Análisis forense independiente de la aplicación de mensajería del gobierno cubano. 57 vulnerabilidades de seguridad documentadas con evidencia del código fuente.
Cada hallazgo viene del código de la propia aplicación. No son suposiciones — es lo que el programa literalmente hace.
im.todus.cu y se guardan usando un protocolo llamado MAM (Message Archive Management).
Esto significa que ETECSA tiene una copia de cada mensaje que has enviado o recibido.
Cuando le escribes a alguien por ToDus, ETECSA guarda una copia de ese mensaje en sus computadoras.
Tú puedes borrarlo de tu teléfono, pero ellos ya lo tienen guardado. Es como si alguien en la oficina de correos fotocopiara cada carta que tú mandas antes de entregarla.
WhatsApp y Signal no hacen esto. En esas aplicaciones, ni la propia empresa puede leer lo que tú escribes.
Cuando el BANDEC te manda un código por SMS para confirmar una transferencia, ToDus puede leer ese mensaje antes que tú lo abras.
No es solo los códigos del banco. ToDus puede ver todos los SMS de tu teléfono — los del banco, los de tu familia, todos.
Una aplicación de mensajería no necesita leer tus SMS. Signal, por ejemplo, no pide ese permiso.
autoUpdate()
que activa el GPS de tu teléfono y envía tu ubicación al servidor de ETECSA de forma permanente.
No es solo cuando abres la app — es todo el tiempo.
ETECSA puede saber dónde estás en cada momento. No solo cuando usas ToDus — siempre que la aplicación esté corriendo en tu teléfono.
Imagina que alguien te pone un rastreador en el bolsillo y sabe si estás en tu casa, en la iglesia, en una reunión, o visitando a alguien. Eso hace exactamente esta función.
ETECSA puede saber quiénes se están reuniendo.
Si tú y 5 amigos tienen ToDus instalado y se juntan en un lugar, ETECSA ve que 6 teléfonos están juntos. Sabe dónde, a qué hora, y por cuánto tiempo.
No necesitan cámaras ni vigilantes. Tu propio teléfono les dice que estás ahí y con quién.
De un momento a otro abres ToDus y ya no puedes entrar. Te cancelan la cuenta y no te dicen por qué.
No hay número de teléfono al que llamar. No hay solicitud que llenar. ETECSA decide quién usa ToDus y quién no.
En WhatsApp esto casi nunca pasa, y si pasa, puedes apelar. En ToDus no hay apelación.
autoSend=true.
Esto significa que ETECSA puede enviar mensajes desde tu cuenta
sin que tú lo sepas ni lo autorices.
ETECSA puede mandar un mensaje a tus contactos haciéndose pasar por ti.
Tu teléfono no suena. Tu pantalla no se enciende. Pero un mensaje sale desde tu cuenta — como si tú lo hubieras escrito.
Ni Signal, ni WhatsApp, ni ninguna aplicación seria tiene esta capacidad. Esto no es normal.
Owner.java almacena tu contraseña sin cifrar.
Peor aún, la función toString() incluye la contraseña en texto visible,
lo que significa que podría filtrarse a través del sistema de reportes de errores (Sentry)
que ETECSA puede activar remotamente.
Tu contraseña está guardada en tu teléfono en texto normal, sin protección — como si la escribieras en un papel.
Cuando la aplicación manda reportes de errores a ETECSA (cosa que ellos pueden activar cuando quieran), tu contraseña puede ir incluida sin que nadie lo note.
Cualquier empleado de ETECSA con acceso a esos reportes puede ver tu contraseña.
Cuando tú usas una aplicación segura, tu teléfono verifica que está hablando con el servidor correcto. ToDus no verifica nada.
Es como si mandas una carta y no te importa quién la recibe — cualquiera en el camino puede abrirla y leerla.
Esto significa que tus fotos, tus mensajes, y tu contraseña viajan sin protección real.
ToDus nunca se apaga. Aunque no lo estés usando, sigue corriendo en tu teléfono.
Cuando enciendes el teléfono por la mañana, ToDus ya arrancó solo. Y mientras esté corriendo, está conectado al servidor de ETECSA. Tu teléfono y ETECSA están hablando todo el tiempo — y tú no lo sabes.
Esto también gasta tu batería y tus datos.
ETECSA tiene un interruptor que puede encender y apagar desde su oficina. Cuando lo enciende, tu teléfono empieza a mandarles información detallada de todo lo que haces en ToDus.
No te avisan. No te piden permiso. Pueden apuntar a usuarios específicos si quieren.
Es como tener un micrófono en tu casa que normalmente está apagado — pero el dueño del edificio lo puede encender cuando quiera.
countryCode=53.
Tu cuenta también se registra en el sistema operativo de tu teléfono mediante
AccountManager con tipo cu.todus.android, integrándose a nivel profundo del dispositivo.
Tu número de teléfono está registrado a tu nombre en ETECSA. Todo lo que haces en ToDus está vinculado a tu carnet de identidad.
No puedes crear una cuenta anónima. No puedes usar un número inventado. ETECSA sabe exactamente quién eres desde el primer momento.
Cada mensaje, cada llamada, cada foto — todo lleva tu nombre y apellido reales.
Si usas una VPN para protegerte, ToDus se lo dice a ETECSA.
También saben si estás conectado desde otro país. Si estás en Miami, México, o España usando ToDus, ETECSA puede ver que te conectaste desde fuera de Cuba.
ETECSA podría instalar otras aplicaciones en tu teléfono sin pedirte permiso.
Tú no verías nada en la pantalla. No te saldría ningún aviso. De repente hay una aplicación nueva que tú nunca pediste ni aprobaste.
Ninguna aplicación de mensajería normal tiene esta capacidad.
Para mandar un mensaje, ¿para qué necesita ToDus acceso a tu cámara, tu micrófono, tu GPS, tus contactos, y saber qué otras aplicaciones tienes?
Signal pide 5 permisos. WhatsApp pide 12. ToDus pide 30.
Los permisos extra no son para que la app funcione mejor. Son para vigilarte.
Así se compara ToDus con Signal y WhatsApp — dos aplicaciones que sí protegen tus datos.
| Característica | Signal | ToDus | |
|---|---|---|---|
| Cifrado extremo a extremo | ✅ Sí | ✅ Sí | ❌ No |
| Mensajes guardados en servidor | ❌ No | ❌ No | ✅ Todos (MAM) |
| Rastreo GPS constante | ❌ No | ❌ No | ✅ autoUpdate() |
| Lee tus SMS | ❌ No | ⚠️ Opcional | ✅ Obligatorio |
| Bloqueo remoto de cuenta | ❌ No | ⚠️ Posible | ✅ BANNED state |
| Envío automático de mensajes | ❌ No | ❌ No | ✅ autoSend=true |
| Contraseña cifrada | ✅ Sí | ✅ Sí | ❌ Texto plano |
| Verificación SSL válida | ✅ Sí | ✅ Sí | ❌ Desactivada |
| Detecta quiénes están cerca | ❌ No | ❌ No | ✅ PeopleNearIQ |
| Se puede apagar completamente | ✅ Sí | ✅ Sí | ❌ AliveService |
Sabemos que en Cuba las opciones son limitadas. Pero hay cosas que puedes hacer hoy mismo para protegerte mejor.
En enero de 2026, la organización Prisoners Defenders publicó el primer
informe completo sobre vigilancia digital en Cuba. Según su estudio, el 46.5% de los entrevistados
reportó que sus comunicaciones en aplicaciones de mensajería fueron interceptadas, y el contenido
de mensajes privados fue citado durante interrogatorios por autoridades.
Organizaciones internacionales como la Electronic Frontier Foundation
(ssd.eff.org)
y Access Now ofrecen guías gratuitas de seguridad digital en español.
La vigilancia masiva viola leyes cubanas e internacionales. Aquí están las pruebas.
La propia Constitución de Cuba de 2019 reconoce que tus comunicaciones son privadas. ToDus viola este artículo al guardar todos tus mensajes sin cifrar en los servidores de ETECSA.
Cuba firmó esta declaración. La vigilancia masiva a través de ToDus es exactamente la "injerencia arbitraria" que este artículo prohíbe.
Respuestas directas a las preguntas más comunes.
La mejor defensa contra la vigilancia es que la gente sepa que existe.
Este análisis constituye investigación de seguridad sobre software distribuido públicamente,
protegida bajo la Primera Enmienda de la Constitución de los Estados Unidos
y la sección 1201(j) del DMCA (Digital Millennium Copyright Act), que permite
expresamente la ingeniería inversa con fines de investigación de seguridad.
Todos los hallazgos se basan en análisis estático del código fuente decompilado
de una aplicación descargada de la tienda pública APKLIS. No se distribuyó malware,
no se accedió a sistemas sin autorización, y no se comprometió ninguna cuenta de usuario.
Este sitio web es una publicación de interés público que busca informar a los
ciudadanos sobre las capacidades de vigilancia de un software que opera en sus dispositivos
personales sin su conocimiento informado.