- Una auditoría académica confirma que el protocolo Signal es seguro y resistente.
- Investigadores destacan que la criptografía de Signal ofrece ventajas frente a ataques.
- Se identifican áreas de mejora en la protección ante brechas futuras y generación de claves.
- Preocupa el mal uso de versiones modificadas de Signal para organismos oficiales, tras ciberataques recientes.
El empleo de aplicaciones de mensajería cifrada se ha convertido en algo habitual para millones de personas y organizaciones que buscan proteger la privacidad de sus comunicaciones. Entre las opciones disponibles, Signal destaca por su enfoque en la seguridad, siendo utilizada tanto por particulares como por grandes plataformas y entidades oficiales.
En los últimos meses, el funcionamiento del protocolo Signal ha sido sometido a un exhaustivo análisis por parte de expertos en criptografía de varias universidades internacionales. Una vulnerabilidad detectada en una versión modificada de la app, utilizada por entidades gubernamentales, ha puesto sobre la mesa la importancia de mantener la seguridad de las implementaciones.
Auditoría independiente
Un equipo de investigadores de la Universidad de Oxford, Queensland y McMaster ha realizado la primera revisión pública a gran escala sobre el protocolo Signal. El estudio ha aprofundizado en sus bases criptográficas, funcionamiento interno y resistencia ante adversarios, evaluando su robustez incluso en escenarios en los que el atacante controla la red o tiene acceso al dispositivo de la víctima.
Los resultados señalan que la estructura criptográfica de Signal proporciona altos niveles de secreto y autenticación para las claves de mensajes, validando sus mecanismos contra ataques avanzados. En particular, el informe subraya que Signal implementa propiedades de seguridad como la confidencialidad futura (forward secrecy) y la posibilidad de asegurar mensajes incluso después de un compromiso temporal del dispositivo.
Retos y recomendaciones tras la auditoría de seguridad
Pese a la solidez demostrada, los académicos señalan ámbitos donde Signal podría reforzarse. Por ejemplo, advierten que, si el generador de números aleatorios se vuelve predecible, se podría comprometer la confidencialidad de comunicaciones con nuevos contactos. Proponen soluciones inspiradas en otros protocolos modernos que apenas afectarán al rendimiento.
También se hace hincapié en la importancia de eliminar adecuadamente mensajes y claves antiguas para evitar que puedan ser recuperadas por atacantes que consigan acceso al dispositivo, especialmente en medios de almacenamiento flash.
Vulnerabilidades en implementaciones modificadas
Mientras la versión estándar de Signal mantiene altos estándares de seguridad, recientes informes de ciberseguridad han alertado sobre una brecha en una app modificada derivada de Signal y desarrollada por TeleMessage. Esta versión fue víctima de un ciberataque, permitiendo a los atacantes acceder a conversaciones archivadas y datos sensibles, como nombres de usuario y contraseñas en texto plano, al explotar la ausencia de cifrado en ciertas funciones añadidas.
Expertos de GreyNoise han detectado nuevos intentos de explotación de la vulnerabilidad (identificada como CVE-2025-48927), especialmente en dispositivos con el módulo Spring Boot Actuator mal configurado. La brecha permite descargar archivos completos con información crítica mediante peticiones no autenticadas, afectando directamente a la privacidad de los usuarios involucrados.
El riesgo persiste en entornos donde se emplean versiones alteradas de Signal sin las garantías de seguridad originales; se recomienda encarecidamente revisar la configuración y limitar el uso de modificaciones no verificadas, sobre todo en contextos que manejan datos especialmente confidenciales.
El análisis de expertos independientes y los últimos incidentes de seguridad han reforzado la confianza en el protocolo original de Signal como estándar de mensajería cifrada, aunque ponen de manifiesto la importancia de implementar correctamente todas sus medidas de protección y evitar alteraciones no avaladas por la comunidad de desarrolladores.
