El final de abril de 2026 demostr\u00f3 una vez m\u00e1s lo fr\u00e1gil que puede ser la idea de \u201ecomunicaci\u00f3n segura\u201c. El viernes 24 de abril, la fiscal\u00eda federal alemana anunci\u00f3 que llevaba a cabo una investigaci\u00f3n desde mediados de abril por presunto espionaje, dirigida a cuentas de Signal pertenecientes a pol\u00edticos, diplom\u00e1ticos, militares y periodistas. Entre los objetivos mencionados estaban las ministras federales Karin Prien (Educaci\u00f3n) y Verena Hubertz (Construcci\u00f3n) y la portavoz del Bundestag Julia Kl\u00f6ckner. Seg\u00fan un informe de Der Spiegel, m\u00e1s de 300 cuentas de alto nivel podr\u00edan haber sido atacadas. Al d\u00eda siguiente, fuentes gubernamentales alemanas declararon a la AFP que la campa\u00f1a \u201eprobablemente estaba dirigida desde Rusia\u201c, una formulaci\u00f3n que segu\u00eda siendo prudente, en contraste con una atribuci\u00f3n m\u00e1s clara de los servicios holandeses.<\/p>\n\n\n\n
No se trata de un hecho aislado. Ya el 9 de marzo de 2026, los servicios de inteligencia neerlandeses AIVD y MIVD publicaron una advertencia exhaustiva sobre una campa\u00f1a \u201eglobal a gran escala\u201c dirigida contra cuentas de Signal y WhatsApp; entre las v\u00edctimas hab\u00eda funcionarios neerlandeses. Y el 1 de abril, Pol\u00edtico public\u00f3 un informe exclusivo: la Comisi\u00f3n Europea orden\u00f3 a los jefes de departamento y a sus adjuntos que cerraran los chats de grupo internos en Signal por temor a ataques de piratas inform\u00e1ticos.<\/p>\n\n\n\n
Tres acontecimientos, un patr\u00f3n. Y un denominador com\u00fan que vale la pena comprender: encriptaci\u00f3n<\/a> nadie entr\u00f3 en Signal. Los ataques se dirigen a otra parte: a los usuarios.<\/strong><\/p>\n\n\n\n Cuando pensamos en un ataque a las comunicaciones cifradas, la mayor\u00eda pensamos en un fallo matem\u00e1tico, un d\u00eda cero en una aplicaci\u00f3n o un malware en un tel\u00e9fono. Nada de eso ocurre aqu\u00ed. Los atacantes est\u00e1n explotando una caracter\u00edstica perfectamente leg\u00edtima de Signal llamada dispositivos conectados<\/em> (Dispositivos vinculados) - el que le permite Se\u00f1al<\/a> inst\u00e1lalo en tu ordenador de sobremesa y utiliza la misma cuenta desde el port\u00e1til y el m\u00f3vil (Signal admite hasta cinco dispositivos conectados y sincroniza chats y contenido multimedia hasta los \u00faltimos 45 d\u00edas despu\u00e9s de la primera conexi\u00f3n).<\/p>\n\n\n\n El principio de la conexi\u00f3n es sencillo: la versi\u00f3n de escritorio de Signal muestra un c\u00f3digo QR, usted lo escanea con su tel\u00e9fono m\u00f3vil y, a partir de ese momento, ambos dispositivos reciben sus mensajes. El cifrado sigue funcionando, pero el dispositivo del atacante se convierte en el punto final autorizado al que Signal entrega leg\u00edtimamente nuevos mensajes. Desde la perspectiva del servidor de Signal, se trata de una situaci\u00f3n normal y prevista.<\/p>\n\n\n\n El ataque explota exactamente este mecanismo. El atacante prepara un c\u00f3digo QR de un dispositivo conectado, lo disfraza en una p\u00e1gina fraudulenta (\u201einvitaci\u00f3n a un grupo\u201c, \u201ealerta de seguridad de Signal\u201c, \u201einicio de sesi\u00f3n en la aplicaci\u00f3n de la empresa\u201c) y lo entrega a la v\u00edctima a trav\u00e9s de un enlace en un correo electr\u00f3nico, mensaje o red social. Cuando la v\u00edctima escanea el c\u00f3digo QR con un esc\u00e1ner en el Ajustes \u2192 Dispositivos conectados<\/em>, La v\u00edctima vincula su cuenta a la instancia de Signal controlada por el atacante. El tel\u00e9fono m\u00f3vil de la v\u00edctima no muestra signos de compromiso: no hay malware, la duraci\u00f3n de la bater\u00eda no disminuye, el sistema operativo no ha notado nada. Mientras tanto, el atacante lee todos los mensajes nuevos en tiempo real y, seg\u00fan las conclusiones de los investigadores alemanes, pudo acceder al historial de conversaciones de los 45 d\u00edas anteriores aproximadamente a trav\u00e9s de una ventana de sincronizaci\u00f3n.<\/p>\n\n\n\n Existen variantes m\u00e1s sencillas del ataque. Seg\u00fan Aviso AIVD\/MIVD<\/a> i informar sobre el caso alem\u00e1n<\/a> Los atacantes suelen hacerse pasar por un \u201echatbot de soporte de Signal\u201c y piden a la v\u00edctima un c\u00f3digo de verificaci\u00f3n por SMS o un PIN de Signal. Si el usuario proporciona el c\u00f3digo, el atacante simplemente vuelve a registrar la cuenta en su dispositivo y el propietario original queda desconectado de la aplicaci\u00f3n.<\/p>\n\n\n\n Para completar: el contexto econ\u00f3mico describe Art\u00edculo de EUobserver<\/a>, que, citando fuentes an\u00f3nimas de los servicios de inteligencia y seguridad privada europeos, informa de que el acceso a contenidos extranjeros de Signal se negocia por entre 10.000 y 20.000 d\u00f3lares en el mercado gris, para WhatsApp<\/a> contenido por entre 2.000 y 4.000 d\u00f3lares y los datos del historial de viajes de la v\u00edctima por entre 200 y 400 d\u00f3lares. Estas cifras no se han podido verificar de forma independiente, pero incluso a t\u00edtulo orientativo indican que existe una demanda estructurada para este tipo de acceso.<\/p>\n\n\n\n Aqu\u00ed est\u00e1 el quid de todo el texto. Si utilizas Signal, sigue estos pasos, no en alg\u00fan momento, sino en los pr\u00f3ximos minutos.<\/p>\n\n\n\n 1. Auditor\u00eda de los dispositivos conectados.<\/strong> Abre Signal, toca el icono de tu perfil en la esquina de la pantalla y contin\u00faa por Ajustes \u2192 Dispositivos conectados<\/em>. S\u00f3lo deber\u00edas ver los dispositivos que hayas conectado t\u00fa mismo, normalmente Signal Desktop en tu ordenador o iPad. Desconecta cualquier otro. Haz de esta comprobaci\u00f3n una rutina mensual; si tu profesi\u00f3n es m\u00e1s delicada (periodista, abogado, activista, funcionario p\u00fablico), hazla una vez a la semana.<\/p>\n\n\n\n 2. PIN de se\u00f1alizaci\u00f3n y bloqueo de registro.<\/strong> Configuraci\u00f3n \u2192 Cuenta<\/em>. Si no tienes PIN, cr\u00e9ate uno: lo ideal es que sea alfanum\u00e9rico y tenga m\u00e1s de seis caracteres. Pero lo m\u00e1s importante Activar el bloqueo de registro<\/strong>. Sin \u00e9l, un atacante s\u00f3lo necesita capturar un c\u00f3digo SMS para volver a registrar tu n\u00famero en su cuenta. tel\u00e9fono<\/a>. Registration Lock no puede hacerlo sin su PIN. Atenci\u00f3n al detalle: el Bloqueo de Registro se libera tras siete d\u00edas de inactividad, as\u00ed que abre la app al menos una vez a la semana.<\/p>\n\n\n\n 3. N\u00fameros de seguridad de los contactos clave.<\/strong> Cada conversaci\u00f3n tiene un n\u00famero de seguridad \u00fanico de 60 d\u00edgitos que se utiliza para verificar la identidad de la otra parte. En los detalles del contacto, pulse Ver el n\u00famero de seguridad<\/em>. La verificaci\u00f3n ideal es la personal: escanea el c\u00f3digo QR de la otra parte. Si esto no es posible, utiliza otro canal que ya hayas verificado (tel\u00e9fono, reuni\u00f3n cara a cara). Nunca env\u00edes el n\u00famero a trav\u00e9s de Signal<\/strong> y deja siempre que la otra parte env\u00ede primero los suyos; de lo contrario, si se ven comprometidos, el atacante enviar\u00e1 de vuelta los tuyos. Los n\u00fameros de seguridad no son una detecci\u00f3n m\u00e1gica para todos los ataques, pero una pr\u00e1ctica consistente de verificarlos forma parte de la higiene b\u00e1sica.<\/p>\n\n\n\n 4. Bloqueo de pantalla y Bloqueo de pantalla de se\u00f1al.<\/strong> Contrase\u00f1a alfanum\u00e9rica fuerte del tel\u00e9fono (no un PIN de cuatro d\u00edgitos), desbloqueo biom\u00e9trico de la propia Se\u00f1al (Ajustes \u2192 Privacidad<\/a> \u2192 Bloqueo de pantalla<\/em>) y ocultar la vista previa de los mensajes en las notificaciones. Para los usuarios de iOS que pertenecen a grupos vulnerables, las agencias de inteligencia tambi\u00e9n recomiendan considerar Modo Bloqueo<\/strong> (Configuraci\u00f3n \u2192 Privacidad y seguridad<\/em>).<\/p>\n\n\n\n 5. Actualizaci\u00f3n.<\/strong> Las versiones de Signal publicadas despu\u00e9s de febrero de 2025 han mejorado la protecci\u00f3n contra el phishing de QR: nuevo di\u00e1logo de enlace y advertencias m\u00e1s contundentes. Mant\u00e9n activadas las actualizaciones autom\u00e1ticas.<\/p>\n\n\n\n El c\u00f3digo QR en s\u00ed no puede distinguirse visualmente como \u201ebueno\u201c o \u201emalo\u201c: es s\u00f3lo una representaci\u00f3n gr\u00e1fica del URI. La diferencia es el contexto en el que se te presenta. Es importante distinguir para qu\u00e9 sirve el c\u00f3digo QR en Signal: hay c\u00f3digos QR leg\u00edtimos para unirse al grupo<\/strong> (Signal los admite oficialmente y escanearlos s\u00f3lo te a\u00f1ade al grupo), mientras que los c\u00f3digos QR para conexi\u00f3n de nuevos equipos<\/strong> son las que pueden dar lugar a escuchas telef\u00f3nicas.<\/p>\n\n\n\n Una prueba sencilla que funciona siempre: si alguna p\u00e1gina, correo electr\u00f3nico o contacto le lleva a escanear un c\u00f3digo QR en el men\u00fa Ajustes \u2192 Dispositivos conectados<\/em>, Consid\u00e9relo un ataque, a menos que el c\u00f3digo provenga directamente de su propia instancia de Signal Desktop o Signal iPad que haya instalado usted mismo desde M\u00e1s banderas rojas:<\/p>\n\n\n\n Si ves algo que no reconoces en la lista de dispositivos conectados, asume que el atacante ha estado leyendo tus mensajes desde que te conectaste - y probablemente ha visto algunas de las conversaciones de semanas anteriores.<\/p>\n\n\n\n Varias instituciones y servicios de inteligencia europeos han descrito el mismo problema en pocas semanas: cifrado de extremo a extremo<\/a> sigue siendo funcional, pero no basta por s\u00ed sola. Un atacante que no pueda romper la criptograf\u00eda tiene como objetivo la interfaz humano-aplicaci\u00f3n: c\u00f3digos QR, asistencia falsa, PIN y confianza rutinaria.<\/p>\n\n\n\n La consecuencia pr\u00e1ctica es trivialmente sencilla y notoriamente familiar: Bloqueo de registro activado, una lista limpia de dispositivos conectados, N\u00fameros de Seguridad verificados y una sana desconfianza hacia cualquier c\u00f3digo QR procedente del exterior. Cinco minutos de configuraci\u00f3n ahora ahorrar\u00e1n una larga lista de llamadas telef\u00f3nicas despu\u00e9s.<\/p>\n\n\n\n Y una conclusi\u00f3n m\u00e1s franca, que vino, entre otros, del director de la inteligencia militar holandesa, Peter Reesink, en relaci\u00f3n con la advertencia de marzo: ni siquiera Signal con cifrado de extremo a extremo es un canal adecuado para informaci\u00f3n verdaderamente clasificada, sensible o confidencial. Es excelente para las comunicaciones privadas ordinarias. Para lo m\u00e1s sensible, hay razones para que los Estados operen sus propios canales separados y gestionados.<\/p>\n\n\n\n Recursos y lecturas complementarias<\/em><\/strong><\/p>\n\n\n\n <\/p>","protected":false},"excerpt":{"rendered":" Konec dubna 2026 znovu uk\u00e1zal, jak k\u0159ehk\u00e1 m\u016f\u017ee b\u00fdt p\u0159edstava \u201ebezpe\u010dn\u00e9 komunikace\u201c. V p\u00e1tek 24. dubna n\u011bmeck\u00e9 feder\u00e1ln\u00ed st\u00e1tn\u00ed zastupitelstv\u00ed […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"federated","footnotes":""},"categories":[29],"tags":[],"class_list":["post-612","post","type-post","status-publish","format-standard","hentry","category-digitalni-bezpecnost"],"yoast_head":"\nPor qu\u00e9 es m\u00e1s importante que un \u201ehack\u201c cl\u00e1sico\u201c<\/h2>\n\n\n\n
Anatom\u00eda de un ataque en cinco pasos<\/h2>\n\n\n\n
\n
se\u00f1al-confirmar.site<\/code>, signal-protect.host<\/code>) y clona la p\u00e1gina Signal Group Invite. El JavaScript que normalmente redirigir\u00eda a la entrada del grupo se sustituye por c\u00f3digo que llama al URI sgnl:\/\/linkdevice?uuid=...<\/code> - Signal reconoce esto como una solicitud para conectar un nuevo dispositivo.<\/li>\n\n\n\nCinco minutos que merece la pena invertir ahora mismo<\/h2>\n\n\n\n
C\u00f3mo detectar un c\u00f3digo QR fraudulento<\/h2>\n\n\n\n
se\u00f1al.org<\/code>.<\/strong><\/p>\n\n\n\n\n
Qu\u00e9 hacer si sospecha que la situaci\u00f3n est\u00e1 comprometida<\/h2>\n\n\n\n
\n
csirt.cz<\/code>) o la Comisi\u00f3n Nacional de Ciberseguridad e Informaci\u00f3n Seguridad<\/a> (nukib.gov.cz<\/code>), si pertenece a un grupo vulnerable.<\/li>\n<\/ol>\n\n\n\nLo que hay que aprender<\/h2>\n\n\n\n
\n\n\n\n\n