Discord DAVE vs Signal, Telegram y WhatsApp: 4 brechas de privacidad
El protocolo DAVE de Discord cifra las llamadas de extremo a extremo, pero 4 brechas lo mantienen por debajo del nivel de privacidad de Signal. Esto es lo que protege —y lo que sigue expuesto.
Que Discord lanzara cifrado de extremo a extremo para voz y vídeo parece un hito real para una plataforma que durante años priorizó la velocidad de desarrollo de funciones por encima de la privacidad. Pero "llamadas cifradas" no equivale a "plataforma privada". La confusión vive exactamente en ese espacio entre ambas cosas. Este artículo recorre lo que el protocolo DAVE de Discord cubre realmente, cómo se compara técnica y operativamente con Signal, WhatsApp y Telegram, dónde los metadatos siguen filtrándose con independencia del cifrado, y qué dice el historial de auditorías sobre la fiabilidad real de cada plataforma. Sin lenguaje de marketing. Solo la imagen técnica.
Lo que Discord realmente lanzó
La nueva capa de cifrado de Discord tiene nombre — DAVE, abreviatura de Discord's Audio and Video Encryption — y no es un truco de marketing. El protocolo es real, construido sobre un estándar IETF legítimo, y revisado de forma independiente antes del despliegue masivo.
DAVE usa el protocolo Messaging Layer Security (MLS, estandarizado como RFC 9420 en julio de 2023) para el intercambio de claves en grupo, combinado con WebRTC para el cifrado a nivel de transporte del propio flujo multimedia. En la práctica, el contenido de las llamadas de audio y vídeo se cifra de extremo a extremo: los servidores de Discord facilitan la señalización —conectándote con otros participantes— pero no pueden descifrar lo que dices o muestras por cámara. Las claves criptográficas solo existen en los dispositivos de los participantes.
Trail of Bits revisó el diseño e implementación de DAVE a finales de 2023. No encontraron vulnerabilidades críticas, aunque señalaron problemas de severidad media en torno a la confirmación de claves que Discord corrigió antes del despliegue amplio de 2024. Un proceso de seguridad razonable.
Ese punto es el hecho central que cualquier persona entusiasmada con este anuncio necesita retener. Todo tu historial de texto —años de DMs, archivos compartidos, conversaciones sensibles— está en los servidores de Discord, accesible para la compañía. DAVE cifra el flujo de la llamada. Solo eso.
También hay una advertencia sobre el despliegue: DAVE está completamente activo para llamadas de voz y vídeo en mensajes directos desde principios de 2025, con los canales de voz de servidor en un calendario escalonado. Un pequeño icono de escudo en la interfaz de llamada confirma si DAVE está activo en tu sesión. Si no lo ves, actualiza el cliente.
Cómo cifran realmente Signal, WhatsApp, Telegram y Discord
No todo el cifrado E2E es equivalente. La elección del protocolo, el diseño del intercambio de claves y el alcance de la cobertura crean diferencias enormes en lo que "cifrado" significa en la práctica.
Signal
Signal funciona sobre el Signal Protocol —una combinación del algoritmo Double Ratchet y el intercambio de claves X3DH (Extended Triple Diffie-Hellman)— y ha sido el estándar criptográfico de referencia desde aproximadamente 2013. Cada mensaje, llamada, videochat y transferencia de archivos está cifrado E2E por defecto. Sin modo secreto que activar.
Lo que separa a Signal de todas las demás apps aquí: el sealed sender. La mayoría de las apps de mensajería cifran el contenido pero revelan los metadatos —quién habla con quién, y cuándo. La función sealed sender de Signal ofusca la identidad del remitente incluso ante los propios servidores de Signal, limitando la capacidad de la plataforma para construir un grafo de comunicaciones. La arquitectura de servidor fue diseñada deliberadamente para minimizar lo que Signal Inc. —ahora la Signal Foundation, una organización sin ánimo de lucro— puede saber sobre tu actividad.
Tanto el código del cliente como el del servidor son de código abierto. A lo largo de los años se han realizado múltiples auditorías independientes por parte de Cure53, Trail of Bits e iSEC Partners. La estructura sin ánimo de lucro elimina el incentivo financiero para monetizar los datos de los usuarios.
WhatsApp usa el Signal Protocol —criptografía subyacente idéntica. El cifrado de contenido para mensajes y llamadas es genuinamente comparable a nivel de protocolo. Entonces, ¿por qué la comparación de privacidad sigue favoreciendo a Signal? Los metadatos.
Meta es propietaria de WhatsApp. La empresa rastrea con quién hablas, cuándo, con qué frecuencia, la duración de las llamadas, identificadores de dispositivo, direcciones IP y membresía en grupos. Esos metadatos son muy valiosos para la infraestructura publicitaria de Meta y pueden ser requeridos legalmente. En 2021, las actualizadas Condiciones del Servicio de WhatsApp hicieron obligatorio el uso compartido de metadatos con Meta para usuarios fuera de la UE, desencadenando migraciones masivas a Signal y Telegram. El contenido cifrado no te protege cuando el grafo social queda expuesto.
El cifrado de copias de seguridad es otra brecha. La opción de habilitar copias de seguridad cifradas E2E en iCloud o Google Drive existe ahora tanto en iOS como en Android, pero sigue siendo opt-in —y la mayoría de usuarios no lo han activado.
Telegram
La reputación de seguridad de Telegram supera con creces su realidad técnica. Los chats normales, los chats de grupo y los canales usan cifrado en el servidor —Telegram tiene las claves de descifrado y puede leer tus mensajes si se le obliga. Solo los "Chats Secretos" están cifrados E2E, y estos están vinculados al dispositivo: sin sincronización entre dispositivos, sin acceso desde escritorio a un chat secreto iniciado en móvil.
El protocolo MTProto 2.0 desarrollado internamente por Telegram ha recibido un escrutinio independiente limitado en comparación con el Signal Protocol. No está demostrado que esté roto, pero no ha sido auditado por firmas importantes con la misma profundidad. La detención de Pavel Durov en Francia en agosto de 2024 y la posterior presión legal sobre la plataforma para cooperar con las fuerzas del orden convirtieron el riesgo práctico en algo concreto, no hipotético.
La comparación con Discord post-DAVE es llamativa: para llamadas de voz y vídeo, el cifrado de Discord es ahora más sólido que el modo predeterminado de Telegram.
Discord (protocolo DAVE)
Discord cifra el flujo multimedia de audio y vídeo de extremo a extremo durante las llamadas que cumplen los requisitos. MLS es un estándar moderno sólido con fuertes propiedades de forward secrecy diseñado específicamente para escenarios de intercambio de claves en grupo. El cliente de código cerrado es la limitación de confianza persistente —no puedes verificar de forma independiente que la app de Discord implementa correctamente solo lo que DAVE describe. Trail of Bits auditó el diseño y revisó la implementación, pero la verificación continua exige confiar en el binario distribuido.
El problema de los metadatos que los titulares entierran
Aquí está el argumento contraintuitivo que los defensores de la privacidad no expresan con suficiente fuerza: en la mayoría de los modelos de amenaza reales, los metadatos son más peligrosos que el contenido.
Si un gobierno emite una citación a Discord y recibe una lista de todos a quienes llamaste, cuándo, durante cuánto tiempo, con qué cuentas, desde qué dirección IP y en qué servidores —eso es un grafo social detallado. El audio cifrado de la llamada no te protege si los metadatos cuentan la historia. Este es el enfoque documentado de inteligencia de las revelaciones de la era Snowden. "Matamos personas basándonos en metadatos", como declaró el exdirector de la NSA Michael Hayden en 2014.
Discord recopila metadatos sustanciales independientemente de DAVE: información de cuenta, direcciones IP, huellas digitales de dispositivos, membresía en servidores, temporización de llamadas, listas de amigos, patrones de uso. Esto figura en su política de privacidad y es coherente con el funcionamiento de cualquier plataforma respaldada por publicidad o suscripciones. DAVE no cambia nada de eso.
Signal es la única app de esta lista que hace un esfuerzo arquitectónico genuino para minimizar la recopilación de metadatos —sealed sender, registro mínimo en servidor, una organización sin ánimo de lucro que publica respuestas detalladas a solicitudes gubernamentales (el hallazgo constante: casi nada que entregar). He leído las respuestas legales publicadas por la Signal Foundation, y la brecha entre lo que Signal puede entregar frente a lo que Discord o Meta pueden entregar no es marginal. Es categórica.
Este patrón se repite en las herramientas de privacidad. Al igual que hemos explorado cómo las funciones destacadas en los gestores de contraseñas pueden oscurecer lo que la herramienta realmente protege, los anuncios de cifrado en apps de mensajería suelen describir el mejor caso posible mientras dejan sin abordar la exposición de metadatos.
Historial de auditorías y transparencia: lo que el registro muestra realmente
| Plataforma | Protocolo | Auditoría del protocolo | Auditoría del cliente | ¿Código abierto? | Informe de transparencia |
|---|---|---|---|---|---|
| Signal | Signal Protocol (Double Ratchet + X3DH) | Sí — Cure53, iSEC, Trail of Bits (múltiples) | Sí | Sí (cliente + servidor) | Sí — respuestas legales publicadas |
| Signal Protocol | Sí (mismas auditorías) | No | No | Sí (informe más amplio de Meta) | |
| Telegram | MTProto 2.0 (propietario) | Limitada — solo bug bounty de 2015 | No | Parcial (solo cliente) | Mínimo |
| Discord | DAVE (basado en MLS) | Sí — Trail of Bits, 2023 | Parcial (revisión de diseño) | No | Limitado |
La ventaja estructural de Signal: el código abierto implica escrutinio público continuo, no auditorías puntuales periódicas. WhatsApp usa un protocolo bien auditado en un cliente cerrado propiedad de una empresa con un incentivo financiero directo para maximizar la recopilación de datos. El MTProto de Telegram nunca ha recibido una auditoría integral por parte de una firma de seguridad de primer nivel —lo que no es prueba de que esté roto, pero sí es una omisión significativa para una plataforma que se vende como prioritaria en privacidad.
El trabajo de Trail of Bits con Discord es genuinamente positivo para una empresa históricamente indiferente al cifrado. Encargar una auditoría externa antes del despliegue masivo es el enfoque correcto. Sin embargo, la limitación de alcance importa: la auditoría cubre el diseño y la implementación de DAVE, no la arquitectura de datos general de Discord, el manejo de mensajes de texto ni la infraestructura de servidores.
Tomar decisiones sobre herramientas de seguridad basándose en el alcance de la auditoría en lugar de las afirmaciones de marketing es una disciplina que aplica ampliamente. El mismo marco de evaluación es relevante tanto si eliges una app de mensajería como, según muestra la comparativa a largo plazo de costes y funciones de 1Password y Bitwarden, un gestor de contraseñas que almacenará tus credenciales más sensibles durante años.
La imagen real: a quién debería importarle esto
La mayoría del discurso sobre privacidad trata esto como una jerarquía fija —Signal en lo más alto, todo lo demás por debajo— y para usuarios de alto riesgo (periodistas, abogados, activistas, personas en entornos autoritarios), esa jerarquía es correcta e innegociable. Signal es la única opción que combina cifrado E2E integral, minimización genuina de metadatos, código abierto y estructura sin ánimo de lucro.
Pero la mayoría de los usuarios de Discord no son periodistas. Son jugadores, aficionados y miembros de comunidades que coordinan partidas y comparten memes. Para esa población, DAVE es una mejora real: los empleados de Discord ya no pueden interceptar conversaciones de voz, y tampoco pueden hacerlo la mayoría de quienes interceptan el tráfico de red. Eso es un cambio real respecto a 2023.
La persona que debería estar más alarmada por el anuncio de Discord no es un usuario de Discord. Es un usuario de Telegram que cree estar en una plataforma "privada" mientras mantiene conversaciones sensibles en chats normales a los que Telegram puede acceder en cualquier momento. Esa es la lectura contraintuitiva: Discord post-DAVE es una opción más privada para llamadas de voz que el modo predeterminado de Telegram.
Para la comunicación por texto, la comparación no es competitiva. Signal cifra cada mensaje de texto de extremo a extremo con código abierto ejecutándose en infraestructura diseñada para saber lo menos posible. WhatsApp cifra el texto pero le entrega a Meta el grafo social. Los chats normales de Telegram son almacenamiento en la nube con interfaz de mensajería. Los DMs de Discord son accesibles desde el servidor. Ninguna alternativa a Signal se acerca para texto sensible.
En mis pruebas e investigación, noté que esta realidad sobre la recopilación de datos merece una evaluación sistemática de toda tu huella digital. Al igual que la auditoría de privacidad de plataformas de wearables de Fitbit a Oura revela perfiles de riesgo distintos que sus fichas en la App Store no capturan, las plataformas de mensajería presentan una versión depurada de sus prácticas de datos que entierra las variables más importantes: quién puede acceder a qué, bajo qué jurisdicción legal y qué requiere el modelo de negocio.
Resumen del modelo de amenaza por plataforma
| Amenaza | Signal | Telegram | Discord (post-DAVE) | |
|---|---|---|---|---|
| Espionaje de red sobre el contenido de la llamada | Protegido | Protegido | Protegido | Protegido |
| La plataforma lee tus mensajes de texto | Protegido | Protegido | NO protegido (chats normales) | NO protegido |
| La plataforma accede al audio de la llamada | Protegido | Protegido | No aplica (sin llamadas E2E) | Protegido (DAVE) |
| Exposición de metadatos / grafo social | Mínima | Alta (Meta) | Moderada | Moderada–Alta |
| Divulgación bajo mandato judicial | Casi nada disponible | Metadatos disponibles | Contenido + metadatos disponibles | Metadatos + textos disponibles |
| Cifrado de copia de seguridad E2E | N/A | Opt-in | N/A | N/A |
Discord DAVE vs Signal: pros y contras
| Discord (DAVE) | Signal | |
|---|---|---|
| Cifrado E2E de voz/vídeo | Sí (llamadas que cumplen requisitos) | Sí |
| Cifrado E2E de mensajes de texto | No | Sí |
| Minimización de metadatos | No | Sí (sealed sender) |
| Cliente de código abierto | No | Sí |
| Auditoría independiente | Parcial (Trail of Bits, 2023) | Múltiples, continuas |
| Modelo de negocio | Publicidad / suscripciones Nitro | Donaciones sin ánimo de lucro |
| Riesgo de cooperación gubernamental | Metadatos + contenido de texto | Casi ningún dato que entregar |
| Funciones de comunidad/servidor | Ecosistema completo | Mínimas |
| Llamadas grupales masivas | Sí | Limitadas |
El balance es genuino. Discord ofrece capacidades para las que Signal nunca fue diseñado —servidores persistentes, bots de comunidad, canales de voz para cientos de personas, pantalla compartida a escala. Si esas funciones son imprescindibles para tu caso de uso, DAVE es un avance significativo. Si tu requisito es la comunicación privada con un grupo definido de personas, Signal gana en cada dimensión de seguridad sin excepción.
Lista de comprobación rápida: qué hacer ahora mismo
-
Verifica que DAVE está activo en tus llamadas de Discord. Busca el icono de escudo en la interfaz de llamada durante una llamada de voz o vídeo por DM. Si no aparece, actualiza a la última versión del cliente —las versiones de 2025 tienen cobertura amplia de DAVE para llamadas DM.
-
Activa las copias de seguridad cifradas en WhatsApp si lo usas. Ve a Ajustes → Chats → Copia de seguridad de chats → Copia de seguridad cifrada de extremo a extremo. Genera una clave de cifrado de 64 dígitos y guárdala en tu gestor de contraseñas —no en una captura de pantalla.
-
Audita tus conversaciones de Telegram. ¿Cuáles son Chats Secretos y cuáles chats normales? Todo lo que no quieras que Telegram tenga en sus servidores debe pasar a Chat Secreto o a otra app.
-
Descarga Signal para conversaciones de texto sensibles. El registro requiere un número de teléfono, pero Signal ahora admite nombres de usuario —puedes compartir tu contacto sin exponer tu número. App gratuita, operada sin ánimo de lucro.
-
No confundas "llamadas cifradas" con "plataforma privada". El DAVE de Discord es una mejora real para el contenido de las llamadas. No cambia nada sobre la retención de datos de Discord, la recopilación de metadatos ni las condiciones del servicio para el texto. Ajusta tu uso en consecuencia —Discord para la comunidad, Signal para la coordinación sensible.
-
Define tu modelo de amenaza explícitamente antes de elegir una app. "No quiero que mis conversaciones de juego queden grabadas" es un requisito muy distinto a "necesito seguridad operacional frente a un adversario capaz". DAVE satisface el primero. Solo Signal satisface el segundo.
-
Usa ambas apps. No hay ninguna razón técnica ni práctica para no tener Discord para comunidades y Signal para la comunicación privada. Tratarlo como una decisión excluyente no refleja cómo la mayoría de las personas usan estas herramientas en realidad.
Fuentes y lecturas adicionales
Signal Foundation — Biblioteca de documentación técnica — Las especificaciones canónicas del Signal Protocol, incluyendo el documento del algoritmo Double Ratchet y el protocolo de acuerdo de claves X3DH, publicados y mantenidos por la Signal Foundation. Esenciales para entender por qué el protocolo se convirtió en referencia del sector.
Blog de ingeniería de Discord — Whitepaper del protocolo DAVE (2023) — La propia documentación técnica de Discord sobre el diseño basado en MLS de su sistema de cifrado de audio y vídeo, incluyendo la justificación del protocolo, el alcance del modelo de amenaza y un resumen de los hallazgos de la auditoría de Trail of Bits.
Blog de Trail of Bits — Trail of Bits publica informes detallados posteriores a la auditoría para sus evaluaciones de seguridad. Su revisión de DAVE y el trabajo previo auditando Signal, Zoom y otra infraestructura de mensajería ofrecen una referencia comparativa sobre lo que "auditado" significa en la práctica frente al uso en marketing.
Electronic Frontier Foundation — Surveillance Self-Defense — Una guía actualizada regularmente sobre la selección de herramientas de comunicación segura según distintos modelos de amenaza. Cubre Signal, WhatsApp, Telegram y los riesgos de metadatos en términos técnicamente precisos pero accesibles, con contexto legal por país.
Schneier on Security — El largo historial de comentarios de seguridad de Bruce Schneier cubre vulnerabilidades de metadatos, modelos de confianza en plataformas y los límites prácticos del cifrado E2E. Las publicaciones de 2023–2025 sobre la situación legal de Telegram y la brecha entre las afirmaciones criptográficas y las garantías de privacidad reales son directamente relevantes para esta comparativa.