También disponible en inglés.

Signal, la aplicación de mensajería cifrada, se está convirtiendo rápidamente en una herramienta básica para muchos periodistas y medios de comunicación que buscan comunicarse con sus fuentes, recibir información y hablar con colegas de forma segura. Si bien es una herramienta práctica para cualquier persona preocupada por la seguridad y privacidad de sus conversaciones, los periodistas son objetivos de alto interés y pueden beneficiarse de asegurar aún más sus comunicaciones en Signal.

(Si todavía no estás usando Signal, aprende cómo comenzar aquí).

Signal hace que sea muy sencillo tener una conversación segura: aparenta y se maneja prácticamente igual que otras aplicaciones de mensajería de texto tradicionales, pero los expertos en seguridad frecuentemente la recomiendan por lo que hace detrás de escena.

Signal usa cifrado de extremo a extremo, lo que implica que solo quienes participan de la conversación pueden leer los mensajes enviados. Mientras que las llamadas y mensajes de texto convencionales permiten que las empresas de telefonía puedan acceder a tus conversaciones, ni siquiera el equipo de Signal puede acceder a la información de las conversaciones que tengas a través de la aplicación.

No necesitas confiar ciegamente en su palabra. Signal es de código abierto, lo que significa que su código fuente está disponible para que cualquiera pueda revisarlo. Eso también hace más fácil el trabajo de aquellos especialistas en seguridad que han auditado la aplicación y han confirmado,de forma pública, que funciona correctamente. Signal prácticamente no almacena metadatos o información sobre quién habló con quién y cuándo (como los desarrolladores han demostrado en los tribunales). Estas son ventajas altamente deseables en una aplicación de mensajería cifrada.

Los medios de comunicación pueden atrarer la atención de atacantes y aquellos periodistas que ya usen Signal deberían considerar fortalecer las barreras que impidan el acceso físico o remoto por parte de terceros y las potenciales escuchas o interceptaciones a través de la red. Aquí te explicamos cómo:

A diferencia de la mayoría de aplicaciones de mensajería, Signal te permite verificar que tu sesión está cifrada para el destinatario correcto y no para algún tercero que intenta obtener información sobre tus conversaciones. Para verificarlo, abre una conversación con una persona que quieras hablar y revisa los “cifras de seguridad.”

• Usuarios de Android: Menú (ícono de tres puntos) > Ajustes de chat > Ver números de seguridad.
• Usuarios de iOS: Ve a una conversación > Presiona el nombre del contacto > Ver números de seguridad.

Verás tus números de seguridad y un código QR. Si tú y tu contacto están juntos en persona, presiona “Toca para escanear” en la pantalla de las cifras de seguridad y usa tu cámara para escanear el código QR de tu contacto o viceversa. Si no están juntos, sugerimos que verifiquen sus cifras de seguridad en otra plataforma en la que estén seguros de estar hablando con la persona indicada.

Si ambos están viendo los mismos números, su sesión es segura — por lo que pueden hacer clic en “Marcar persona como verificada.” Si los números no coinciden, no deberían conversar por ese canal.

No necesitarás verificar tus cifras de seguridad nuevamente hasta que alguno de ustedes haga que estas cambien, por ejemplo, al iniciar su cuenta de Signal en un nuevo dispositivo. Si las cifras de seguridad cambian, Signal te notificará. En caso de que sea así, usen otro canal para verificar que su sesión sea segura antes de seguir comunicando información sensible.

Si además de tu número de teléfono quieres ser identificado de otra manera para que la gente pueda localizarte, tendrás que configurar un nombre de usuario. Si aún no lo has configurado, puedes habilitar un nombre de usuario aquí:

• Usuarios de Android: Pulsa Ajustes (icono de perfil en la parte superior izquierda) > [Tu nombre en la parte superior de la pantalla] > Nombre de usuario.
• Usuarios de iPhone: Pulsa Ajustes (icono de perfil en la parte superior izquierda) > [Tu nombre en la parte superior de la pantalla] > Nombre de usuario.

Si lo deseas, también puedes impedir que te busquen por tu número de teléfono.

• Usuarios de Android: Pulsa Ajustes (icono del perfil arriba a la izquierda) > Privacidad > Quién puede encontrarme por número > Nadie.
• Usuarios de iPhone: Pulsa Ajustes (icono del perfil en la parte superior izquierda) > Privacidad > Quién puede encontrarme por el número > Nadie

En esta pantalla, también verás una opción para permitir que los contactos vean tu número de teléfono. Recomendamos dejar esta opción en "Nadie". Es importante tener en cuenta que los contactos que hayan tenido previamente tu número de teléfono pueden seguir viéndolo (por ejemplo, a través de su aplicación de contactos).

• Usuarios de Android: Pulsa Ajustes (icono del perfil en la parte superior izquierda) > Privacidad > Quién puede ver mi número de teléfono > Nadie.

Usuarios de iPhone: Pulsa Ajustes (icono de perfil en la parte superior izquierda) > Privacidad > Quién puede ver mi número de teléfono > Nadie.

Ya sea que usas tu número de teléfono principal o uno secundario, necesitarás mantener acceso al mismo.

Activa el bloqueo de registro para asegurar tu número de Signal.

Antes de activar el bloqueo de registro deberás configurar tu PIN de Signal.

• Usuarios de Android: Ajustes > Cuenta > Bloqueo de registro > Activar.
• Usuarios de iOS: Ajustes > Cuenta > Bloqueo de registro > Activar.

Ingresa un PIN numérico de al menos 4 dígitos. Si prefieres usar un PIN alfanumérico para mayor seguridad, presiona Crear PIN alfanumérico. Ten en cuenta que necesitarás ingresar este PIN al momento de iniciar tu cuenta de Signal en un nuevo dispositivo, por lo que es fundamental que lo recuerdes o guardes en un lugar seguro como un gestor de contraseñas. Signal te pedirá ocasionalmente que ingreses tu PIN para asegurarse de que lo recuerdes.

Por lo general, se le ofrece un PIN numérico corto, pero puedes hacerlo más fuerte utilizando un PIN que también permita texto además del números.

• Usuarios de Android: Pulsa Ajustes > Cuenta > Cambia tu PIN > Crear PIN alfanumérico
• Usuarios de iPhone: Pulsa Ajustes > Cuenta > Cambia tu PIN > Crear PIN alfanumérico.

De vez en cuando, Signal te pedirá que vuelvas a introducir el PIN para asegurarse de que lo recuerdas.

Signal te ofrece la posibilidad de desactivar la previsualización de los enlaces enviados a tus contactos. Según los desarrolladores, cuando esta función está activada, Signal hace solicitudes directas al sitio web para generar esta previsualización. En otras palabras, la vista previa de enlaces filtra a esos sitios web que compartes su sitio en tus conversaciones.

Confirma que la vista previa de enlaces está desactivada.

• Usuarios de Android: Ajustes > Chats > Generar vista previa de enlaces > Desactivar.
• Usuarios de iOS: Ajustes > Chats > Generar vista previa de enlaces > Desactivar.

Muchos teléfonos vienen con múltiples teclados para diferentes idiomas y funcionalidades, además de permitirte instalar teclados personalizados. Esto puede resultar útil, pero los teclados pueden compartir información con terceros. Por ejemplo, el teclado de Google es el teclado predeterminado en algunos dispositivos Android y, a menos que personalices tus ajustes de teclado, puede que, sin saberlo, estés guardando datos de tu teclado más allá de Signal.

Los usuarios de Android pueden activar el “modo incógnito” del teclado en Signal.

• Usuarios de Android: Ajustes > Privacidad > Teclado en modo incógnito > Activar.

Más allá de Signal, tu elección de teclado puede afectar tu privacidad; así que asegúrate de saber qué teclados tienes activados.

• Usuarios de Android (puede variar según el fabricante o la versión de Android): Ajustes del dispositivo > Sistema > Idiomas y entradas > Teclado en pantalla.
• Usuarios de iOS: Ajustes del dispositivo > General > Teclado > Teclados

Signal te permite ver el historial de llamadas desde tu aplicación de teléfono. Esto puede ser conveniente, pero también permitirá que tu iPhone sincronice el historial de llamadas con iCloud, incluido quién habló con quién, cuándo y la duración de la llamada.

Si usas iCloud y no quieres compartir tu historial de llamadas de Signal — incluyendo con quién hablaste, cuándo y la duración de las llamadas — asegúrate de que esta opción está desactivada: Ajustes de Signal > Privacidad > Llamadas en «Recientes» > Desactivar.

Signal te permite eliminar mensajes, pero solo eliminará ese mensaje de tu dispositivo. Para borrar mensajes de conversaciones, activa la desaparición de mensajes para que estos se eliminen automáticamente después de cierto tiempo tanto de tu dispositivo, como del recpetor. Esto es particularmente importante para periodistas preocupados por los mensajes en los teléfonos de sus fuentes.

Para activar la desaparición de mensajes, primero abre una conversación.

• Usuarios de Android: Presiona el nombre de tu contacto (parte superior de la conversación) > Desaparición de mensajes.

• Usuarios de iOS: Presiona el nombre de tu contacto (parte superior de la conversación) > Desaparición de mensajes.

Establece el tiempo que te gustaría mantener los mensajes, desde 30 segundos hasta 4 semanas o un tiempo personalizado de tu elección. Esta opción funciona tanto en conversaciones individuales como grupales.

También puedes configurar un tiempo predeterminado de desaparición de mensajes para las nuevas conversaciones.

• Usuarios de Android: Ajustes > Privacidad > Tiempo de desaparición de mensajes por defecto en nuevos chats.
• Usuarios de iOS: Ajustes > Privacidad > Tiempo de desaparición de mensajes por defecto en nuevos chats.

Los puntos débiles del cifrado de extremo a extremo son los “extremos”: los dispositivos físicos a los que llegan los mensajes en un formato legible para los humanos. Existen algunas medidas que puedes tomar para asegurar tus dispositivos.

Establece un bloqueo de pantalla

El cifrado no será de ayuda si alguien tiene acceso físico a tu teléfono desbloqueado, por lo que es fundamental que configures un bloqueo de pantalla en tu dispositivo. Sal de Signal y configura un bloqueo de pantalla.

• Usuarios de Android (puede variar según el fabricante o la versión de Android): Ajustes del dispositivo > Seguridad > Bloqueo de pantalla.
• Usuarios de iOS: Configuración > Touch ID y código.

Considera activar un bloqueo adicional para la aplicación

Desbloquear tu teléfono también implica descifrar tus mensajes. Puedes hacer que la aplicación solicite un paso adicional para ingresar nuevamente la contraseña de tu bloqueo de pantalla antes de desbloquear Signal.

Tu teléfono podría ser robado. Además, es posible que desees dejar que tus hijos jueguen con tu teléfono pero no ver fotos de tus fuentes.

• Usuarios de Android: Ajustes > Privacidad > Bloqueo de pantalla > Activar.
• Usuarios de iOS: Ajustes > Privacidad > Bloqueo de pantalla > Activar.

Si pierdes tu dispositivo o éste es robado, es posible copiar o leer información del dispositivo, incluyendo mensajes cifrados. Afortunadamente, es muy fácil protegerse encriptación de disco.

Si tienes una versión moderna de iPhone y tu dispositivo está protegido por un bloqueo de pantalla, tu dispositivo está cifrado por defecto.

Muchos dispositivos Android también están cifrados por defecto (como la línea Pixel de Google y la línea Galaxy de Samsung). Chequea la configuración del sistema de Android para asegurarte de que tu dispositivo está cifrado. Si no, cifrar tu dispositivo es muy sencillo.

Signal te permite ocultar la previsualización en la pantalla de aplicaciones recientes, a menos que explícitamente abras la aplicación.

• Usuarios de Android: Ajustes > Privacidad > Seguridad de pantalla > Activar.
• Usuarios de iOS: Ajustes > Privacidad > Ocultar Signal en el selector de apps > Activar.

Incluso cuando tu dispositivo está protegido por un bloqueo de pantalla, cualquiera que lo tome puede leer los mensajes y nombres de los remitentes desde la pantalla de bloqueo.

• Usuarios de Android: Ajustes > Notificaciones > Mostrar. Para recibir notificaciones que no contengan información sobre el remitente o el contenido de tus mensajes, selecciona “Sin nombre ni mensaje”.
• Usuarios de iOS: Ajustes > Notificaciones > Mostrar. Para recibir notificaciones que no contengan información sobre el remitente o el contenido, selecciona “Ni remitente ni contenido”

Muchos tipos de software malicioso están diseñados para enviar capturas de pantalla de tus mensajes o grabaciones de tus conversaciones a un atacante remoto. Lo mejor que puedes hacer es mantener tu dispositivo actualizado, tanto a nivel de sistema operativo como de aplicaciones, incluyendo Signal. Los dispositivos más antiguos, y que ya no reciben actualizaciones de seguridad, tienen asociado un riesgo mucho más alto.

Signal ofrece una aplicación para computadoras, pero es más seguro mantener tus mensajes solo en tu dispositivo móvil. Las computadoras típicamente permiten que las aplicaciones se comuniquen entre sí. Los dispositivos iOS y Android deliberadamente aíslan las aplicaciones, solicitando estrictos permisos sobre los datos a los que pueden acceder y cuándo. Los programas maliciosos tienen mayores dificultades para comprometer la información de usuarios con dispositivos móviles actualizados.

• Al usar Signal solo en tu dispositivo móvil y asegurar tu dispositivo ganas en seguridad, pero hay algunos inconvenientes si pierdes tu teléfono o necesitas comprar uno nuevo. Mientras que la función de bloqueo de registro evita que otros puedan tomar tu número en Signal, también te impedirá temporalmente registrar tu número si olvidas tu PIN de Signal.
• Signal no está diseñado para evitar la vigilancia de metadatos en vivo, por lo que no protege tu identidad o la identidad de las personas con las que estés conversando a través de la aplicación. Es mejor asumir que eres identificable para otros usuarios de Signal.
• Incluso si tienes buenos hábitos de seguridad, las personas con las que conversas pueden poner tus mensajes en peligro si no tienen el mismo cuidado. Anima a otras personas a asegurar su Signal compartiéndoles esta guía.

Si formas parte de un medio de comunicación y necesitas ayuda para implementar herramientas de mensajería cifrada o mejorar los conocimientos y capacidades de tu equipo en seguridad digital, contacta a nuestro equipo de entrenadores. Si Signal es un servicio que valoras, considera donar para apoyar su trabajo.