Cómo las notificaciones push pueden poner en peligro tu privacidad (y qué puedes hacer al respecto)

English

Las notificaciones push de un teléfono pueden contener una gran cantidad de información sobre ti, tus comunicaciones y lo que haces a lo largo del día. Son tan importantes para las investigaciones gubernamentales que tanto Apple como Google exigen ahora una orden judicial para entregar detalles sobre las notificaciones push a las fuerzas del orden, e incluso con ese requisito, Apple comparte datos de cientos de usuarios. Más recientemente, también nos enteramos por un informe de 404 Media de que las herramientas forenses de extracción de las fuerzas del orden pueden recuperar el texto de las notificaciones eliminadas, incluidas las de herramientas de mensajería segura, como Signal. La buena noticia es que puedes mitigar parte de este riesgo.

Hay dos momentos en los que las notificaciones pueden poner en peligro tu privacidad: cuando se transmiten a través de servidores en la nube y una vez que llegan al dispositivo. Empecemos por la nube. Puede parecer que las notificaciones push vienen directamente de una app, pero normalmente pasan primero por los servidores de Apple o Google (dependiendo de si usas iOS o Android). Según una carta enviada al Departamento de Justicia por el senador Wyden, el contenido de esas notificaciones puede ser visible para Apple y Google, y como mínimo las empresas recopilan algunos metadatos sobre qué apps envían una notificación y cuándo. Los proveedores de aplicaciones tienen que decidir ocultar el contenido a Apple y Google e implementar esa funcionalidad; Signal es una aplicación que lo hace.

Luego, una vez que las notificaciones llegan a tu teléfono, dependiendo de tu configuración, el contenido de la notificación puede ser visible en tu pantalla de bloqueo sin necesidad de desbloquear el dispositivo. Esto puede ser peligroso si pierdes tu dispositivo, alguien te lo roba o te lo confisca la policía.

Puedes borrar las notificaciones después de verlas. Pero resulta que el contenido de las notificaciones se graba en el almacenamiento interno de tu dispositivo, lo que las hace susceptibles de ser recuperadas con ciertos tipos de herramientas forenses. El contenido de las notificaciones puede incluso persistir después de borrar la app, si el sistema operativo no elimina por completo los datos de notificación de la app.

Todavía tenemos muchas preguntas sin respuesta sobre cómo funcionan las bases de datos de notificaciones en los dispositivos. No sabemos cuánto tiempo se almacenan las notificaciones, ni si se guardan en la nube, en cuyo caso el proveedor de la nube podría obtener acceso traseras al contenido de los mensajes si las copias de seguridad están activadas y no están cifradas de extremo a extremo. Esto también puede hacer que las copias de seguridad sean vulnerables a las solicitudes de datos por parte de las fuerzas del orden.

Todo esto quiere decir que hay infinidad de formas en que las fuerzas del orden pueden acceder al contenido o a los metadatos de las notificaciones push. Vamos a solucionar eso.

Considera las protecciones de notificación más sólidas para tus aplicaciones de mensajería segura

Las herramientas de chat seguro están diseñadas para mantener el contenido de los mensajes a salvo dentro de la aplicación. Así que, en el caso de aplicaciones de chat seguro como WhatsApp y Signal, eso significa que la empresa que las crea no puede ver el contenido de tus mensajes, y que solo son accesibles en tu dispositivo y en el de tus destinatarios. Una vez que los mensajes llegan a un dispositivo, sigue siendo importante tener en cuenta algunas precauciones de privacidad, especialmente con las notificaciones.

Signal

Signal ofrece tres niveles de información para incluir en las notificaciones, todos ellos bastante intuitivos:

Nombre, contenido y acciones (Nombre y mensaje en Android) muestra el mensaje completo, así como quién lo envió (en el iPhone también puedes deslizar para responder, marcar como leído o devolver la llamada).

Solo nombre solo muestra el nombre del remitente.

Sin nombre ni contenido (Sin nombre ni mensaje en Android) solo mostrará que tienes un mensaje de Signal, no quién lo envió ni de qué trata.

Para cambiar tu configuración:

En iPhone: Toca tu foto de perfil, luego Ajustes > Notificaciones > Mostrar.
En Android: Toca tu foto de perfil y luego Notificaciones > Mostrar.

WhatsApp

WhatsApp solo tiene una opción para esto, y actualmente está limitada al iPhone, pero al menos puedes indicarle a la app que no incluya el contenido del mensaje en la notificación:

Abre WhatsApp para iPhone, toca la barra «Tú», luego Notificaciones y desactiva la opción Mostrar vista previa.

Revisa tus otras apps para ver si ofrecen ajustes similares.

Limita tus notificaciones en todo el dispositivo

Dado que Apple y Google gestionan las notificaciones push para sus respectivos dispositivos, también tienen cierta visibilidad sobre determinados datos. Los datos de las notificaciones push pueden incluir ciertos tipos de metadatos, como qué aplicación envió una notificación y cuándo, así como el ID de la cuenta asociado al teléfono. En algunos casos, Apple y Google pueden tener acceso a contenido sin cifrar, incluido el contenido del texto de una notificación u otra información de la propia aplicación.

En la mayoría de las notificaciones de aplicaciones, no hay una forma sencilla de averiguar fácilmente qué metadatos se pueden extraer de una notificación, o si la notificación está sin cifrar o no. Pero algunos desarrolladores de aplicaciones han descrito detalles en este sentido. Por ejemplo, la presidenta de Signal, Meredith Whittaker, explicó en las redes sociales cómo la aplicación Signal gestiona las notificaciones íntegramente en el dispositivo. Buscar en Internet el nombre de una aplicación junto con «privacidad de las notificaciones», «cifrado de notificaciones» o «metadatos de notificaciones» puede ayudarte a resolver tus dudas, o quizá tengas que indagar en los foros de soporte de la aplicación.

También es bueno replantearte si alguna app debería enviarte notificaciones para empezar. Aparte de una posible reducción en el número de distracciones que sufres a lo largo del día, o del nivel de caos que se muestra en tu pantalla de bloqueo, limitar las apps que pueden enviar notificaciones y qué contenido es visible en ellas puede mejorar tu privacidad con respecto al tipo de metadatos que pueden recopilar las empresas, así como cualquier contenido que pueda verse si alguien ha accedido físicamente a tu dispositivo.

Para comprobar y cambiar tu configuración en el iPhone

Abre Ajustes > Notificaciones.
En la opción Mostrar vistas previas, puedes elegir si quieres que se muestre el contenido de las notificaciones en la pantalla de bloqueo: «Siempre», que no requiere desbloquear el dispositivo; «Cuando esté desbloqueado», que sí lo requiere; y «Nunca», lo que significa que las notificaciones no mostrarán ningún detalle, solo que tienes una notificación en una app.
También puedes desplazarte hacia abajo y cambiar estos ajustes por aplicación. Solo tienes que tocar el nombre de la aplicación, luego el menú Mostrar vistas previas, y elegir cómo quieres que aparezcan. O, si has decidido que no quieres recibir ninguna notificación de esa aplicación, desmarca la opción Permitir notificaciones.

Para comprobar y cambiar tus ajustes en Android

La versión básica de Android depende de que los desarrolladores de aplicaciones creen ajustes específicos, en lugar de controlarlos a nivel de toda la plataforma.

Abre Ajustes > Notificaciones > Notificaciones de aplicaciones para desactivar por completo las notificaciones de cualquier aplicación. Algunas aplicaciones también pueden ofrecer opciones de notificación internas para tipos específicos de avisos, como mensajes nuevos, que puedes controlar desde la propia aplicación. Toca el nombre de una aplicación y, a continuación, toca la opción Ajustes adicionales en la aplicación para personalizarla aún más.
También puedes probar con la configuración de contenido sensible. Depende del desarrollador configurarla correctamente, pero cuando lo hace, la mayoría de las notificaciones requerirán al menos desbloquear el dispositivo para verlas. Abre Ajustes > Notificaciones > Notificaciones en la pantalla de bloqueo y desactiva «Mostrar contenido sensible».

Controla a qué notificaciones pueden acceder las herramientas de IA

Para facilitar la lectura rápida de las notificaciones, tanto Android como iOS ofrecen formas opcionales de obtener resúmenes de notificaciones mediante sus herramientas de IA que resumen el contenido de las mismas. A nivel de aplicación individual, WhatsApp también ofrece esta función. Algunas de estas herramientas de resumen, como la de Apple, se ejecutan en el dispositivo, mientras que otras, como la de WhatsApp, no. Todo esto puede ser difícil de controlar, y enviar datos fuera del dispositivo puede suponer cierto riesgo para algunos mensajes.

Como esto es un poco más complicado, tenemos otra entrada de blog que explica los pasos a seguir para evitar que los mensajes acaben accidentalmente en las herramientas de IA integradas en los dispositivos de Apple y Google. En el caso concreto de WhatsApp, tenemos una entrada de blog que detalla cuándo puede ser conveniente activar la función «Privacidad avanzada de chat» de la app, que permite desactivar los resúmenes tanto para ti como para los demás participantes en el chat.

Equilibrar la seguridad, la privacidad y la usabilidad con algo como las notificaciones push es una tarea complicada. Como mínimo, Apple y Google deberían asegurarse mejor de que el contenido de estas notificaciones no se transmita a través de sus servidores en texto sin cifrar. Las empresas también deben asegurarse de que los sistemas operativos de los dispositivos no hagan copias de seguridad de la base de datos de notificaciones en la nube y de que, cuando se elimine una aplicación, se borren todos los datos de las notificaciones.

Apreciamos que aplicaciones como Signal te permitan controlar lo que se ve en las notificaciones para cada aplicación, y nos gustaría ver este nivel de detalle en las opciones de otras herramientas de mensajería segura, como WhatsApp. Del mismo modo, más aplicaciones deberían gestionar las notificaciones push de forma similar a como lo hace Signal, donde se envía un ping para activar la aplicación y comprobar si hay mensajes, y el contenido de ese mensaje nunca se envía a través de los servidores.

Related Issues

Security Education

End-to-End Encryption

Mobile devices

Related Updates

Deeplinks Blog by Erica Portnoy | January 14, 2026

Así que te has topado con una barrera de edad. ¿Y ahora qué?

La EFF se opone a los requisitos de verificación de edad y a las obligaciones de verificar la edad, y esperamos conseguir que se deroguen los ya existentes y se impida la creación de otros nuevos. Sin embargo, estas obligaciones ya están en vigor y cada día se pide a...

Deeplinks Blog by Thorin Klosowski | January 1, 2026

Autodefensa frente a la vigilancia: resumen del año 2025

Our Surveillance Self-Defense (SSD) guides, which provide practical advice and explainers for how to deal with government and corporate surveillance, had a big year. We published several large updates to existing guides and released three all new guides. And with frequent massive protests across the U.S., our guide to attending...

Deeplinks Blog by Thorin Klosowski | September 2, 2025

What WhatsApp’s “Advanced Chat Privacy” Really Does

En abril, WhatsApp lanzó su función «Privacidad avanzada del chat», que, una vez activada, deshabilita el uso de ciertas funciones de inteligencia artificial en los chats e impide que se exporten las conversaciones. Desde su lanzamiento, una publicación viral inexacta ha estado circulando por las redes sociales, creando confusión sobre...

Deeplinks Blog by Josh Richman | July 16, 2025

Podcast Episode: Finding the Joy in Digital Security

Many people approach digital security training with furrowed brows, as an obstacle to overcome. But what if learning to keep your tech safe and secure was consistently playful and fun? People react better to learning, and retain more knowledge, when they're having a good time. It doesn’t mean the topic...

Deeplinks Blog by Thorin Klosowski | June 16, 2025

La protección avanzada de Google llega a Android: ¿deberías usarla?

Con el lanzamiento esta semana en de Android 16 , Google añadió una nueva función de seguridad a Android, llamada Protección Avanzada. Las personas en situación de riesgo -como periodistas, activistas o políticos- deberían considerar activarla. Esto es lo que hace y cómo decidir si se ajusta a tus...

Deeplinks Blog by Thorin Klosowski | May 9, 2025

Cómo gestionan Signal, WhatsApp, Apple y Google las copias de seguridad cifradas de los chats

Las aplicaciones de chat cifradas como Signal y WhatsApp son una de las mejores formas de mantener tus conversaciones digitales lo más privadas posible. Pero si no tienes cuidado con la forma en que se respaldan esas conversaciones, puedes socavar accidentalmente tu privacidad. Cuando una conversación está correctamente encriptada de...

Deeplinks Blog by Alexis Hancock | February 5, 2025

Cerrando la brecha del cifrado en el móvil

Es hora de ampliar la encriptación en Android y iPhone. Con gobiernos de todo el mundo empeñados en constantes ataques a los derechos digitales de los usuarios y a su acceso a Internet, eliminar objetivos evidentes y potencialmente peligrosos de las espaldas de las personas...

Deeplinks Blog by Thorin Klosowski | December 26, 2024

Surveillance Self-Defense: 2024 in Review

This year, we celebrated the 15th anniversary of our Surveillance-Self Defense (SSD) guide. How’d we celebrate? We kept at it—continuing to work on, refine, and update one of the longest running security and privacy guides on the internet. Technology changes quickly enough as it is, but so does the...

Deeplinks Blog by Thorin Klosowski, Lena Cohen, Cooper Quintin, Paige Collings, Christian Romero, Jason Kelley, Mario Trujillo, Joe Mullin, Bill Budington, Guest Author | December 19, 2024

Breachies 2024: Las peores, más extrañas y más impactantes violaciones de datos del año

Privacy isn’t dead. While some information about you is almost certainly out there, that’s no reason for despair. In fact, it’s a good reason to take action.

Deeplinks Blog by Thorin Klosowski | October 11, 2024

Should I Use My State’s Digital Driver’s License?

A mobile driver’s license (often called an mDL) is a version of your ID that you keep on your phone instead of in your pocket. In theory, it would work wherever your regular ID works—TSA, liquor stores, to pick up a prescription, or to get into a bar. This sounds...

Related Issues

Security Education

End-to-End Encryption

Mobile devices

Cómo las notificaciones push pueden poner en peligro tu privacidad (y qué puedes hacer al respecto)

Cómo las notificaciones push pueden poner en peligro tu privacidad (y qué puedes hacer al respecto)

Considera las protecciones de notificación más sólidas para tus aplicaciones de mensajería segura

Limita tus notificaciones en todo el dispositivo

Controla a qué notificaciones pueden acceder las herramientas de IA

Related Issues

Related Updates

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate