En la última semana, WhatsApp está siendo noticia, y no por algo bueno. Personalmente, nunca me he creído que los chats estén cifrados de extremo a extremo. Yo me pregunto «de ser así, ¿cómo ganan dinero?». La respuesta parece estar en que cualquier trabajador de Meta tiene acceso a nuestros chats. Así se ha denunciado esta semana, y yo insistiré en que intentemos usar los RCS ya disponibles en Android y iOS.

Al mismo tiempo, la compañía insiste en que nadie fuera del chat, ni siquiera Meta, puede leer el contenido de los mensajes. Esta tensión entre la versión oficial y las acusaciones externas ha convertido el cifrado de WhatsApp en uno de los asuntos más sensibles en materia de protección de datos y confianza digital para millones de usuarios europeos.

Qué es el cifrado de extremo a extremo que WhatsApp promete

WhatsApp lleva años presentando el cifrado de extremo a extremo (E2EE) como parte esencial de su ADN. Según la propia plataforma, este sistema protege mensajes, fotos, vídeos, notas de voz, documentos, llamadas, ubicación en tiempo real y actualizaciones de estado, de forma que solo el emisor y el receptor puedan acceder al contenido.

La aplicación explica que cada mensaje se asegura con un «candado» y una llave única que se genera en los dispositivos, no en los servidores de Meta. Estas claves cambian constantemente y se gestionan de forma automática, por lo que el usuario no tiene que activar ninguna opción especial para asegurar sus chats.

Para reforzar la confianza, WhatsApp recuerda que su sistema de cifrado se apoya en el protocolo Signal, ampliamente reconocido en el mundo de la ciberseguridad. No obstante, este protocolo se aplica dentro de una app que no es de código abierto, lo que hace que expertos externos solo puedan auditar de forma limitada cómo se ha implementado ese cifrado en la práctica.

Cómo puede saber el usuario si un chat está cifrado

La propia WhatsApp detalla en su Centro de ayuda que cada conversación cifrada cuenta con un código de seguridad específico. Este identificador sirve para comprobar que las llamadas y los mensajes están efectivamente protegidos con E2EE entre esos dos dispositivos concretos.

Ese código se puede ver en formato de código QR o como una cadena de 60 dígitos dentro de la información de contacto, en el apartado «Cifrado». Comparando estos datos entre los participantes de un chat se verifica que ambos usan las mismas claves y que el contenido no se ha desviado a terceros.

En la práctica, la verificación consiste en abrir un chat, ir a la pantalla de información del contacto o del grupo y tocar en «Cifrado». Tras unos segundos, la aplicación muestra un mensaje automático que confirma el cifrado y ofrece las opciones de escanear el QR o revisar los 60 dígitos para comprobar que coinciden entre ambos dispositivos.

La demanda colectiva que cuestiona el cifrado de WhatsApp

Pese a este discurso oficial, una demanda colectiva presentada en el Tribunal de Distrito de San Francisco ha reavivado las sospechas sobre el funcionamiento real del cifrado. El documento judicial sostiene que Meta almacena, analiza y puede acceder a las comunicaciones que los usuarios envían a través de WhatsApp, a pesar de que la plataforma se promociona como un servicio totalmente privado.

El grupo de demandantes incluye abogados y organizaciones de Australia, Brasil, India, México y Sudáfrica. En sus alegaciones aseguran que tanto el sistema de cifrado de extremo a extremo como el resto de herramientas de seguridad de la app «no serían tan efectivos como se anuncia» y que la empresa habría engañado al público al comunicar el nivel de protección disponible.

Según se desprende de la documentación, la acusación se apoya también en testimonios de supuestos denunciantes internos que habrían descrito procesos a través de los cuales trabajadores de Meta podrían acceder al contenido de determinados chats, previa solicitud en el sistema interno de la compañía.

La respuesta de Meta y WhatsApp: cifrado «real» y acusaciones «absurdas»

La reacción de la empresa ha sido tajante. Andy Stone, portavoz de WhatsApp y de Meta, ha calificado la demanda como «frívola» y ha asegurado que la compañía pedirá sanciones contra los abogados que la han impulsado. En sus declaraciones a medios como Bloomberg, Stone mantiene que «cualquier afirmación de que los mensajes de WhatsApp no están cifrados es categóricamente falsa y absurda».

Meta sostiene que ni los empleados de WhatsApp ni los de la matriz tienen forma de leer las comunicaciones cifradas de los usuarios, y que el sistema de E2EE basado en el protocolo Signal lleva funcionando casi una década. También recuerda que los gobiernos que solicitan acceso al contenido se encuentran con la misma barrera técnica que el resto de terceros: el diseño del cifrado impediría entregar los mensajes, incluso ante requerimientos oficiales.

Mark Zuckerberg, director ejecutivo de Meta, ha defendido públicamente este modelo al afirmar que «no hay ningún momento en el que los servidores de Meta vean el contenido» de los mensajes cuando dos personas conversan por WhatsApp. Para la compañía, las acusaciones de que el cifrado es una fachada carecen completamente de base técnica.

Filtraciones y excontratistas que alimentan las dudas

A la presión judicial se suman las declaraciones de excontratistas vinculados a la moderación de contenido de WhatsApp, que han sido objeto de indagaciones por parte de las fuerzas del orden en Estados Unidos. Según un informe al que tuvo acceso Bloomberg, estos trabajadores habrían asegurado que algunos empleados de Meta contaban con acceso amplio a mensajes de usuarios de la aplicación.

Los testimonios proceden de personas que trabajaron para WhatsApp a través de empresas de consultoría externas, y que relataron a un investigador del Departamento de Comercio que en sus centros de trabajo existían puestos con «acceso sin restricciones» a los chats. Esta información se recogió en un informe interno bautizado como «Operación Cifrada de Origen», fechado en julio y descrito como parte de una investigación aún en curso.

Sin embargo, la propia Oficina de Industria y Seguridad del Departamento de Comercio estadounidense ha desautorizado posteriormente estas afirmaciones, señalando que no está investigando a WhatsApp ni a Meta por supuestas violaciones de las leyes de exportación y que el informe elaborado por uno de sus agentes se salía de su ámbito de competencia.

Meta, por su parte, ha respondido que «lo que estos individuos afirman no es posible» porque ni la compañía ni sus contratistas tienen acceso al contenido de las comunicaciones cifradas. La empresa insiste en que seguirá rechazando las acusaciones, incluidas las promovidas por el bufete que impulsa la demanda colectiva en los tribunales.

Críticas desde la competencia: Telegram y otras voces

El debate sobre el cifrado de WhatsApp también ha sido aprovechado por competidores directos en el mercado de la mensajería, como Wire. El CEO de Telegram, Pavel Durov, ha cuestionado abiertamente la seguridad de la aplicación de Meta, afirmando que la confianza ciega en su sistema de protección es, a su juicio, «inaceptable».

Durov asegura que Telegram ha analizado el sistema de cifrado de WhatsApp y que en ese proceso habrían detectado vulnerabilidades potenciales. Según su relato, WhatsApp nunca habría sido tan seguro como se presenta en las comunicaciones oficiales de Meta hacia sus miles de millones de usuarios.

Las críticas del fundador de Telegram llegaron en un momento especialmente delicado, en plena demanda colectiva en Estados Unidos contra Meta por el presunto acceso a mensajes supuestamente cifrados. Desde WhatsApp se han limitado a reafirmar que utilizan el protocolo Signal y que las claves de seguridad residen en los dispositivos, no en los servidores, por lo que la empresa no podría leer el contenido de los chats aunque quisiera.

La visión de los expertos en cifrado

En medio de este cruce de acusaciones, algunos especialistas en criptografía han tratado de rebajar la tensión. El profesor Matthew Green, criptógrafo de la Universidad Johns Hopkins, ha recordado en su blog que el cifrado de WhatsApp se basa en el protocolo Signal y que, aunque la app de Meta no sea de código abierto, existen formas técnicas de detectar si el contenido se está cifrando realmente.

Green apunta que si WhatsApp estuviera leyendo los mensajes de forma sistemática, la comunidad de investigadores de seguridad acabaría encontrando indicios en el comportamiento de la aplicación o en el análisis del tráfico. Aun así, subraya que no poder revisar todo el código complica al máximo la verificación independiente de que el cifrado se aplica tal y como la empresa asegura.

Al mismo tiempo, diversos colectivos en defensa de la privacidad, como quienes impulsan iniciativas del tipo «Encrypt It Already», presionan para que grandes compañías extiendan el cifrado de extremo a extremo a más servicios y lo utilicen por defecto. En el caso concreto de WhatsApp, estos grupos reclaman que las copias de seguridad cifradas E2EE estén activadas de serie y no dependan de que el usuario las configure manualmente.

Qué pasa con las copias de seguridad: el punto débil del sistema

Uno de los matices más relevantes, y quizá menos conocidos, es la diferencia entre el cifrado de los mensajes en tránsito y la protección de las copias de seguridad en la nube. Mientras que los chats y llamadas de WhatsApp están cifrados sí o sí, el almacenamiento de las copias de seguridad en Google Drive o iCloud no siempre ha estado protegido con E2EE por defecto.

WhatsApp ofrece desde hace un tiempo la opción de activar copias de seguridad cifradas de extremo a extremo, de manera que ni la propia app ni los proveedores de nube puedan acceder a su contenido. Pero esta función requiere que el usuario cree una contraseña o una clave de 64 dígitos y, si se olvida o se pierde, no existe forma de recuperar los datos guardados.

Por eso, hay personas y empresas que prefieren no habilitar el cifrado E2EE en las copias de seguridad. Alegan que así resulta más sencillo restaurar los chats al cambiar de móvil, usar herramientas de migración entre plataformas o cumplir con ciertas obligaciones de archivo y auditoría, a costa de depender únicamente de la seguridad del proveedor de la nube.

Por qué hay usuarios que desactivan el cifrado de las copias de seguridad

La decisión de renunciar al cifrado E2EE en las copias de seguridad responde, en muchos casos, a motivos prácticos. Si alguien habilita ese sistema y luego olvida la contraseña o extravía la clave de 64 dígitos, la copia de seguridad se vuelve irrecuperable. WhatsApp no almacena estas claves, de modo que no puede ayudar a reestablecerlas.

En el terreno empresarial, desactivar el cifrado de las copias puede verse como una forma de asegurar el acceso a historiales de chat para fines legales o de cumplimiento normativo, especialmente en sectores sujetos a fuertes exigencias de documentación. En este contexto, la prioridad pasa a ser la recuperación garantizada de los datos, aunque suponga asumir un mayor riesgo en términos de confidencialidad.

También hay usuarios que, tras sufrir errores o bloqueos al restaurar una copia cifrada de extremo a extremo, optan por volver a un sistema de respaldo estándar en la nube. Las herramientas de terceros que permiten migrar o extraer datos de WhatsApp entre plataformas suelen funcionar solo con copias sin cifrar, lo que empuja a muchos a desactivar temporalmente ese nivel adicional de seguridad.

Riesgos y contexto legal en Europa y España

Desactivar el cifrado de extremo a extremo en las copias de seguridad implica, en la práctica, que la información queda protegida únicamente por las medidas de empresas como Google o Apple. Si alguien accede a la cuenta en la nube —por ejemplo, mediante phishing o robo de credenciales— podría obtener el archivo de copia de seguridad de WhatsApp y analizar su contenido si no está cifrado.

Desde el punto de vista jurídico, el marco europeo, con el Reglamento General de Protección de Datos (RGPD) como referencia, anima a utilizar medidas de seguridad sólidas, entre ellas el cifrado, para proteger datos personales. Para empresas que usen WhatsApp con fines profesionales en España o en otros países de la UE, almacenar historiales de chat sin cifrado adicional puede plantear dudas de cumplimiento si se manejan datos sensibles de clientes.

Además, el cifrado afecta a la relación con las fuerzas y cuerpos de seguridad. Si las copias de seguridad están cifradas de extremo a extremo y solo el usuario tiene la clave, ni el proveedor de la nube ni WhatsApp pueden entregar el contenido en caso de requerimiento judicial. Si no lo están, las compañías tecnológicas podrían verse obligadas a facilitar el acceso a esos respaldos cuando lo ordenen los tribunales.

Este equilibrio entre privacidad, seguridad pública y obligaciones legales es especialmente delicado en Europa, donde se debaten periódicamente propuestas para limitar o sortear el cifrado en determinados supuestos. En ese contexto, el caso de WhatsApp se observa con lupa, dado su enorme peso en la comunicación cotidiana de millones de usuarios en España.

Cómo comprobar y gestionar el cifrado en la app

En el día a día, el usuario puede realizar algunas comprobaciones sencillas para entender mejor qué está protegido y cómo. En cada conversación individual o grupal, es posible entrar en la información del chat, pulsar en el apartado «Cifrado» y verificar el código de seguridad mediante QR o la cadena de 60 dígitos. Esto confirma que el intercambio entre esos dos dispositivos está siendo cifrado de extremo a extremo.

En cuanto a las copias de seguridad, desde los ajustes de la aplicación —tanto en Android como en iPhone— se puede acceder a la sección de «Copia de seguridad de chats» y ver si la opción de «copia de seguridad cifrada de extremo a extremo» está activada. Si lo está, se pedirá una contraseña o la clave de 64 dígitos para desactivarla o modificarla; si no, el usuario puede configurar esa protección siguiendo el asistente que ofrece WhatsApp.

Incluso con todas estas funciones, el debate actual recuerda que el cifrado no es una cuestión puramente técnica, sino también de confianza en cómo las empresas implementan y respetan sus propias promesas. Entre demandas en Estados Unidos, filtraciones de excontratistas, críticas de competidores y la mirada atenta de reguladores europeos, el futuro del cifrado de WhatsApp y su consideración como herramienta realmente privada seguirá siendo un tema clave para usuarios, expertos en seguridad y autoridades en España y en toda Europa.