Signal lleva años siendo la app de mensajería preferida de periodistas, activistas y cualquiera que quiera que sus conversaciones no caigan en manos equivocadas. Pero en abril de 2026 salió a la luz algo que lo cambia todo: el FBI logró recuperar mensajes que los usuarios creían permanentemente borrados, y lo hizo sin romper el cifrado de Signal. El eslabón débil no era la aplicación. Era iOS.
El problema tenía nombre propio en el mundo de la ciberseguridad: CVE-2026-28950. Un error en el sistema de notificaciones de iPhone hacía que los fragmentos de los mensajes de Signal permanecieran almacenados en el dispositivo incluso después de eliminarlos o desinstalar la app. Apple reaccionó con una actualización de emergencia el 22 de abril, fuera de su calendario habitual. Cuando Apple se mueve así, la situación es grave.
Cómo Signal fue víctima de un fallo de iOS que nadie esperaba
Cuando recibes un mensaje en Signal, iOS necesita mostrarlo como notificación en pantalla. Para eso, descifra el contenido del mensaje localmente y lo guarda en un caché temporal del sistema de notificaciones. La lógica esperada es sencilla: el usuario descarta la notificación, iOS la borra. Pero el bug hacía que ese «borrar» no fuera real: las notificaciones persistían en el almacenamiento del dispositivo sin que el usuario lo supiera.
Lo más inquietante del caso es que el cifrado de extremo a extremo de Signal funcionaba perfectamente. Nadie interceptó los mensajes en tránsito. El FBI simplemente leyó los restos que iOS había acumulado en una base de datos que Apple había descuidado. Herramientas forenses como las que usan las fuerzas del orden pudieron extraer esos fragmentos de un iPhone incautado, incluso después de que el usuario hubiera borrado la aplicación.
Qué dice la actualización de iOS y cómo protege ahora a Signal
El parche de emergencia que publicó Apple —iOS 26.4.2 para dispositivos recientes e iOS 18.7.8 para modelos anteriores— introduce lo que la compañía describió como «una mejora en la redacción de datos y protocolos de purga más estrictos». En la práctica, Signal y el cifrado de extremo a extremo no son la misma cosa que la seguridad del sistema operativo que los sostiene: si el OS tiene un agujero, el cifrado más robusto del mundo no sirve de nada una vez que el mensaje llega al dispositivo.
Apple rara vez lanza actualizaciones fuera de su ciclo habitual. Que lo hiciera en este caso —con versiones simultáneas para terminales actuales y modelos más antiguos— es la señal más clara de que el riesgo era real e inmediato. Desde Signal, su presidenta Meredith Whittaker presionó públicamente a Apple para que reparara la vulnerabilidad sin demora, insistiendo en que si un mensaje se borra o está diseñado para desaparecer, sus notificaciones no deben seguir almacenadas en ninguna base de datos del sistema.
Por qué este caso importa más allá de Signal
Este episodio tiene una lectura que va mucho más allá de Signal: el fallo afectaba al sistema de notificaciones de iOS en su conjunto, lo que significa que cualquier aplicación que generara notificaciones con contenido sensible podía verse expuesta en condiciones similares. No se trata de un fallo de Signal, sino de una vulnerabilidad sistémica en iOS que tuvo consecuencias reales y documentadas.
El caso sacude además uno de los mitos más extendidos sobre la privacidad digital: que el cifrado de extremo a extremo lo resuelve todo. En la práctica, las fuerzas del orden pudieron leer fragmentos legibles de conversaciones de Signal sin vulnerar el protocolo criptográfico, simplemente analizando residuos que iOS había retenido por un comportamiento defectuoso. La seguridad no es una app; es una cadena completa de eslabones.
Qué debes hacer ahora mismo si usas Signal en iPhone
Para saber si estás protegido, el camino es directo: ve a Ajustes → General → Actualización de software en tu iPhone. Si ves iOS 26.4.2 (o iOS 18.7.8 si tienes un modelo antiguo) o una versión posterior, estás cubierto. Si no lo has instalado todavía, hazlo ahora.
¿Qué pasos concretos recomienda seguir?
- Instala la actualización de iOS desde Ajustes → General → Actualización de software.
- Configura las notificaciones de Signal para que no muestren el contenido del mensaje en la pantalla de bloqueo: dentro de Signal, ve a Ajustes → Notificaciones → Mostrar → «Sin nombre ni mensaje».
- Activa la actualización automática en iOS para recibir parches críticos sin depender de recordatorios.
- Revisa qué apps tienen acceso a notificaciones con contenido sensible y valora desactivar las vistas previas en pantalla de bloqueo.
¿Y si uso Signal en Android?
En Android el mecanismo de notificaciones es diferente y este fallo concreto no les afectó. Sin embargo, mantener Signal actualizado sigue siendo imprescindible: en 2025 se detectó otra vulnerabilidad que hackers vinculados a servicios de inteligencia rusos explotaban mediante códigos QR maliciosos para vincular dispositivos en tiempo real. El historial de Signal demuestra que la app responde rápido cuando aparecen fallos, pero que la respuesta solo llega si tienes instalada la última versión.
Qué nos enseña este caso sobre el futuro de la mensajería privada
El incidente de Signal e iOS marca un punto de inflexión en cómo entendemos la privacidad digital. Hasta ahora el debate giraba casi siempre en torno al cifrado de los mensajes en tránsito. Este caso desplaza el foco hacia un territorio más incómodo: lo que ocurre con los datos una vez que llegan al dispositivo y cómo los gestiona el sistema operativo. Es un terreno donde los usuarios tienen mucho menos control y visibilidad.
La buena noticia es que tanto Apple como Signal han demostrado capacidad de reacción rápida cuando el problema se hace público. El siguiente paso, que ya se discute en el sector, es que los sistemas operativos adopten arquitecturas de privacidad más granulares donde las notificaciones de apps clasificadas como «mensajería segura» reciban tratamiento diferencial desde el propio kernel. Mientras eso llega, la regla más eficaz sigue siendo la misma de siempre: actualiza en cuanto puedas, porque cada día de retraso es un día de exposición que no tiene por qué existir.
