En la Ăşltima semana, WhatsApp está siendo noticia, y no por algo bueno. Personalmente, nunca me he creĂdo que los chats estĂ©n cifrados de extremo a extremo. Yo me pregunto «de ser asĂ, ÂżcĂłmo ganan dinero?». La respuesta parece estar en que cualquier trabajador de Meta tiene acceso a nuestros chats. AsĂ se ha denunciado esta semana, y yo insistirĂ© en que intentemos usar los RCS ya disponibles en Android y iOS.
Al mismo tiempo, la compañĂa insiste en que nadie fuera del chat, ni siquiera Meta, puede leer el contenido de los mensajes. Esta tensiĂłn entre la versiĂłn oficial y las acusaciones externas ha convertido el cifrado de WhatsApp en uno de los asuntos más sensibles en materia de protecciĂłn de datos y confianza digital para millones de usuarios europeos.
Qué es el cifrado de extremo a extremo que WhatsApp promete
WhatsApp lleva años presentando el cifrado de extremo a extremo (E2EE) como parte esencial de su ADN. SegĂşn la propia plataforma, este sistema protege mensajes, fotos, vĂdeos, notas de voz, documentos, llamadas, ubicaciĂłn en tiempo real y actualizaciones de estado, de forma que solo el emisor y el receptor puedan acceder al contenido.
La aplicación explica que cada mensaje se asegura con un «candado» y una llave única que se genera en los dispositivos, no en los servidores de Meta. Estas claves cambian constantemente y se gestionan de forma automática, por lo que el usuario no tiene que activar ninguna opción especial para asegurar sus chats.
Para reforzar la confianza, WhatsApp recuerda que su sistema de cifrado se apoya en el protocolo Signal, ampliamente reconocido en el mundo de la ciberseguridad. No obstante, este protocolo se aplica dentro de una app que no es de código abierto, lo que hace que expertos externos solo puedan auditar de forma limitada cómo se ha implementado ese cifrado en la práctica.
Cómo puede saber el usuario si un chat está cifrado
La propia WhatsApp detalla en su Centro de ayuda que cada conversaciĂłn cifrada cuenta con un cĂłdigo de seguridad especĂfico. Este identificador sirve para comprobar que las llamadas y los mensajes están efectivamente protegidos con E2EE entre esos dos dispositivos concretos.
Ese cĂłdigo se puede ver en formato de cĂłdigo QR o como una cadena de 60 dĂgitos dentro de la informaciĂłn de contacto, en el apartado «Cifrado». Comparando estos datos entre los participantes de un chat se verifica que ambos usan las mismas claves y que el contenido no se ha desviado a terceros.
En la práctica, la verificaciĂłn consiste en abrir un chat, ir a la pantalla de informaciĂłn del contacto o del grupo y tocar en «Cifrado». Tras unos segundos, la aplicaciĂłn muestra un mensaje automático que confirma el cifrado y ofrece las opciones de escanear el QR o revisar los 60 dĂgitos para comprobar que coinciden entre ambos dispositivos.
La demanda colectiva que cuestiona el cifrado de WhatsApp
Pese a este discurso oficial, una demanda colectiva presentada en el Tribunal de Distrito de San Francisco ha reavivado las sospechas sobre el funcionamiento real del cifrado. El documento judicial sostiene que Meta almacena, analiza y puede acceder a las comunicaciones que los usuarios envĂan a travĂ©s de WhatsApp, a pesar de que la plataforma se promociona como un servicio totalmente privado.
El grupo de demandantes incluye abogados y organizaciones de Australia, Brasil, India, MĂ©xico y Sudáfrica. En sus alegaciones aseguran que tanto el sistema de cifrado de extremo a extremo como el resto de herramientas de seguridad de la app «no serĂan tan efectivos como se anuncia» y que la empresa habrĂa engañado al pĂşblico al comunicar el nivel de protecciĂłn disponible.
SegĂşn se desprende de la documentaciĂłn, la acusaciĂłn se apoya tambiĂ©n en testimonios de supuestos denunciantes internos que habrĂan descrito procesos a travĂ©s de los cuales trabajadores de Meta podrĂan acceder al contenido de determinados chats, previa solicitud en el sistema interno de la compañĂa.
La respuesta de Meta y WhatsApp: cifrado «real» y acusaciones «absurdas»
La reacciĂłn de la empresa ha sido tajante. Andy Stone, portavoz de WhatsApp y de Meta, ha calificado la demanda como «frĂvola» y ha asegurado que la compañĂa pedirá sanciones contra los abogados que la han impulsado. En sus declaraciones a medios como Bloomberg, Stone mantiene que «cualquier afirmaciĂłn de que los mensajes de WhatsApp no están cifrados es categĂłricamente falsa y absurda».
Meta sostiene que ni los empleados de WhatsApp ni los de la matriz tienen forma de leer las comunicaciones cifradas de los usuarios, y que el sistema de E2EE basado en el protocolo Signal lleva funcionando casi una dĂ©cada. TambiĂ©n recuerda que los gobiernos que solicitan acceso al contenido se encuentran con la misma barrera tĂ©cnica que el resto de terceros: el diseño del cifrado impedirĂa entregar los mensajes, incluso ante requerimientos oficiales.
Mark Zuckerberg, director ejecutivo de Meta, ha defendido pĂşblicamente este modelo al afirmar que «no hay ningĂşn momento en el que los servidores de Meta vean el contenido» de los mensajes cuando dos personas conversan por WhatsApp. Para la compañĂa, las acusaciones de que el cifrado es una fachada carecen completamente de base tĂ©cnica.
Filtraciones y excontratistas que alimentan las dudas
A la presiĂłn judicial se suman las declaraciones de excontratistas vinculados a la moderaciĂłn de contenido de WhatsApp, que han sido objeto de indagaciones por parte de las fuerzas del orden en Estados Unidos. SegĂşn un informe al que tuvo acceso Bloomberg, estos trabajadores habrĂan asegurado que algunos empleados de Meta contaban con acceso amplio a mensajes de usuarios de la aplicaciĂłn.
Los testimonios proceden de personas que trabajaron para WhatsApp a travĂ©s de empresas de consultorĂa externas, y que relataron a un investigador del Departamento de Comercio que en sus centros de trabajo existĂan puestos con «acceso sin restricciones» a los chats. Esta informaciĂłn se recogiĂł en un informe interno bautizado como «OperaciĂłn Cifrada de Origen», fechado en julio y descrito como parte de una investigaciĂłn aĂşn en curso.
Sin embargo, la propia Oficina de Industria y Seguridad del Departamento de Comercio estadounidense ha desautorizado posteriormente estas afirmaciones, señalando que no está investigando a WhatsApp ni a Meta por supuestas violaciones de las leyes de exportaciĂłn y que el informe elaborado por uno de sus agentes se salĂa de su ámbito de competencia.
Meta, por su parte, ha respondido que «lo que estos individuos afirman no es posible» porque ni la compañĂa ni sus contratistas tienen acceso al contenido de las comunicaciones cifradas. La empresa insiste en que seguirá rechazando las acusaciones, incluidas las promovidas por el bufete que impulsa la demanda colectiva en los tribunales.
CrĂticas desde la competencia: Telegram y otras voces
El debate sobre el cifrado de WhatsApp tambiĂ©n ha sido aprovechado por competidores directos en el mercado de la mensajerĂa, como Wire. El CEO de Telegram, Pavel Durov, ha cuestionado abiertamente la seguridad de la aplicaciĂłn de Meta, afirmando que la confianza ciega en su sistema de protecciĂłn es, a su juicio, «inaceptable».
Durov asegura que Telegram ha analizado el sistema de cifrado de WhatsApp y que en ese proceso habrĂan detectado vulnerabilidades potenciales. SegĂşn su relato, WhatsApp nunca habrĂa sido tan seguro como se presenta en las comunicaciones oficiales de Meta hacia sus miles de millones de usuarios.
Las crĂticas del fundador de Telegram llegaron en un momento especialmente delicado, en plena demanda colectiva en Estados Unidos contra Meta por el presunto acceso a mensajes supuestamente cifrados. Desde WhatsApp se han limitado a reafirmar que utilizan el protocolo Signal y que las claves de seguridad residen en los dispositivos, no en los servidores, por lo que la empresa no podrĂa leer el contenido de los chats aunque quisiera.
La visiĂłn de los expertos en cifrado
En medio de este cruce de acusaciones, algunos especialistas en criptografĂa han tratado de rebajar la tensiĂłn. El profesor Matthew Green, criptĂłgrafo de la Universidad Johns Hopkins, ha recordado en su blog que el cifrado de WhatsApp se basa en el protocolo Signal y que, aunque la app de Meta no sea de cĂłdigo abierto, existen formas tĂ©cnicas de detectar si el contenido se está cifrando realmente.
Green apunta que si WhatsApp estuviera leyendo los mensajes de forma sistemática, la comunidad de investigadores de seguridad acabarĂa encontrando indicios en el comportamiento de la aplicaciĂłn o en el análisis del tráfico. Aun asĂ, subraya que no poder revisar todo el cĂłdigo complica al máximo la verificaciĂłn independiente de que el cifrado se aplica tal y como la empresa asegura.
Al mismo tiempo, diversos colectivos en defensa de la privacidad, como quienes impulsan iniciativas del tipo «Encrypt It Already», presionan para que grandes compañĂas extiendan el cifrado de extremo a extremo a más servicios y lo utilicen por defecto. En el caso concreto de WhatsApp, estos grupos reclaman que las copias de seguridad cifradas E2EE estĂ©n activadas de serie y no dependan de que el usuario las configure manualmente.
Qué pasa con las copias de seguridad: el punto débil del sistema
Uno de los matices más relevantes, y quizá menos conocidos, es la diferencia entre el cifrado de los mensajes en tránsito y la protecciĂłn de las copias de seguridad en la nube. Mientras que los chats y llamadas de WhatsApp están cifrados sĂ o sĂ, el almacenamiento de las copias de seguridad en Google Drive o iCloud no siempre ha estado protegido con E2EE por defecto.
WhatsApp ofrece desde hace un tiempo la opciĂłn de activar copias de seguridad cifradas de extremo a extremo, de manera que ni la propia app ni los proveedores de nube puedan acceder a su contenido. Pero esta funciĂłn requiere que el usuario cree una contraseña o una clave de 64 dĂgitos y, si se olvida o se pierde, no existe forma de recuperar los datos guardados.
Por eso, hay personas y empresas que prefieren no habilitar el cifrado E2EE en las copias de seguridad. Alegan que asĂ resulta más sencillo restaurar los chats al cambiar de mĂłvil, usar herramientas de migraciĂłn entre plataformas o cumplir con ciertas obligaciones de archivo y auditorĂa, a costa de depender Ăşnicamente de la seguridad del proveedor de la nube.
Por qué hay usuarios que desactivan el cifrado de las copias de seguridad
La decisiĂłn de renunciar al cifrado E2EE en las copias de seguridad responde, en muchos casos, a motivos prácticos. Si alguien habilita ese sistema y luego olvida la contraseña o extravĂa la clave de 64 dĂgitos, la copia de seguridad se vuelve irrecuperable. WhatsApp no almacena estas claves, de modo que no puede ayudar a reestablecerlas.
En el terreno empresarial, desactivar el cifrado de las copias puede verse como una forma de asegurar el acceso a historiales de chat para fines legales o de cumplimiento normativo, especialmente en sectores sujetos a fuertes exigencias de documentación. En este contexto, la prioridad pasa a ser la recuperación garantizada de los datos, aunque suponga asumir un mayor riesgo en términos de confidencialidad.
También hay usuarios que, tras sufrir errores o bloqueos al restaurar una copia cifrada de extremo a extremo, optan por volver a un sistema de respaldo estándar en la nube. Las herramientas de terceros que permiten migrar o extraer datos de WhatsApp entre plataformas suelen funcionar solo con copias sin cifrar, lo que empuja a muchos a desactivar temporalmente ese nivel adicional de seguridad.
Riesgos y contexto legal en Europa y España
Desactivar el cifrado de extremo a extremo en las copias de seguridad implica, en la práctica, que la informaciĂłn queda protegida Ăşnicamente por las medidas de empresas como Google o Apple. Si alguien accede a la cuenta en la nube —por ejemplo, mediante phishing o robo de credenciales— podrĂa obtener el archivo de copia de seguridad de WhatsApp y analizar su contenido si no está cifrado.
Desde el punto de vista jurĂdico, el marco europeo, con el Reglamento General de ProtecciĂłn de Datos (RGPD) como referencia, anima a utilizar medidas de seguridad sĂłlidas, entre ellas el cifrado, para proteger datos personales. Para empresas que usen WhatsApp con fines profesionales en España o en otros paĂses de la UE, almacenar historiales de chat sin cifrado adicional puede plantear dudas de cumplimiento si se manejan datos sensibles de clientes.
Además, el cifrado afecta a la relaciĂłn con las fuerzas y cuerpos de seguridad. Si las copias de seguridad están cifradas de extremo a extremo y solo el usuario tiene la clave, ni el proveedor de la nube ni WhatsApp pueden entregar el contenido en caso de requerimiento judicial. Si no lo están, las compañĂas tecnolĂłgicas podrĂan verse obligadas a facilitar el acceso a esos respaldos cuando lo ordenen los tribunales.
Este equilibrio entre privacidad, seguridad pública y obligaciones legales es especialmente delicado en Europa, donde se debaten periódicamente propuestas para limitar o sortear el cifrado en determinados supuestos. En ese contexto, el caso de WhatsApp se observa con lupa, dado su enorme peso en la comunicación cotidiana de millones de usuarios en España.
CĂłmo comprobar y gestionar el cifrado en la app
En el dĂa a dĂa, el usuario puede realizar algunas comprobaciones sencillas para entender mejor quĂ© está protegido y cĂłmo. En cada conversaciĂłn individual o grupal, es posible entrar en la informaciĂłn del chat, pulsar en el apartado «Cifrado» y verificar el cĂłdigo de seguridad mediante QR o la cadena de 60 dĂgitos. Esto confirma que el intercambio entre esos dos dispositivos está siendo cifrado de extremo a extremo.
En cuanto a las copias de seguridad, desde los ajustes de la aplicaciĂłn —tanto en Android como en iPhone— se puede acceder a la secciĂłn de «Copia de seguridad de chats» y ver si la opciĂłn de «copia de seguridad cifrada de extremo a extremo» está activada. Si lo está, se pedirá una contraseña o la clave de 64 dĂgitos para desactivarla o modificarla; si no, el usuario puede configurar esa protecciĂłn siguiendo el asistente que ofrece WhatsApp.
Incluso con todas estas funciones, el debate actual recuerda que el cifrado no es una cuestiĂłn puramente tĂ©cnica, sino tambiĂ©n de confianza en cĂłmo las empresas implementan y respetan sus propias promesas. Entre demandas en Estados Unidos, filtraciones de excontratistas, crĂticas de competidores y la mirada atenta de reguladores europeos, el futuro del cifrado de WhatsApp y su consideraciĂłn como herramienta realmente privada seguirá siendo un tema clave para usuarios, expertos en seguridad y autoridades en España y en toda Europa.
