“Hay muchas buenas razones para usar Signal. Ahora incluyen la oportunidad de que el vicepresidente de Estados Unidos te agregue aleatoriamente a un chat grupal para coordinar operaciones militares sensibles”, bromeó en un tuit Moxie Marlinspike, el fundador de Signal, la aplicación de mensajería instantánea. Ese mismo día, el 24 de marzo de 2025, el jefe de redacción de The Atlantic, Jeffrey Goldberg, había revelado que fue añadido por Michael Waltz, consejero de Seguridad Nacional de EEUU, a un grupo de Signal con otros altos cargos del Gobierno de Donald Trump donde se coordinaron ataques militares en Yemen.
Signal cuenta con el Protocolo Signal (el mismo que usa WhatsApp), un sistema de cifrado de extremo a extremo que convierte los mensajes en ilegibles para todos excepto el emisor y el receptor. Además, la aplicación es de código abierto y dice recoger menos datos sobre sus usuarios que otros servicios. Sin embargo, expertos advierten de que igualmente puede sufrir filtraciones por ciberataques o errores humanos.
A pesar de ser reconocida por sus funciones de seguridad, la app no está autorizada para compartir información clasificada en Estados Unidos. En el caso de la Unión Europea, los abogados consultados por Maldita.es indican que su utilización por parte de funcionarios no está prohibida como tal y que, en España, su uso para compartir información sensible debe valorarse según los requisitos del Esquema Nacional de Seguridad (ENS). La divulgación de datos clasificados en el país se rige por la Ley de Secretos Oficiales y la Ley Orgánica 5/2005 de la Defensa Nacional y puede tener diversas consecuencias según el Código Penal.
Signal es una app de mensajería que destaca por su protocolo de cifrado de extremo a extremo difícil de romper, y los mensajes se pueden configurar para que sean “prácticamente imposibles” de recuperar
Signal es una aplicación de mensajería que permite enviar mensajes directos y grupales, además de hacer llamadas telefónicas y de vídeo. Es reconocida por su enfoque en la seguridad y privacidad de los usuarios. “No podemos leer tus mensajes ni escuchar tus llamadas. Ni nosotros ni nadie más”, afirman en su web.
Esto se consigue gracias a su Protocolo Signal, un sistema de cifrado de extremo a extremo que viene activado por defecto en la aplicación y que también usan otros servicios como WhatsApp. Con este método, el contenido que un usuario envía a otro a través de una conversación solo es legible para la persona que lo envía y la que lo recibe. En los pasos intermedios que recorre el mensaje hasta llegar a nuestro móvil u ordenador sigue siendo ilegible y solo se desbloquea y se vuelve entendible cuando llega al dispositivo de la persona a la que va dirigido.
Como explica Wired, este protocolo utiliza un sistema de claves que cambia después de cada mensaje. Cada usuario cuenta con un par de claves temporales, además de claves permanentes. Cuando alguien envía un mensaje, la app combina las parejas temporales y permanentes de ambos usuarios para crear una clave secreta compartida para cifrar y descifrar ese mensaje.
A diferencia de otros cifrados, para romper este se necesitaría tener acceso a las claves privadas de ambos usuarios, que solo existen en sus dispositivos. Además, estas claves temporales se renuevan constantemente, lo que permite generar una nueva clave compartida después de cada mensaje. “Los mensajes están cifrados localmente y no hay copia en la nube una vez que todos los miembros del grupo [o una conversación] lo han recibido”, explica Jorge Louzao, experto en ciberseguridad, usuario de Signal y maldito que nos ha prestado sus superpoderes. En ese sentido describe el cifrado como “muy difícil de romper”.
Los mensajes enviados por Signal también pueden configurarse para eliminarse después de un tiempo. “Este sistema de borrado consiste en establecer una cuenta atrás a partir del momento que un usuario lee el mensaje en su dispositivo”, explica Louzao. Según el artículo de The Atlantic, el consejero de Seguridad Nacional configuró algunos mensajes para que desaparecieran después de una semana y otros después de cuatro. Según el experto en ciberseguridad “es prácticamente imposible recuperar esos mensajes”.
La aplicación también destaca por ser de código abierto, es decir, cualquiera puede revisar el código para asegurarse de que no hay debilidades que puedan ser explotadas. La presidenta de Signal, Meredith Whittaker, recalcó en un tuit que recogen mucha menos información sobre los usuarios que otras aplicaciones. Whittaker también destacó el hecho de que la app es propiedad de la Fundación Signal, una organización sin ánimo de lucro basada en los Estados Unidos, “que depende de donaciones en lugar de ingresos publicitarios”.
Signal no está autorizada para compartir información clasificada en EEUU: pese a su seguridad, puede sufrir filtraciones por ciberataques o errores humanos
En Estados Unidos, las aplicaciones de mensajería cifrada son cada vez más populares entre los funcionarios del Gobierno, según un análisis de Associated Press. Sin embargo, como indica Goldberg en el artículo: “Signal no está aprobada por el Gobierno para compartir información clasificada. El Gobierno tiene sus propios sistemas para este propósito”. Así lo confirma una nota del Departamento de Defensa (DoD) de 2023 que define que la app no está autorizada “para acceder, transmitir o procesar información no pública del DoD”.
A pesar de destacar por su seguridad, Signal no es a prueba de balas. Según POLITICO, el exanalista de vulnerabilidades del Departamento de Defensa de EEUU, Jacob Williams, explicó que uno de los grandes peligros es vincular la app a un ordenador. Según el experto, esto expone los datos ya que, en lugar de almacenarse en un lugar único y seguro como un teléfono, se envía a varias computadoras de escritorio y portátiles. Si el ordenador sufre un ataque de malware, los datos pueden verse afectados. Además, “no se puede saber qué contactos tienen sus cuentas vinculadas a computadoras de escritorio, por lo que no se puede evaluar el riesgo”, concluyó.
En 2022, Twilio (la compañía que proporciona los servicios de verificación de número a Signal) sufrió un ataque de phishing, aunque Signal aseguró que la información y mensajes de los usuarios no fueron afectados. En febrero de 2025, el Threat Intelligence Group de Google advirtió de un aumento en las campañas de ataques de agentes maliciosos asociados al Gobierno ruso que atacan a usuarios ucranianos de Signal a través de códigos QR maliciosos.
Los errores humanos también son un factor que puede exponer información confidencial. “Si [las autoridades del grupo de Signal donde se planificaron los ataques] hubieran perdido sus teléfonos, o hubieran sido robados, el riesgo potencial a la seguridad nacional hubiera sido severo”, escribe Goldberg. También si en lugar de al periodista, se hubiera agregado por equivocación al grupo a alguien que pudiera usar esa información clasificada para dañar a Estados Unidos, las consecuencias serían aún más graves.
¿Y en la Unión Europea? Abogados indican que el uso de Signal por parte de las autoridades no está prohibido como tal, pero la divulgación de información clasificada en España puede ser sancionada
El uso de Signal por parte de las autoridades no es algo nuevo. “En cuanto a información no sensible, hay instituciones europeas que ya están utilizando Signal desde hace años como alternativa a herramientas oficiales, si estas no están disponibles”, explica a Maldita.es Rahul Uttamchandani, abogado especializado en tecnología y privacidad.
Elena Gil, abogada especializada en privacidad y maldita que nos ha prestado sus superpoderes, indica que el uso de aplicaciones de mensajería cifrada como Signal por parte de funcionarios públicos “no está prohibido como tal” en la Unión Europea. Sin embargo, la experta detalla que “puede haber implicaciones legales si ese uso se convierte en un medio para eludir las leyes de transparencia u otras que sirvan al control gubernamental”.
Sobre el uso de apps de mensajería cifrada para compartir información clasificada, Uttamchandani afirma que en España esto debe valorarse caso por caso para comprobar si la herramienta cumple con los requisitos establecidos por el Esquema Nacional de Seguridad (ENS), que establece la política de seguridad en la utilización de medios electrónicos para el sector público y los proveedores tecnológicos.
El abogado explica que en España la divulgación de información sensible se rige por la Ley de Secretos Oficiales y la Ley Orgánica 5/2005 de la Defensa Nacional y puede suponer diversas consecuencias según el Código Penal. Por ejemplo, si una autoridad o funcionario revela secretos de los que tiene conocimiento por su cargo, incurrirá en una pena de multa de 12 a 18 meses y no podrá cumplir un cargo público por uno a tres años (artículo 417). La revelación de secretos e informaciones relativas a la defensa nacional puede ser sancionada con uno a cuatro años de prisión (artículo 598).
En este artículo han colaborado con sus superpoderes los malditos Jorge Louzao, experto en ciberseguridad, y Elena Gil, abogada especializada en privacidad.
Elena Gil forma parte de Superpoderosas, un proyecto de Maldita.es que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla:mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos yhazte Embajador.