactos
  • Con quién te comunicas y cuándo
  • Tu dirección IP en el momento del mensaje
  • Las membresías en grupos
  • El estado de «última vez visto»

Signal, por diseño, retiene casi nada:

  • ❌ sin lista de contactos (se cruza localmente en tu dispositivo usando hashes criptográficos)
  • ❌ sin registros de enrutamiento de mensajes
  • ❌ sin gráfico de quién habla con quién
  • ❌ sin listas de miembros de grupos en el servidor
  • ❌ sin marcas de tiempo de «última vez visto» almacenadas centralmente
  • ✅ fecha de creación de la cuenta
  • ✅ marca de tiempo de la última conexión (redondeada al día)

Cuando el FBI cita a Signal — y lo ha hecho en múltiples ocasiones — solo recibe esos dos últimos campos. Signal publica todas las solicitudes gubernamentales y sus respuestas en https://signal.org/bigbrother/. La disparidad entre lo que se solicita y lo que Signal puede entregar es llamativa.

Remitente sellado

Signal va más allá con una función llamada Remitente sellado (Sealed Sender). Normalmente, un servidor debe saber quién envía un mensaje para poder entregarlo. El Remitente sellado utiliza un sobre criptográfico para que incluso el servidor de Signal no pueda ver quién envió el mensaje — solo a quién va dirigido. El servidor queda reducido a un simple relé que no sabe quién habla con quién.

Por qué importa el código abierto

Signal publica el código fuente completo de todos los clientes (iOS, Android, escritorio, web) y del servidor. Esto significa que:

  • Investigadores de seguridad independientes pueden auditar cada línea
  • Puedes compilar Signal tú mismo y confirmar que el binario publicado coincide con el código fuente
  • Los errores y puertas traseras pueden ser detectados por cualquiera, no solo por la empresa
  • Bifurcaciones como Molly (un cliente Signal para Android con seguridad reforzada) demuestran que el diseño es sólido

Compáralo con los mensajeros de código cerrado, donde debes confiar en las afirmaciones de la empresa sobre lo que hace su aplicación. El código de Signal está disponible en https://github.com/signalapp para que cualquiera lo inspeccione.

La cuestión del número de teléfono

La mayor crítica a la privacidad de Signal ha sido históricamente la exigencia de un número de teléfono para registrarse. Esta es una concesión real: los números de teléfono facilitan el descubrimiento («ver cuáles de mis contactos existentes están en Signal»), pero también son información de identificación personal.

La respuesta de Signal, incorporada en 2024:

  • Nombres de usuario opcionales — puedes chatear con alguien usando un nombre de usuario en lugar de un número de teléfono, de modo que el destinatario nunca ve tu número
  • Interruptor de visibilidad del número de teléfono — puedes requerir contacto solo por nombre de usuario o enlace, ocultándote de las búsquedas «encuéntrame por número de teléfono»
  • Los números de teléfono siguen vinculados a la cuenta en el nivel interno — Signal los sigue usando para la verificación por SMS en el registro y la reverificación

Si tu número de teléfono es muy sensible (eres periodista protegiendo fuentes, activista en un entorno hostil, etc.), la práctica habitual es registrar Signal con un número secundario — Google Voice, Twilio, JMP.chat o una SIM en un teléfono separado — y usarlo como tu identidad en Signal. El número secundario debe permanecer accesible para la reverificación periódica.

Funciones prácticas que importan

Más allá del cifrado, Signal incluye funciones de privacidad que otros mensajeros o no tienen o tratan como algo secundario:

Mensajes que desaparecen

Establece un temporizador por conversación (de 5 segundos a 4 semanas) y los mensajes se eliminan automáticamente tras ser leídos por el destinatario. También puedes establecer un temporizador predeterminado para todos los nuevos chats. Fundamental para conversaciones sensibles: si tu teléfono es posteriormente incautado o comprometido, el historial eliminado desaparece.

Bloqueo de pantalla

Bloquea la propia aplicación Signal con el Face ID, Touch ID o PIN de tu dispositivo — de forma independiente al desbloqueo del dispositivo. Significa que un teléfono desbloqueado y entregado a otra persona no expone tus mensajes.

Nota personal

Signal incluye un chat «Nota personal» que funciona como un bloc de notas privado cifrado de extremo a extremo y sincronizado entre tus dispositivos. Útil para guardar códigos 2FA, enlaces que quieres leer más tarde o notas breves — todo con las mismas garantías de seguridad que los mensajes a otras personas.

Actualizaciones al estilo de historias

Las Historias de Signal funcionan como las de Instagram o WhatsApp, pero con el mismo cifrado E2E. Elige exactamente qué contactos pueden ver cada historia; nada se filtra a un feed ni a un sistema de recomendación.

Llamadas de voz y vídeo

Las llamadas de Signal están cifradas de extremo a extremo con el mismo protocolo, incluidas las llamadas grupales de hasta 50 participantes. La calidad de audio es buena y las llamadas se enrutan a través de los servidores de retransmisión de Signal para que ningún participante tenga que exponer su IP al otro.

Sincronización entre dispositivos

Signal funciona en varios dispositivos vinculados a la misma cuenta — tu teléfono (el principal), más aplicaciones de escritorio para macOS, Windows, Linux y una aplicación para iPad. Los dispositivos vinculados reciben los mensajes de forma independiente; no necesitas tener el teléfono en línea para que el escritorio funcione.

En qué no destaca Signal

Una valoración honesta de las concesiones:

  • Sin compatibilidad con SMS — la aplicación de Signal para Android eliminó el soporte de SMS en 2023. Algunos usuarios echan de menos la bandeja de entrada unificada.
  • Sin copias de seguridad en la nube por defecto en iOS — el historial de mensajes vive en tu dispositivo. Migrar a un teléfono nuevo requiere un proceso de transferencia; si pierdes el teléfono sin haberlo transferido, el historial de mensajes desaparece. (Esto también es una función de privacidad: no hay nada que un atacante pueda solicitar mediante citación judicial a iCloud.)
  • Base de usuarios menor que la de WhatsApp — puede que tus contactos aún no estén en Signal. A menudo hace falta una noticia viral (una gran filtración de datos, un momento Apple contra el FBI) para que llegan oleadas de nuevos usuarios.
  • Las funciones de grupo son básicas en comparación con los enormes canales públicos de Telegram. Signal no persigue explícitamente ese caso de uso — quiere chats grupales privados, no plataformas de difusión masiva.
  • La búsqueda de nombres de usuario es por coincidencia exacta — no puedes buscar «encontrar usuarios llamados Alicia», solo buscar un nombre de usuario específico que alguien te haya dado.

Quién debería usar Signal

La respuesta realista: cualquier persona que intercambie algún mensaje de texto con otro ser humano — incluso los más informales. El coste marginal de pasarse a Signal para un amigo con quien ya te comunicas por mensajes es prácticamente nulo, y obtienes cifrado de extremo a extremo, sin anuncios y un mensajero financiado para servirte a ti, no para monetizarte.

El argumento es aún más convincente para:

  • Periodistas que protegen fuentes
  • Abogados y clientes que necesitan comunicación privilegiada
  • Activistas, disidentes y trabajadores de derechos humanos en cualquier entorno
  • Cualquier persona que hable de salud, finanzas, relaciones, conflictos familiares — cualquier cosa que no quisieras que apareciese en una futura base de datos filtrada
  • Empresas que discuten secretos comerciales, fusiones y adquisiciones, decisiones de contratación — cualquier cosa que dañaría tu negocio si fuera exfiltrada

Para esos casos de uso, Signal es el mínimo imprescindible. Si no estás en Signal, estás difundiendo efectivamente tus conversaciones a través de la infraestructura de registro de una empresa financiada por publicidad.

Financiación y sostenibilidad

Signal es operada por la Signal Foundation, una organización sin ánimo de lucro estadounidense 501(c)(3). La financiación proviene de:

  • Donaciones individuales a través de signal.org/donate (la mayor fuente de ingresos)
  • Una donación de 50 millones de dólares del cofundador de WhatsApp Brian Acton en 2018
  • Pequeñas subvenciones de fundaciones centradas en la privacidad
  • Una reserva del patrimonio inicial de la fundación en 2018

Los costes operativos son reales — la directora ejecutiva de Signal, Meredith Whittaker, ha declarado públicamente que la fundación necesita aproximadamente 50 millones de dólares al año para mantener las operaciones actuales. Si usas Signal con regularidad, donar financia directamente a las personas que escriben el código. No hay publicidad ni ventas adicionales de las que preocuparse; la donación es el único modelo de ingresos.

La conclusión

Signal es el aspecto que tiene la mensajería privada cuando está diseñada por ingenieros de privacidad, auditada de forma abierta y gestionada por una organización que no necesita monetizarte. El cifrado es de primer nivel, la huella de metadatos es casi nula y el modelo de financiación garantiza que no haya ningún incentivo para cambiar eso nunca. El requisito del número de teléfono es una concesión real, pero que se ha reducido considerablemente con la incorporación de los nombres de usuario en 2024.

Si te tomas la privacidad en serio y no te importa una instalación de 30 segundos, Signal debería ser tu mensajero predeterminado. Si tus contactos aún no están en él, envíales una invitación — el efecto de red es lo único que separa a Signal de la ubicuidad, y cada nuevo usuario mueve la aguja.

Cómo empezar a usar Signal de forma privada

Una lista de verificación práctica para configurar Signal respetando tu privacidad en aproximadamente 10 minutos.

  1. Instala desde la fuente oficial:Descarga Signal desde signal.org/download (o la tienda oficial de tu plataforma — App Store, Google Play, F-Droid a través del repositorio de Signal). Evita sitios de APK de terceros — a veces distribuyen clientes modificados con puertas traseras.
  2. Usa un número de teléfono secundario si tu número es sensible:Si necesitas privacidad frente a tus contactos (p. ej. periodistas, activistas o cualquier persona que no deba conocer tu número real), registra Signal en una tableta o escritorio usando un número de Google Voice, Twilio u otro número VoIP. Mantén ese número activo y accesible, ya que Signal lo reverifica periódicamente.
  3. Configura un nombre de usuario para nuevos contactos:Ajustes → Perfil → Nombre de usuario. Elige un nombre de usuario para que otros puedan enviarte mensajes sin intercambiar números de teléfono. Desactiva la opción «Visibilidad del número de teléfono» para requerir contacto solo por nombre de usuario o enlace.
  4. Activa los mensajes que desaparecen por defecto:Ajustes → Privacidad → Temporizador de mensajes que desaparecen por defecto. Una semana es un valor predeterminado razonable — suficientemente largo para una conversación normal y suficientemente corto para que un dispositivo robado no filtre años de historial. También puedes ajustarlo por conversación.
  5. Bloquea la aplicación con biometría:Ajustes → Privacidad → Bloqueo de pantalla. Requiere Face ID, Touch ID o el PIN del dispositivo para abrir Signal incluso después de desbloquear el dispositivo. Fundamental para dispositivos compartidos y ante la amenaza realista de «alguien coge mi teléfono desbloqueado».
  6. Oculta las vistas previas de mensajes en la pantalla de bloqueo:Ajustes → Notificaciones → Mostrar. Cambia a «Solo nombre» o «Sin nombre ni mensaje» para que los curiosos no puedan leer los mensajes entrantes desde tu pantalla de bloqueo. El ajuste predeterminado muestra la vista previa del mensaje, lo que anula gran parte del beneficio en términos de privacidad.
  7. Verifica los números de seguridad con tus contactos más importantes:Abre una conversación → pulsa el nombre del contacto → «Ver número de seguridad». Compara el número de 60 dígitos con tu contacto (en persona o a través de un canal verificado) para confirmar que nadie está interceptando vuestra conversación. Signal te avisará si el número de seguridad de un contacto cambia alguna vez — lo que normalmente significa que ha reinstalado la aplicación, aunque en raras ocasiones podría indicar un ataque.
  8. Establece un PIN de Signal y el bloqueo de registro:Ajustes → Cuenta → PIN de Signal. Activa la copia de seguridad cifrada de tus contactos y ajustes (no del historial de mensajes). Después, Ajustes → Cuenta → Bloqueo de registro — impide que cualquier persona con tu número de teléfono vuelva a registrar Signal en un dispositivo nuevo sin tu PIN, que es el ataque estándar de intercambio de SIM.

Preguntas Frecuentes

Artículos relacionados

Guía de Protección Contra Phishing