Signal, la aplicación de mensajería “ultrasegura”, ha estado guardando los chats y los datos de los usuarios sin cifrar

Escrito por Rubén Velasco

Seguramente alguna vez hayamos oído hablar de Signal, una aplicación de mensajería segura, similar a WhatsApp, pero cuya principal característica es que se trata de una herramienta completamente privada, permitiendo a los usuarios comunicarse punto a punto con un cifrado de alto grado evitando que las conversaciones caigan en malas manos. Aunque lo relacionado con la seguridad de las comunicaciones es cierto, la verdad es que esta aplicación tiene graves debilidades por otros lados, y es que ha estado poniendo seriamente en peligro la privacidad de los usuarios al guardar sus chats sin cifrar en el disco duro.

Signal comenzó a funcionar inicialmente en dispositivos móviles Android y iOS, aunque poco a poco fue lanzando otros clientes para que los usuarios pudieran utilizar esta aplicación desde cualquier sitio, como, por ejemplo, desde el ordenador. La versión de PC de esta herramienta de mensajería llegó en forma de extensión para Chrome, aunque desde hace un año existe también una versión de escritorio convencional que no depende del navegador.

A día de hoy la versión de Signal para Google Chrome está obsoleta y la compañía la hará caducar en un mes. Por ello, esta herramienta está ofreciendo a los usuarios la posibilidad de actualizar a la versión de escritorio guardando todos los chats y todos los datos intercambiados a través de la aplicación. Y es aquí donde ocurre todo.

Escritorio Signal

Los datos copiados de la versión de Chrome a la versión de escritorio de Signal se guardan en plano en el disco duro, sin ningún tipo de cifrado o seguridad

Para poder copiar los datos de la versión de Google Chrome a la versión de escritorio de esta herramienta de mensajería la herramienta extrae los datos de la carpeta de local de Chrome y los copia a la nueva carpeta de la versión de escritorio, importándolos así en esta versión y permitiendo a los usuarios seguir utilizando estos archivos.

Signal en ningún momento debería descifrar los datos de los usuarios (ya que este cifrado es una de sus principales virtudes), ni siquiera para un proceso de actualización. Y mucho menos debería guardarlos de nuevo sin cifrar en nuestro disco duro.

Desde luego esto es un despiste muy grave que, sin duda, a más de uno le hará replantearse la seguridad de esta aplicación.

Si estás buscando una forma segura de actualizar de la versión de Chrome de Signal a la versión de escritorio manteniendo los datos la verdad es que no existe. Si realmente nos preocupa nuestra privacidad (y si somos usuarios de Signal sin duda que nos preocupa) lo mejor que podemos hacer es dejar los datos cifrados con la extensión de Google Chrome (incluso borrarlos junto a la extensión para que no puedan caer en malas manos) y empezar una sesión nueva en la versión de escritorio. Así en ningún momento nuestros datos estarán expuestos.

La versión de escritorio de Signal está disponible para Windows, Linux y macOS en el siguiente enlace, por lo que, independientemente de cuál sea nuestro sistema operativo, no necesitaremos depender de la extensión de Chrome nunca más.

¿Qué opinas de este fallo de seguridad en Signal? ¿Ser la única manera de exportar los datos justifica hacerlo así?