Así pudo el FBI extraer mensajes de Signal de un iPhone tras desinstalar la aplicación
Signal goza de una sólida reputación como una de las aplicaciones de mensajería más seguras del mercado, especialmente entre usuarios que priorizan la privacidad y las comunicaciones cifradas.
Sin embargo, un reciente caso judicial en Estados Unidos ha puesto de relieve una realidad incómoda: aunque una app esté diseñada para proteger los mensajes y hasta permita que desaparezcan automáticamente, ciertos fragmentos de esas conversaciones pueden seguir dejando rastro en lugares inesperados del sistema.
Según se ha conocido durante un juicio reciente, el FBI logró extraer copias de mensajes entrantes de Signal desde el iPhone de una acusada, a pesar de que la aplicación ya había sido eliminada del dispositivo. La clave no estuvo en una vulnerabilidad directa de Signal, sino en que parte del contenido de esos mensajes había quedado almacenado en la base de datos interna de notificaciones push del iPhone.
El caso que ha destapado esta situación
El episodio salió a la luz en el marco de un proceso judicial relacionado con un ataque contra el centro de detención de ICE Prairieland, situado en Alvarado, Texas, ocurrido en julio. El caso involucraba a un grupo de personas acusadas de lanzar fuegos artificiales, causar daños materiales en las instalaciones y, en uno de los incidentes más graves, disparar a un agente de policía en el cuello.
Durante el juicio, varios asistentes presentes en la sala relataron que un agente especial del FBI, Clark Wiethorn, explicó parte de las pruebas obtenidas en la investigación. Entre ellas figuraban mensajes de Signal recuperados de uno de los iPhone analizados forensemente por las autoridades.
El proceso también ha tenido una importante carga política. De hecho, este caso del centro de detención de Prairieland fue presentado como la primera ocasión en la que las autoridades imputaban a varias personas por supuestas actividades vinculadas a “Antifa” después de que el presidente Donald Trump calificara ese término paraguas como una organización terrorista doméstica en septiembre. Los partidarios de los más de doce acusados sostienen que se trata de un caso de represión política.
Cómo pudo recuperar el FBI mensajes de Signal tras borrar la aplicación
Lo más llamativo del caso es que los investigadores no recuperaron esos mensajes porque Signal hubiera fallado en su cifrado o porque conservara un historial accesible tras la desinstalación. Lo que ocurrió, según el testimonio recogido durante el juicio, es que el iPhone había guardado internamente las notificaciones y las vistas previas de mensajes que aparecían en la pantalla de bloqueo.
En otras palabras, aunque la conversación ya no estuviera visible en la aplicación e incluso aunque los mensajes hubieran desaparecido dentro de Signal, una copia parcial de esos mensajes entrantes podía seguir existiendo en el almacenamiento interno del iPhone como parte del sistema de notificaciones.
Una persona presente durante el juicio, que tomó notas de la declaración del FBI y pidió permanecer en el anonimato para evitar represalias, explicó que en los iPhone, si la configuración de Signal permite mostrar notificaciones y previsualizaciones en la pantalla bloqueada, el sistema operativo almacena internamente esas notificaciones en la memoria del dispositivo.
Ese detalle fue fundamental para la extracción forense de los datos. El FBI tuvo acceso físico al terminal y, mediante software especializado, pudo obtener esa información residual guardada por el sistema. Se trata, por tanto, de un ejemplo claro de cómo un análisis forense de un dispositivo puede revelar datos sensibles procedentes de apps seguras en lugares donde muchos usuarios ni siquiera pensarían mirar.
Los mensajes recuperados eran entrantes, no salientes
Uno de los puntos más relevantes de la prueba presentada es que la recuperación afectó únicamente a mensajes entrantes. Según un resumen del llamado Exhibit 158, publicado en la web de un grupo de apoyo a los acusados, los mensajes fueron extraídos del teléfono de Lynette Sharp a través del sistema interno de almacenamiento de notificaciones de Apple.
Ese resumen indicaba que Signal había sido eliminado del iPhone, pero que las notificaciones entrantes se habían conservado en la memoria interna. También señalaba que solo pudieron recuperarse mensajes recibidos, no mensajes enviados.
La abogada Harmony Schuerman, representante de una de las acusadas, Elizabeth Soto, también tomó notas sobre esa misma prueba. En ellas reflejó que los investigadores pudieron capturar esos chats precisamente por la forma en que estaban configuradas las notificaciones del teléfono: cada vez que aparecía una notificación en la pantalla de bloqueo, Apple almacenaba esa información en la memoria interna del dispositivo.
Otro de los asistentes al juicio señaló además un detalle especialmente delicado: algunos de los mensajes mostrados en sala estaban configurados para desaparecer y, de hecho, ya habían desaparecido dentro de Signal. Aun así, los extractos de esos mensajes seguían siendo accesibles a través del rastro que habían dejado en el sistema de notificaciones del iPhone.
Qué significa esto para la seguridad de Signal
Este caso no implica necesariamente que Signal tenga un fallo crítico en su arquitectura de seguridad. La aplicación sigue utilizando cifrado de extremo a extremo y continúa siendo una de las plataformas más sólidas para intercambiar mensajes privados. El problema que revela este episodio parece estar más relacionado con la interacción entre una app segura y la forma en que iOS gestiona y almacena las notificaciones.
Cuando un usuario recibe un mensaje en Signal, el teléfono suele mostrar una notificación push que informa de la llegada de un nuevo mensaje y, dependiendo de la configuración elegida, puede incluir el nombre del remitente y parte del contenido. Esa comodidad, útil para la mayoría de usuarios, puede convertirse también en una fuente de exposición adicional si alguien obtiene acceso físico al terminal y realiza una extracción forense.
Por tanto, la lección aquí no es que Signal haya dejado de ser segura, sino que la privacidad real de una conversación depende no solo del cifrado de la app, sino también de ajustes del sistema que a menudo pasan desapercibidos.
La importancia de la configuración de notificaciones en Signal
Signal incluye desde hace tiempo una opción para limitar qué información aparece en las notificaciones. Dentro del menú de notificaciones de la aplicación, los usuarios pueden decidir qué tipo de contenido se muestra.
Entre las opciones disponibles se encuentran mostrar nombre, contenido y acciones; mostrar solo el nombre; o directamente no mostrar ni nombre ni contenido. Este caso judicial subraya por qué, para ciertos perfiles de riesgo, conviene revisar esta configuración con mucho cuidado.
Si las notificaciones están configuradas para mostrar fragmentos del mensaje en la pantalla bloqueada, existe la posibilidad de que esas vistas previas queden registradas en la memoria interna del dispositivo. Eso no significa que cualquier persona pueda acceder fácilmente a ellas, pero sí que una investigación forense con acceso físico al teléfono podría llegar a recuperar parte de ese material.
Para periodistas, activistas, abogados, denunciantes, fuentes confidenciales o cualquier usuario que maneje información especialmente sensible, reducir la información visible en las notificaciones puede marcar una diferencia importante.
No parece ser un problema exclusivo de Signal
Otro aspecto importante es que esta situación probablemente no afecta solo a Signal. Todo apunta a que se trata de una consecuencia más amplia de cómo Apple almacena las notificaciones en iOS y de la tensión inherente entre las apps de mensajería segura y la arquitectura del sistema operativo.
Es decir, el problema no estaría tanto en una decisión concreta de Signal como en el hecho de que iOS guarda ciertos datos asociados a las notificaciones, algo que puede dejar restos de información procedente de múltiples aplicaciones.
Eso abre una discusión más amplia sobre la privacidad en los smartphones modernos. Aunque una aplicación implemente medidas robustas de seguridad, siempre existe el riesgo de que el sistema operativo, las copias de seguridad, las notificaciones o los metadatos generen nuevas superficies de exposición.
