Volver al Blog
privacidadseguridadencriptaciónverificacióncódigo abiertoauditorías de seguridad

Te han mentido: Cómo detectar qué apps "privadas" son mentira

Snugg Team|11 de enero de 2026|10 min de lectura
Te han mentido: Cómo detectar qué apps "privadas" son mentira


La mentira que creí durante tres años

En 2020, cambié a Zoom para el trabajo porque decían tener "encriptación de extremo a extremo".

Les creí.

Tenía llamadas sensibles con clientes en Zoom. Reuniones de directorio. Discusiones confidenciales. Todo "encriptado", ¿verdad?

Error.

Investigadores de seguridad leyeron el código de Zoom y demostraron que mentían. Zoom podía ver y escuchar todo.

Zoom se disculpó (más o menos), cambió su marketing y siguió adelante. Pero esto es lo que realmente me molestó:

No tenía forma de saber que mentían hasta que alguien más los descubrió.

Y fue entonces cuando me di cuenta: He estado confiando en empresas que me mentían en la cara, y no tenía idea de cómo notar la diferencia.

¿Te suena familiar?

Todas las apps dicen ser "privadas"

Abre el sitio web de cualquier app. ¿Qué dicen?

  • "Encriptación de grado militar"

  • "Seguridad de nivel bancario"

  • "Nos tomamos la privacidad en serio"

  • "Tus datos están protegidos"

  • "Encriptación de extremo a extremo"


Aquí está el problema: Todos dicen esto. Incluso las apps que mienten.

Los mentirosos

Zoom: Dijo "encriptación de extremo a extremo" → Investigadores demostraron que era falso

TikTok: Dijo que no comparten datos con China → Sí lo hacían

Telegram: Dice "seguridad de grado militar" → Expertos en seguridad no están de acuerdo

LinkedIn: Dijo que no entrenan IA con tus datos → Sí lo hacen

Facebook: Dice que le importa la privacidad → LOL

¿El patrón? Las afirmaciones de marketing no significan nada.

Las palabras son baratas. La evidencia lo es todo.

No necesitas ser un experto en tecnología

Esto es lo que aprendí después del incidente de Zoom:

No necesitas entender la encriptación para detectar mentirosos.

Solo necesitas saber qué preguntas hacer.

Piénsalo como comprar un auto usado:

  • No necesitas ser mecánico

  • Pero deberías saber si el odómetro fue alterado

  • Y si los papeles están en orden

  • Y si hay historial de servicio


Lo mismo aplica para las afirmaciones de privacidad. No necesitas ser criptógrafo—solo necesitas conocer las señales de alerta.

Déjame mostrarte.

Señal de alerta #1: Términos de marketing vagos

"Encriptación de grado militar"

Lo que quieren que pienses: "¡Wow, los militares usan esto. ¡Debe ser súper seguro!"

Lo que realmente significa: Nada específico.

Los militares usan varios estándares de encriptación. Algunos excelentes, algunos obsoletos, algunos clasificados. "Grado militar" no te dice cuál.

En serio: Cuando alguien dice "grado militar" pero no te dice el algoritmo real (como "AES-256" o "ChaCha20"), probablemente están mintiendo.

"Seguridad de nivel bancario"

Lo que quieren que pienses: "¡Los bancos son seguros, así que esto debe ser seguro!"

Lo que realmente significa: También sin significado.

Algunos bancos todavía usan códigos SMS (súper inseguros). Algunos usan tokens de hardware (seguros). "Nivel bancario" podría significar cualquiera de los dos.

En serio: Los bancos son hackeados todo el tiempo. No es el alarde que creen.

"Nos tomamos la privacidad en serio"

Lo que quieren que pienses: "¡Les importa mi privacidad!"

Lo que realmente significa: Literalmente nada.

Todas las plataformas dicen esto. Incluso Facebook lo dice.

Meta ganó $110 mil millones el año pasado con publicidad. Ese dinero vino de violar tu privacidad. Pero aún dicen que "se lo toman en serio".

En serio: Si no explican CÓMO protegen la privacidad con detalles técnicos específicos, solo están diciendo palabras.

Señal de alerta #2: "Encriptado" sin decir "de extremo a extremo"

Esta es enorme.

Hay tres tipos de encriptación:

1. Encriptación de transporte (HTTPS)

  • Protege datos mientras viajan a sus servidores
  • La empresa aún puede leer todo
  • Todos los sitios web tienen esto (incluso los de estafas)

2. Encriptación en reposo

  • Los datos se encriptan cuando se almacenan en sus servidores
  • La empresa aún puede desencriptarlos y leerlos
  • Solo protege contra hackers

3. Encriptación de extremo a extremo (E2E)

  • Solo tú y el destinatario pueden leerlo
  • La empresa NO PUEDE leerlo (matemáticamente imposible)
  • Esta es la única que realmente protege la privacidad
Este es el truco que usan las plataformas:

Dicen "Encriptamos tus datos" (técnicamente cierto—HTTPS)
Pero no dicen "NO PODEMOS leer tus datos" (porque sí pueden)

Ejemplos reales:

  • Discord: Dice "encriptado" → Pueden leer todo

  • Telegram: Dice "encriptado" → Los chats normales no son E2E

  • Facebook Messenger: Dice "encriptado" → Los chats predeterminados no son E2E

  • Signal: Dice "encriptación de extremo a extremo" → Realmente no pueden leer tus mensajes

  • WhatsApp: Dice "encriptación de extremo a extremo" → El contenido del mensaje está protegido (pero Meta recopila todos los metadatos)


La pregunta que debes hacer: "¿Está encriptado de extremo a extremo, o puede la empresa leer mis datos?"

Señal de alerta #3: Encriptación personalizada

Los expertos profesionales en seguridad tienen un dicho:

"Cualquiera puede crear una encriptación tan fuerte que ELLOS no pueden romperla. El truco es crear una encriptación tan fuerte que NADIE MÁS pueda romperla tampoco."

Traducción: No inventes tu propia encriptación. Usa lo que los expertos han probado.

Algoritmos de encriptación estándar (usados por apps realmente seguras):

  • AES-256

  • ChaCha20

  • Curve25519

  • RSA-4096


Estos han sido probados por miles de expertos durante décadas. Sabemos que funcionan.

Encriptación personalizada = Señal de alerta

¿Por qué? Porque la empresa es:
1. Arrogante (cree que es más inteligente que todos los criptógrafos del mundo)
2. Incompetente (no entiende por qué esto es peligroso)
3. Mentirosa (la encriptación personalizada es más fácil de poner puertas traseras)

Ejemplo real: Telegram

Usa encriptación personalizada llamada "MTProto". Expertos en seguridad han encontrado múltiples problemas con ella.

Mientras tanto, Signal usa algoritmos estándar en los que todos los expertos confían.

¿En cuál confiarías?

Señal verde #1: Código abierto

Esta es la mayor diferencia entre apps confiables y sospechosas.

Código cerrado: "Confía en nosotros, es seguro"
Código abierto: "Aquí está nuestro código. Compruébalo tú mismo."

Por qué esto importa

¿Recuerdas la mentira de Zoom sobre la encriptación? Los investigadores de seguridad solo lo descubrieron porque hicieron ingeniería inversa del código de Zoom.

Si Zoom hubiera sido código abierto, la mentira se habría descubierto inmediatamente.

Ejemplos reales:

  • Signal: Completamente código abierto en GitHub → Cualquiera puede verificar sus afirmaciones

  • WhatsApp: Código cerrado → Tienes que confiar en Meta (lol)

  • Snugg: Será completamente código abierto en el lanzamiento → Verifica todo tú mismo


La prueba: Ve a su sitio web. Busca un enlace a "GitHub" o "Código abierto".

Si dicen ser privados pero no te muestran el código, eso es muy sospechoso.

Señal verde #2: Auditorías de seguridad independientes

Las plataformas confiables pagan a empresas de seguridad externas para auditar su código y publicar los resultados.

Qué buscar:

  • Auditoría de una firma real (Trail of Bits, Cure53, NCC Group)

  • La auditoría es reciente (dentro de 2 años)

  • La auditoría es pública (puedes leerla)

  • Arreglaron los problemas encontrados


Señales de alerta:
  • "Hemos sido auditados" pero no publican el informe

  • La auditoría tiene más de 5 años

  • No pueden nombrar la firma de auditoría

  • "No se encontraron problemas" (toda auditoría real encuentra algo)


Ejemplos reales:
  • Signal: Múltiples auditorías públicas, todas publicadas, problemas corregidos

  • Telegram: Ofrece recompensas pero no auditorías públicas completas

  • Snugg: Auditoría programada con Trail of Bits antes del lanzamiento


La prueba: Busca "[Nombre de la app] security audit" y mira si realmente puedes leerla.

Señal verde #3: Son honestos sobre las limitaciones

Señal de alerta: "¡Somos 100% seguros contra todo!"
Señal verde: "Esto es lo que protegemos Y lo que no."

Ninguna seguridad es perfecta. Las empresas honestas lo admiten.

Ejemplo: La honestidad de Signal

Qué protege Signal:

  • Contenido de mensajes (encriptado)

  • Llamadas (encriptadas)

  • Algunos metadatos (sealed sender)


Qué NO protege Signal:
  • Tu teléfono si alguien lo roba

  • Capturas de pantalla

  • Si reenvías mensajes a alguien más


Son directos sobre esto. Eso es confiable.

Compara con apps sospechosas:

"¡Seguridad de grado militar!" (¿Qué significa eso?)
"¡100% seguro!" (Imposible)
"¡Privacidad completa!" (No funciona así)

La prueba: ¿Explican limitaciones, o prometen perfección?

La lista de verificación simple

No necesitas entender código. Solo haz estas preguntas:

1. ¿El código es público?

  • Ve a su sitio web
  • Busca enlace a "GitHub" o "Código abierto"
  • Si dicen ser privados pero no muestran código → sospechoso

2. ¿Ha sido auditado?

  • Busca en Google "[Nombre de la app] security audit"
  • ¿Puedes leer el informe de auditoría?
  • Si la auditoría es secreta o no existe → sospechoso

3. ¿Es encriptación de extremo a extremo?

  • ¿Dice específicamente "de extremo a extremo"?
  • ¿O solo "encriptado" (que no significa nada)?
  • Si es vago sobre E2E → sospechoso

4. ¿Qué encriptación usan?

  • ¿Nombran algoritmos específicos?
  • ¿O solo dicen "grado militar"?
  • Si no nombran el algoritmo → sospechoso

5. ¿Los expertos en seguridad confían en ella?

  • Busca opiniones en Reddit r/privacy
  • Revisa discusiones en HackerNews
  • Si los expertos son escépticos → sospechoso

6. ¿Cómo ganan dinero?

  • ¿Suscripción? (Bien—incentivos alineados)
  • ¿Publicidad? (Mal—necesitan tus datos)
  • ¿"Gratis" sin explicación? (Muy mal—venden tus datos)
  • Si el modelo de negocio depende de datos → no confiable
Puntuación:
  • 5-6 sí: Probablemente confiable (aún verifica tú mismo)
  • 3-4 sí: Procede con extrema precaución
  • 0-2 sí: No confíes en esta app

Ejemplos reales: Revisemos algunas apps

Signal — CONFIABLE

1. ¿Código abierto? Sí (github.com/signalapp)
2. ¿Auditado? Múltiples auditorías públicas
3. ¿E2E encriptado? Sí, todo
4. ¿Encriptación específica? Signal Protocol, completamente documentado
5. ¿Los expertos confían? Sí, universalmente
6. ¿Modelo de negocio? Donaciones sin fines de lucro

Veredicto: Afirmaciones verificadas. Signal es legítimo.

WhatsApp — MIXTO

1. ¿Código abierto? No (código cerrado)
2. ¿Auditado? Usa Signal Protocol (auditado) pero la app es cerrada
3. ¿E2E encriptado? Sí, pero recopilación extensiva de metadatos
4. ¿Encriptación específica? Usa Signal Protocol
5. ¿Los expertos confían? Encriptación sí, propiedad de Meta no
6. ¿Modelo de negocio? Publicidad de Meta

Veredicto: Los mensajes están encriptados, pero Meta recopila todo lo demás sobre ti. A lo mejor, medio confiable.

Telegram — SOSPECHOSO

1. ¿Código abierto? Clientes sí, servidor no
2. ¿Auditado? Programa de recompensas pero preocupaciones persisten
3. ¿E2E encriptado? Solo "Chats secretos" (no predeterminado)
4. ¿Encriptación específica? MTProto personalizado (expertos escépticos)
5. ¿Los expertos confían? Mixto a negativo
6. ¿Modelo de negocio? Poco claro (¿cómo ganan dinero?)

Veredicto: La mayoría de los chats no son E2E encriptados. La encriptación personalizada es cuestionable. Modelo de negocio poco claro. No confiable.

Zoom — MENTIROSO (Histórico)

1. ¿Código abierto? No
2. ¿Auditado? No cuando hicieron la afirmación
3. ¿E2E encriptado? Dijeron que sí, investigadores demostraron que no
4. ¿Encriptación específica? Afirmaciones vagas
5. ¿Los expertos confían? Los atraparon mintiendo
6. ¿Modelo de negocio? Freemium/Empresas

Veredicto: Literalmente mintieron sobre E2E encriptación. Ejemplo perfecto de por qué la verificación importa.

Estado actual: Ahora ofrece E2E para algunas funciones, pero la confianza se perdió.

"Pero no soy técnico..."

Buenas noticias: No tienes que serlo.

Aquí está la versión de tres preguntas:

Pregunta 1: ¿Es código abierto?

  • Busca enlace a GitHub en su sitio web

  • Sí o No


Pregunta 2: ¿Ha sido auditado?
  • Busca en Google "[Nombre de la app] security audit"

  • ¿Puedes encontrarlo y leerlo?

  • Sí o No


Pregunta 3: ¿Los expertos en seguridad en Reddit/HackerNews confían en ella?
  • Busca discusiones en r/privacy

  • Lee lo que dicen los expertos

  • Confiable o Escépticos


Si los tres son SÍ → Probablemente está bien
Si alguno es NO → Sé escéptico

Eso es todo. Acabas de aprender a detectar la mayoría de las mentiras de privacidad.

¿Qué pasa con las apps "nuevas" que no han sido auditadas?

Pregunta justa. No todas las apps tienen la antigüedad para tener auditorías públicas.

Señales verdes para apps nuevas:

  • Código abierto (para que expertos PUEDAN auditarla)

  • Usan encriptación estándar (no personalizada)

  • Tienen auditoría programada/en progreso

  • Son transparentes sobre no estar auditados

  • El equipo incluye expertos en seguridad


Señales de alerta para apps nuevas:
  • Código cerrado Y sin auditar

  • Encriptación personalizada

  • Afirman seguridad perfecta

  • No se comprometen a futuras auditorías

  • Equipo anónimo


Ejemplo: Snugg (Somos nosotros)

Somos nuevos. ¿Cómo deberías evaluarnos?

  • Será código abierto en el lanzamiento (verifica el código)

  • Usa encriptación estándar (TweetNaCl.js: XSalsa20-Poly1305)

  • Auditoría de seguridad programada con Trail of Bits antes del lanzamiento

  • Modelo de amenazas transparente publicado

  • El equipo incluye asesores de seguridad


Nuestra opinión: No confíes en nosotros. Cuando lancemos, verifica todo tú mismo. Ese es literalmente el punto de este artículo.

La conclusión: Has estado confiando en mentirosos

Esto es lo que aprendí después del incidente de Zoom:

Las empresas mienten sobre privacidad todo el tiempo. La mayoría de los usuarios nunca se enteran.

Pero no tienes que ser uno de esos usuarios.

La versión simple:

1. Busca código abierto → ¿Pueden los expertos verificarlo?
2. Busca auditorías públicas → ¿Ha sido verificado?
3. Busca detalles específicos → ¿O solo marketing?
4. Pregunta qué piensan los expertos → Revisa Reddit r/privacy
5. Verifica el modelo de negocio → ¿Necesitan tus datos para ganar dinero?

Si una plataforma puntúa bien en estos, probablemente es confiable.

Si no, asume que mienten hasta que se demuestre lo contrario.

Por qué esto importa

Probablemente has usado apps durante años que pensabas que eran privadas.

Tal vez lo son. Tal vez no.

La pregunta es: ¿Cómo lo sabrías?

Hasta ahora, no lo sabrías. Solo tendrías que confiar en ellos.

Pero confiar sin verificar es cómo obtuvimos las mentiras de Zoom, el compartir datos de TikTok, y todo el modelo de negocio de Facebook.

Mereces algo mejor que "confía en nosotros".

Mereces apps que puedas verificar.

Qué hace Snugg diferente

Construimos Snugg para ser verificable desde el día uno.

A qué nos comprometemos:

  • Código abierto → Verifica nuestro código en GitHub

  • Auditorías públicas → Lee los informes de auditoría

  • Encriptación estándar → Sin criptografía personalizada

  • Limitaciones honestas → Te diremos qué no protegemos

  • Modelo de negocio transparente → Suscripciones, no vigilancia


Qué debes hacer:

Cuando lancemos, no confíes en nosotros. Verifícanos.

Usa este artículo. Verifica nuestro código. Lee nuestra auditoría. Pregunta a expertos en seguridad qué piensan.

Si nuestras afirmaciones no coinciden con la realidad, denuncia.

Así es como debería funcionar.

Recursos para aprender más

¿Quieres verificar apps tú mismo?

Comunidades donde expertos en seguridad discuten apps:

  • r/privacy (Reddit)

  • news.ycombinator.com (Hacker News)

  • @privacyguides@mastodon.social (Mastodon)


Guías de privacidad:
  • EFF's Surveillance Self-Defense: ssd.eff.org

  • Security Planner: securityplanner.org


Firmas de auditoría a buscar:
  • Trail of Bits: trailofbits.com

  • NCC Group: nccgroup.com

  • Cure53: cure53.de


Si una app dice que fue auditada por una de estas firmas, generalmente puedes confiar en eso (siempre que el informe sea público).

Tarjeta de referencia rápida

Imprime esto o toma una captura de pantalla:

Señales de alerta (No confiar)

  • "Grado militar" sin especificaciones
  • "Seguridad de nivel bancario" sin detalles
  • "Encriptado" pero no "de extremo a extremo"
  • Encriptación personalizada
  • Código cerrado
  • Sin auditorías públicas
  • El modelo de negocio requiere tus datos
  • Detalles técnicos vagos o inexistentes

Señales verdes (Podría ser confiable)

  • Código abierto
  • Auditorías de seguridad públicas
  • Dice específicamente "encriptación de extremo a extremo"
  • Nombra algoritmos específicos
  • Honesto sobre limitaciones
  • Los expertos en seguridad confían
  • El modelo de negocio no necesita tus datos
  • Equipo transparente
Regla general: Si no pueden (o no quieren) probarlo, no lo creas.

Una última cosa

Después de Zoom, cambié cómo evalúo las apps.

Yo antes: "Dijeron que está encriptado, así que debe ser seguro."
Yo ahora: "Muéstrame el código, muéstrame la auditoría, o no te creo."

No es cinismo. Es realismo.

Las empresas han demostrado que mentirán sobre privacidad para ganar usuarios.

La única defensa es la verificación.

Y ahora sabes cómo.

Prueba Snugg

Estamos construyendo una plataforma que realmente puedes verificar.

Qué nos hace diferentes:

  • Código abierto (verifica el código tú mismo)

  • Auditado independientemente (lee los informes)

  • Encriptación de extremo a extremo (todo, no solo mensajes)

  • Sin anuncios (modelo de suscripción)

  • Metadatos mínimos (no podemos perfilarte)


Pero no confíes en nosotros. Verifícanos cuando lancemos.

Únete a la lista de espera →

¿Preguntas?

"¿No es esto paranoico?"

¿Es paranoico no confiar en empresas que han demostrado que mienten? Zoom mintió. TikTok mintió. Facebook miente constantemente. Esto es realismo, no paranoia.

"¿Qué si solo quiero usar lo que todos usan?"

Está bien. Pero al menos sabrás lo que estás renunciando. El consentimiento informado importa.

"¿Se pueden falsificar las auditorías?"

Las firmas de renombre (Trail of Bits, NCC Group, Cure53) apuestan todo su negocio en auditorías honestas. Mentir las destruiría. Así que aunque técnicamente posible, es extremadamente improbable.

"¿Qué pasa con apps que no pueden ser código abierto?"

Las apps bancarias, por ejemplo, a menudo no pueden abrir su código. Está bien—pero entonces mejor que tengan múltiples auditorías, cumplimiento regulatorio, e informes de transparencia. Mayor escrutinio para código cerrado.

Comparte esto si conoces a alguien que todavía piensa que "encriptado" automáticamente significa "privado".

Sobre Snugg: Estamos construyendo una plataforma social que realmente puedes verificar. Código abierto, auditada, encriptación de extremo a extremo. Sin vigilancia, sin mentiras.

Más información: snugg.social
Preguntas: hello@snugg.social

Sobre la Autora - Sam Bartlett

Soy inspectora de yates en el Caribe y fundadora de Snugg. Después de 15 años viendo cómo las plataformas de redes sociales priorizan la publicidad sobre las conexiones genuinas, decidí construir la alternativa. Anteriormente construí y dirigí un exitoso negocio de vacaciones en velero, liderando los resultados de búsqueda de Google durante años hasta que los cambios en el algoritmo destruyeron el alcance orgánico. No soy desarrolladora ni activista de la privacidad, solo alguien que se cansó de las plataformas que olvidaron su propósito. Cuando no estoy construyendo Snugg o inspeccionando yates, deseo que todos tengan más tiempo para navegar en lugares hermosos (o para lo que les traiga alegría).

Conéctate conmigo:



Compartir esta publicación

¿Listo para una privacidad real?

Únete a nuestra lista de espera y sé de los primeros en experimentar una plataforma social verdaderamente privada.

Unirme a la lista de espera