Signal vs WhatsApp en 2026: ambos usan el mismo cifrado — las diferencias están en todo lo demás
El concepto erróneo más común sobre Signal y WhatsApp es que WhatsApp "no está realmente cifrado". Lo está. WhatsApp utiliza el Protocolo Signal — el mismo estándar de cifrado de extremo a extremo de código abierto desarrollado por los fundadores de Signal — desde 2016. Cada mensaje, llamada y archivo enviado a través de WhatsApp está cifrado en tránsito con los mismos primitivos criptográficos que Signal.
La distinción entre las dos aplicaciones no es si tus mensajes están cifrados en tránsito. Es qué datos se recopilan alrededor de esos mensajes, quién tiene acceso a ellos y cómo es la relación de la empresa con los anunciantes y las autoridades. Estas diferencias son significativas y vale la pena entenderlas con precisión.
Lo que ambas aplicaciones hacen igual
El cifrado de extremo a extremo del contenido de los mensajes, las llamadas de voz, las videollamadas y las transferencias de archivos es funcionalmente equivalente entre Signal y WhatsApp. Ambas utilizan el algoritmo Double Ratchet del Protocolo Signal, que proporciona secreto hacia adelante (cada mensaje se cifra con una clave única; comprometer una clave no compromete mensajes pasados) y recuperación tras interrupción (el cifrado se autocura después de una interrupción de sesión).
Ninguna de las dos empresas — en la configuración estándar — puede leer el contenido de tus mensajes. Las solicitudes de las autoridades para el contenido de los mensajes de Signal o WhatsApp producen el mismo resultado: la empresa no puede cumplir porque no posee el texto plano.
La cuestión de los metadatos
Aquí es donde los caminos divergen significativamente. Los metadatos — quién se comunica con quién, cuándo, con qué frecuencia y desde dónde — no están cifrados por el Protocolo Signal. Es un subproducto del enrutamiento de mensajes a través de cualquier infraestructura de servidores.
Signal ha sido diseñado para minimizar la recopilación de metadatos como objetivo de diseño. La arquitectura del servidor de Signal utiliza sealed sender (el servidor no sabe quién envió un mensaje a quién, solo que un mensaje fue entregado a un destinatario en particular), private contact discovery (Signal sabe si tus contactos están en Signal sin ver tu lista de contactos) y private groups (el servidor de Signal no conoce la membresía ni el contenido de los chats grupales). Cuando las autoridades federales de EE. UU. han solicitado los registros de Signal, la empresa ha podido proporcionar solo: fecha de creación de la cuenta y fecha de la última conexión. Eso es la totalidad de lo que Signal almacena.
WhatsApp recopila sustancialmente más metadatos. La política de privacidad de WhatsApp divulga la recopilación de: listas de contactos, fotos de perfil, información de estado, participación en grupos, identificadores de dispositivo, direcciones IP, ubicación aproximada, frecuencia de uso, estado de la batería y más. Estos datos se comparten con la familia de empresas de Meta (Facebook, Instagram) con fines publicitarios. También están sujetos a las políticas de retención de datos de Meta y a los marcos de acceso de las autoridades.
Una presentación judicial federal de EE. UU. de 2021, hecha pública en 2023, reveló que las demandas legales del FBI a WhatsApp pueden generar: números de teléfono de origen y destino para una cuenta específica, fecha y hora de cada mensaje, y el número de teléfono de la cuenta que envió o recibió el mensaje. El contenido del mensaje sigue siendo inaccesible, pero el gráfico social, los patrones de tiempo y la frecuencia de comunicación no lo son.
Copias de seguridad: la diferencia crítica que la mayoría de los usuarios pasa por alto
La garantía de cifrado se aplica a los mensajes en tránsito. Lo que sucede con los mensajes en reposo — específicamente en las copias de seguridad en la nube — ha sido históricamente una gran diferencia práctica entre las dos aplicaciones.
El comportamiento de copia de seguridad predeterminado de WhatsApp almacena copias de seguridad cifradas en Google Drive (Android) o iCloud (iOS). Hasta 2021, estas copias de seguridad no estaban cifradas de extremo a extremo: Google y Apple podían acceder a ellas teóricamente, y las autoridades podían solicitarlas a través de los proveedores de la nube. WhatsApp introdujo copias de seguridad cifradas de extremo a extremo opcionales en 2021, pero esta función requiere que los usuarios opten por ella y administren una clave de cifrado. A partir de 2026, las copias de seguridad cifradas de extremo a extremo son el valor predeterminado en las nuevas instalaciones de WhatsApp, una mejora significativa, pero los usuarios que han estado en la plataforma durante años pueden tener configuraciones de copia de seguridad heredadas que no están completamente cifradas.
Signal no realiza copias de seguridad de los mensajes en servicios en la nube de terceros. Las copias de seguridad locales del dispositivo en iOS se excluyen de la copia de seguridad del sistema si se realizan a través de la configuración de Signal. Los usuarios que deseen transferir el historial de chat a un nuevo dispositivo deben hacerlo directamente a través de la función de transferencia de dispositivo a dispositivo de Signal, que mantiene los datos bajo el control del usuario en todo momento.
Modelo de negocio y sus implicaciones
Signal es una organización sin fines de lucro 501(c)(3) financiada por donaciones y subvenciones. Su tecnología es completamente Open Source, auditada por la comunidad de seguridad, y su modelo de negocio no tiene componente publicitario. No hay incentivo comercial para recopilar datos más allá de lo operativamente necesario.
WhatsApp es una subsidiaria de Meta, que obtiene prácticamente todos sus ingresos de la publicidad dirigida. WhatsApp en sí mismo no muestra anuncios dentro de los chats actualmente, pero sirve como fuente de datos para los perfiles publicitarios de Meta. Meta ha sido explícita sobre los planes para expandir la monetización de WhatsApp for Business y, con el tiempo, para mostrar anuncios dentro del ecosistema de herramientas Business.
La diferencia en el modelo de negocio importa porque da forma a lo que cada empresa está incentivada a hacer con los datos de los usuarios con el tiempo. La estructura de incentivos de Signal está alineada con la privacidad del usuario. La de Meta está alineada con maximizar el valor informativo de su base de usuarios para fines publicitarios y de plataforma.
Interoperabilidad y la Ley de Mercados Digitales de la UE
La Ley de Mercados Digitales de la UE, que designó a Meta como gatekeeper en 2023, exigió que WhatsApp abriera su infraestructura de mensajería a solicitudes de interoperabilidad de proveedores de mensajería externos para marzo de 2024. Signal se encuentra entre las aplicaciones que pueden solicitar interoperabilidad con WhatsApp bajo este marco.
El desafío técnico es sustancial: cualquier interoperabilidad que cruce el límite Signal/WhatsApp implica compartir metadatos entre las infraestructuras de los dos sistemas, lo que compromete algunas de las propiedades de minimización de metadatos de Signal. Signal ha sido cauteloso con los términos de interoperabilidad, preocupado específicamente por la exposición de metadatos en el enrutamiento de mensajes multiplataforma. A mediados de 2026, la interoperabilidad limitada es funcional, pero Signal no ha promovido agresivamente la mensajería multiplataforma, en parte por esta razón.
La elección práctica
Para los usuarios cuya principal preocupación es la confidencialidad del contenido de los mensajes, ambas aplicaciones brindan una protección adecuada en la configuración estándar. Si tu modelo de amenaza es un actor criminal interceptando mensajes en tránsito, o un interno de la empresa leyendo tus conversaciones, cualquiera de las aplicaciones está bien.
Si tu preocupación son los metadatos — tu gráfico social, tus patrones de comunicación, tu lista de contactos siendo utilizada para construir un perfil publicitario o entregada a las autoridades — Signal es la opción sustancialmente más fuerte. Si tu preocupación es específicamente la seguridad de las copias de seguridad, asegúrate de que las copias de seguridad cifradas de extremo a extremo de WhatsApp estén habilitadas y de que tengas tu clave de cifrado respaldada de forma segura.
La realidad del efecto de red es que WhatsApp tiene aproximadamente 3 mil millones de usuarios activos mensuales y Signal tiene aproximadamente 80 millones. Para la mayoría de las personas, las propiedades de privacidad de Signal se ven compensadas por el problema práctico de que la mayoría de las personas con las que quieren chatear no están en él. Esa brecha de red no se ha cerrado materialmente en los años posteriores a que las ventajas de privacidad de Signal se discutieran ampliamente, lo que sugiere que para la mayoría de los usuarios la distinción de metadatos no es relevante o no vale la pena la fricción de cambiar.