X (Twitter)
El nuevo 'whatsapp' de Elon Musk genera dudas: tiene un cifrado débil que permitiría leer los mensajes a terceros
Un experto en criptografía ha analizado el cifrado de extremo a extremo de XChat y asegura que la aplicación no es tan segura como sus rivales, Signal.
Más información: Tu perfil de X no te pertenece: Elon Musk asegura que es el propietario de todas las cuentas de usuario de la red social
Están siendo semanas ajetreadas para el multimillonario Elon Musk por su enfrentamiento público con el actual presidente de Estados Unidos, Donald Trump. Al mismo tiempo, el magnate parece decidido a centrarse más en sus múltiples negocios y la semana pasada anunció su nueva herramienta de mensajería instantánea XChat.
Los usuarios premium de X, red social también conocida como Twitter, se quedaban sin la protección del cifrado de extremo a extremo que incluye la suscripción premium a principios de mes. Esta función clave para la seguridad se quedaba en pausa "mientras implementamos algunas mejoras", decía una cuenta oficial de X.
Esa mejora era el nacimiento de la esperada XChat, una nueva aplicación de mensajería en la que Musk ha prometido terminar reuniendo toda clase de servicios. Sin embargo, expertos en ciberseguridad y criptografía han analizado las medidas de protección de XChat y advierten de sus debilidades.
Aplicación X en un teléfono móvil
Matthew Green, criptógrafo y profesor de la Universidad Johns Hopkins, ha elaborado un extenso artículo desgranando los puntos flacos que tendría el sistema de cifrado de X a la hora de impedir que alguien que no sea el emisor o receptor vea los mensajes de los chats, como ofrecen otras aplicaciones como WhatsApp o Signal.
Green asegura que XChat almacena las claves privadas del usuario en sus propios servidores. Lo mismo hacen otras aplicaciones como Instagram. Pero sus servicios utilizan módulos de seguridad de hardware (HSM) que refuerzan la protección de esas claves. En XChat no está tan claro que se use HSM.
El cifrado de extremo a extremo que aplican la mayoría de herramientas de mensajería instantánea se ha mejorado con el tiempo. Como todo servicio de software requiere de actualizaciones para seguir reforzando su seguridad frente a los nuevos trucos que diseñan los ciberdelincuentes.
Una de las mejoras que se han creado son los sistemas Juicebox, Signal SVR y iCloud Key Vault. Se idearon para mejorar la gestión de las claves secretas. Green recuerda que las claves se suelen guardar en el dispositivo, el móvil por ejemplo, pero este puede perderse o la aplicación se usa en varios equipos, incluso, en navegadores.
Two of the realms are using HSMs, we will publish the key ceremonies in the not too distant future
— Mike (@cambridgemike) June 10, 2025
Guardar la clave en el servidor de las empresas que gestionan las aplicaciones de mensajería, sería como llevar un post-it con la contraseña pegado en la parte trasera del móvil. La solución fue encriptar la clave secreta o PIN y luego subir el valor cifrado al proveedor de servicios.
En este sentido, Juicebox es un servidor de reforzamiento de claves que convierte ese PIN que le resulta fácil de recordar al usuario en una clave criptográfica segura, mezclándola en un sistema de almacenamiento en los servidores de Juicebox.
![iPhone 16 Plus](["https:\/\/s1.elespanol.com\/2024\/09\/10\/omicrono\/analisis-prueba-productos\/884921994_249070386_320x180.jpg"])
Sin embargo, para Matthew Green sigue faltando un paso más de protección. Este experto afirma que sin protecciones como el uso verificable de HSM, la seguridad del cifrado de extremo a extremo de XChat no está completa.
Si las claves de descifrado residen en tres servidores sin HSM, todos bajo el control de X, entonces X probablemente podría obtener la clave de cualquiera y descifrar sus mensajes, explica en su blog este profesor de la Johns Hopkins.
Elon Musk con el logo de X Omicrono
Este experto ha recibido una contestación por parte de uno de los ingenieros de la propia red social, asegurando que sí protegen los servidores con HSM. "Dos de los reinos están usando HSM, publicaremos las ceremonias clave en un futuro no muy lejano", se puede leer en la contestación
Green explica en su publicación que aún no ha encontrado una prueba que confirme el uso de HSM, pero tampoco ha encontrado evidencias que desmientan la afirmación del ingeniero de X. "Obviamente, no hay razón para esperar que algo sea seguro cuando el implementado se esfuerza por ocultarlo", concluye el experto en criptografía.
