XChat: ¿cuál es el problema con la nueva aplicación de mensajería de Elon Musk?

Desglosamos la nueva aplicación de mensajería de Elon Musk, XChat: esto es lo que sabemos sobre su cifrado de extremo a extremo y si el nuevo servicio realmente puede competir con Signal, WhatsApp y Telegram.

XChat de Elon Musk: ¿qué tan segura es la nueva aplicación de mensajería?

Pavel Durov y su aplicación de mensajería “privada” tienen un nuevo rival, y es nada más y nada menos que Elon Musk y su XChat. En nuestro blog, hemos analizado más de una vez por qué las declaraciones de Durov acerca de la privacidad y la seguridad de Telegram son exageradas, por decirlo suavemente. Aquí, solo le recordaré al lector que los chats estándar (no secretos) de Telegram no están protegidos por cifrado de extremo a extremo, que es lo mínimo requerido para que los datos del usuario permanezcan privados.

Pero volvamos a Musk. A fines de abril de 2026, se lanzó la aplicación XChat para usuarios de iOS. El magnate de la tecnología había estado promocionando su aplicación de mensajería durante mucho tiempo, presentándola desde el primer día como una forma increíblemente privada y segura de comunicarse, y como una amenaza directa para Signal, WhatsApp, Telegram y iMessage. Hoy analizamos si realmente deberíamos confiar en las promesas de Musk este nuevo servicio, analizamos sus funciones principales y lo comparamos con la competencia.

Cifrado estilo Bitcoin

Musk inicialmente anunció XChat el 1 de junio de 2025 a través de su cuenta de X (lo que antes era Twitter). Cuando otro usuario le preguntó cuándo iba a estar disponible el nuevo servicio, Musk escribió: “Esta semana, si no hay problemas de desarrollo”.

Aparentemente, hubo problemas de desarrollo: la versión beta de la aplicación no se lanzó hasta septiembre de 2025, y los usuarios de iOS no obtuvieron acceso completo hasta abril de 2026. Al momento de redactar este texto, no había información sobre cuándo se lanzaría la versión para Android. Dicho esto, hay una página de XChat activa en Google Play, en la cual los usuarios pueden hacer cola para “preinscribirse”, lo que sea que eso signifique.

Pero volvamos a la publicación de Musk en la que anuncia XChat. Esa publicación específica llamó la atención de la comunidad de la privacidad y ciberseguridad, y este es el motivo: el magnate de la tecnología escribió que el servicio se construiría sobre una “arquitectura completamente nueva”, construida en Rust y con “cifrado estilo Bitcoin”.

El anuncio de Elon Musk de XChat

Elon Musk anuncia el lanzamiento de XChat y afirma que la nueva aplicación de mensajería está construida en Rust y utiliza un “cifrado estilo Bitcoin”. Original

La comunidad de expertos pasó mucho tiempo rascándose la cabeza y tratando de descubrir qué quiso decir realmente Musk. Después de todo, Bitcoin no es un sistema anónimo de intercambio de datos cifrados. La cadena de bloques usa claves criptográficas públicas y privadas, pero para algo completamente diferente: transacciones de firma. Mientras tanto, estas transacciones no están a salvo de miradas indiscretas; están a la vista para que cualquiera las vea, para siempre. En pocas palabras, Bitcoin protege a sus usuarios no mediante una garantía de privacidad, sino todo lo contrario, a través de máxima transparencia.

Lo más probable es que Musk haya utilizado el “cifrado estilo Bitcoin” como una estrategia de marketing. Bitcoin cotizaba cerca de máximos históricos en el momento de su anuncio y estaba en boca de todo el mundo. Técnicamente, la versión beta de XChat que se lanzó en septiembre de 2025 protegía los chats de los usuarios con una “especie” de cifrado de extremo a extremo, pero esto se implementó de una manera que generaba serias dudas entre los expertos en criptografía.

Y tenían razón. Por lo general, la configuración de un chat cifrado de extremo a extremo genera automáticamente un par de claves pública y privada. La clave pública se utiliza para cifrar los mensajes, mientras que la clave privada los descifra. Como otros usuarios necesitan tu clave pública para iniciar un chat seguro contigo, estas claves suelen almacenarse en los servidores de la aplicación.

Sin embargo, lo ideal es que la clave privada se conserve solo en el dispositivo del usuario, que es exactamente lo que hace Signal. Esto constituye una garantía sencilla y firme de que ni la propia empresa ni ningún tercero que infrinja su infraestructura puedan acceder a los chats de los usuarios, incluso si realmente lo desean.

Pero los proyectos de Elon Musk siempre siguen su propio ritmo: los desarrolladores de XChat decidieron que sería una gran idea almacenar las claves privadas de los usuarios en los servidores de XChat. X afirma que, para almacenar estas claves privadas, usará módulos de seguridad de hardware (HSM), que son dispositivos especializados diseñados para evitar que incluso el propietario del sistema acceda fácilmente a los datos internos. Sin embargo, los expertos también cuestionan la fiabilidad de esta configuración y llegan a una conclusión preocupante: si X realmente quiere obtener la clave privada de un usuario, lo más probable es que pueda hacerlo.

Cómo funciona la mensajería cifrada de XChat en la práctica

Una vez que se solucionaron los problemas de desarrollo casi un año después del anuncio, X lanzó oficialmente la aplicación XChat para iOS en abril de 2026. Ahora cualquiera puede usarla, pero desde un punto de vista práctico, la situación con los chats cifrados parece aún más complicada que en Telegram.

Según el centro de ayuda de la red social, para usar el cifrado de extremo a extremo en los chats de XChat, ambos usuarios deben tener una cuenta de X, configurar XChat y tener algún tipo de conexión entre ellos:

  • Seguirse o suscribirse el uno al otro.
  • Haber intercambiado mensajes antes.
  • Haber aceptado previamente una solicitud de mensaje directo.
  • Ser miembro de la misma suscripción Premium Business/Premium Organization en X.

Si los usuarios no se siguen y no han interactuado antes, XChat aún podría permitirles enviar una solicitud de mensaje. Sin embargo, esa solicitud inicial se envía sin cifrado de extremo a extremo.

Así es como se describe el proceso en la documentación de ayuda oficial de la aplicación de mensajería. ¿Suena demasiado complicado? Permíteme tranquilizarte: en la práctica, funciona de manera completamente diferente o, mejor dicho, no funciona. Personalmente logré enviar un mensaje a otro usuario que NO había configurado XChat. La aplicación en sí, por supuesto, no me dio ninguna advertencia al respecto.

XChat permite a los usuarios enviar mensajes a personas que no han configurado la aplicación

La aplicación te permite iniciar un chat con un usuario que aún no ha configurado XChat, sin avisar al destinatario.

Y aún hay más. El usuario al que le envié un mensaje vio una notificación en la versión web de X, pero en realidad no pudo acceder al mensaje. Aquí está el truco: para comenzar a usar XChat, el usuario primero tiene que crear un PIN de cuatro dígitos. Sin embargo, la aplicación solicita este PIN la primera vez que el usuario intenta abrirla, es decir, antes de que tenga la oportunidad de crear un PIN. Junto con este mensaje, el usuario también ve una advertencia que indica que sin el PIN, no podrá ver los chats cifrados anteriores.

XChat solicita un PIN incluso antes de que puedas crearlo

Se le solicita al usuario que introduzca un PIN para descifrar los mensajes anteriores incluso antes de completar la configuración inicial de XChat.

La única solución que encontré para comenzar a usar XChat es pulsar “¿Olvidó el PIN?” (aunque ese PIN nunca existió), confirmar la identidad y crear un PIN nuevo (en realidad, el primero). Por supuesto, perderás el acceso a tu historial de chats de esta manera, por lo que no podrás leer ningún mensaje que se te haya enviado en XChat antes de configurar oficialmente la aplicación.

XChat: ¿el nuevo Telegram, WhatsApp, Signal o Facebook Messenger?

Todas estas dificultades con el PIN existen por una razón. Recuerda, a diferencia de WhatsApp y Signal, los desarrolladores de XChat decidieron almacenar las claves privadas de los usuarios en sus propios servidores. En consecuencia, la aplicación utiliza estos PIN de cuatro dígitos para cifrar esas claves.

De acuerdo con la documentación de ayuda de XChat, este mecanismo se diseñó para garantizar una experiencia multidispositivo “perfecta”. Es imposible no señalar que tanto WhatsApp como Signal lograron llevar a cabo esto sin soluciones sospechosas, como requerir un PIN o almacenar claves privadas en el servidor.

El problema es que soluciones como estas perjudican cualquier afirmación de privacidad y seguridad de la aplicación. Primero y principal, un PIN no es exactamente la forma más segura de proteger datos confidenciales. Hemos mencionado una y otra vez que las combinaciones de cuatro dígitos son fáciles de descifrar a través de la fuerza bruta, en especial porque XChat te brinda 20 generosos intentos para adivinar el código correcto.

XChat advierte que se bloqueará después de 20 intentos fallidos

La aplicación permite hasta 20 intentos para introducir el PIN de cuatro dígitos. Una vez que se alcanza el límite, XChat advierte que el acceso a los mensajes se perderá permanentemente.

Más allá de la extraña implementación del cifrado de extremo a extremo en comparación con otras aplicaciones de mensajería, es difícil ignorar la sensación general de inutilidad que conlleva tratar de usar XChat. Como señaló correctamente un periodista de Wired, la aplicación no es similar a WhatsApp, Signal o Telegram, sino mucho más a Facebook Messenger. Salvo que las personas por lo general abren Messenger para leer un mensaje de texto de su madre o abuela, mientras que XChat parece estar destinado a cualquiera que quiera ver a ese extraño sobrino que pasa todo su tiempo libre en X, todavía cree en la promesa de John McAfee de 500 000 Bitcoin y es fanático de Elon Musk.

¿Cuál es la conclusión sobre XChat?

La mejor forma de cerrar esta publicación es con una cita de un experto en ciberseguridad: “Si lo que quieres es una buena seguridad, utiliza Signal. Si lo que quieres es poder hablar con prácticamente cualquier persona mediante mensajes cifrados, utiliza WhatsApp. Si toda tu vida se basa en X, supongo que esto es mejor que nada”.

Si usas XChat, la regla número uno es evitar un PIN predecible: no uses tu año de nacimiento o, peor aún, 1234. También es fundamental no olvidar este código, porque si lo haces, todo tu historial de chats desaparecerá para siempre. Por último, al igual que tus otras contraseñas, no debes guardarla en tu aplicación de notas, sino en un administrador de contraseñas seguro. Esto no solo evitará que tengas que memorizar docenas de combinaciones de caracteres, sino que también reducirá el riesgo de perder el acceso a tus datos y conversaciones vitales.

Para obtener más información sobre la mensajería segura en otras aplicaciones, consulta nuestras otras publicaciones:

] RAT Argamal: los atacantes están distribuyendo un troyano de acceso remoto a través de juegos hentai

Juegos hentai con un toque perverso

¿Buscabas un juego hentai y acabaste con malware? Los atacantes están ocultando el troyano de acceso remoto Argamal dentro de juegos hentai y lo distribuyen a través de sitios web especializados y rastreadores de torrents. Te explicamos cómo funciona este malware, por qué es peligroso y cómo evitar que tu ordenador se convierta en una mina de oro para los chantajistas.

] RAT Argamal: los atacantes están distribuyendo un troyano de acceso remoto a través de juegos hentai
Consejos
  • Para el resto de países