Una demanda colectiva presentada en un tribunal federal de Estados Unidos acusa a WhatsApp de haber “engañado” a los usuarios con sus mensajes públicos sobre el cifrado de extremo a extremo (E2EE). La denuncia sostiene que, pese a la insistencia de la compañía en que “nadie salvo los participantes” puede leer los mensajes, existirían vías internas para que personal de Meta pudiera acceder al contenido en determinados supuestos. Meta lo niega de forma tajante y califica la acusación de infundada.
El caso, presentado el 23 de enero en el Distrito Norte de California, se apoya —según el texto divulgado por medios y analistas— en afirmaciones de supuestos informantes y describe un presunto sistema interno para solicitar acceso a información de cuentas. La clave es que, si esa operativa permitiese ver mensajes “como texto” sin intervención del usuario, chocaría frontalmente con la promesa central del E2EE: que las claves para descifrar residen únicamente en los dispositivos de los usuarios.
Meta ha respondido con una negativa rotunda. En declaraciones recogidas por Bloomberg, un portavoz de la compañía asegura que es “categóricamente falso” que los mensajes de WhatsApp no estén cifrados, y recuerda que el servicio emplea el protocolo Signal para E2EE desde hace años.
Lo importante, por ahora: acusación no es prueba técnica
Más allá del ruido mediático, hay un punto que los expertos suelen considerar determinante en litigios de este tipo: la diferencia entre una denuncia y una demostración criptográfica. En la información publicada por Proton (que enlaza al texto de la demanda), se subraya que, en esta fase, no se aportan pruebas técnicas concluyentes de una “puerta trasera” criptográfica o de un fallo estructural que rompa el cifrado.
Esto no significa que el caso sea irrelevante. Significa que el debate no se resolverá con eslóganes, sino con evidencias: arquitectura, flujo de claves, trazabilidad de los procesos internos y, si llega el momento, peritajes y documentación judicial.
Qué promete exactamente el E2EE… y dónde se confunden los límites
WhatsApp define el cifrado de extremo a extremo como comunicaciones que permanecen cifradas “de un dispositivo controlado por el emisor a uno controlado por el receptor”, y sostiene que ni WhatsApp ni su matriz Meta pueden acceder al contenido “en medio”. Esa definición aparece en su documento técnico “WhatsApp Encryption Overview”, donde también se delimitan excepciones y casos que no consideran E2EE (por ejemplo, ciertas comunicaciones con servicios de Meta o con negocios mediante Cloud API).
Aquí es donde se abre una zona gris comunicativa: para el usuario medio, “WhatsApp está cifrado” se interpreta como una garantía total y homogénea. Para un ingeniero de seguridad, la frase siempre depende de cómo, desde dónde y bajo qué modalidad se intercambian los mensajes (app de consumo, entornos empresariales, integraciones, gestión delegada, etc.). El propio documento técnico menciona que, en escenarios donde un negocio delega la operación de su API en un proveedor, ese proveedor podría tener acceso a claves privadas del entorno (aunque no estén almacenadas en el servidor de chat de WhatsApp).
En paralelo, el protocolo Signal —sobre el que se apoya el E2EE de WhatsApp— está documentado públicamente, con especificaciones de mecanismos como X3DH o Double Ratchet, diseñados para aportar propiedades como secreto hacia delante (forward secrecy) y rotación constante de claves.
El punto de fondo: “cifrado verificable” frente a “cifrado por confianza”
Incluso aunque Meta ganara el caso sin despeinarse, la discusión de fondo seguiría sobre la mesa: ¿hasta qué punto puede el usuario verificar lo que se le promete cuando el servicio es cerrado, el backend es opaco y gran parte del sistema depende de procesos internos?
En la práctica, la confianza en una mensajería no se reduce a si usa un protocolo robusto. También cuenta la gobernanza del producto, la transparencia ante incidentes, la claridad al explicar excepciones (copias, denuncias de abuso, integraciones empresariales), y el grado de auditoría independiente. En ese sentido, una demanda como esta funciona como recordatorio: el E2EE es una garantía técnica… pero la experiencia real del usuario se define, muchas veces, en las capas “alrededor” del cifrado.
Preguntas frecuentes
¿Puede WhatsApp leer mis mensajes si están cifrados de extremo a extremo?
Según Meta, no: el E2EE impediría que terceros —incluida la propia plataforma— accedan al contenido durante el tránsito. La demanda, en cambio, alega que existirían mecanismos internos de acceso; por ahora, son acusaciones que deberán probarse en sede judicial.
¿Qué diferencia hay entre cifrado de extremo a extremo y “cifrado en tránsito”?
El cifrado en tránsito protege la comunicación entre tu dispositivo y un servidor. El E2EE protege el contenido para que solo lo descifren los dispositivos de los participantes, incluso si un servidor intermedio almacena o reenvía el mensaje.
¿Por qué se habla tanto de metadatos si el contenido está cifrado?
Porque el contenido puede estar protegido y, aun así, existir información útil para perfilar actividad: quién habla con quién, cuándo, desde dónde o con qué frecuencia. Esa “huella” no siempre está cubierta por las mismas garantías que el texto del mensaje.
¿Qué señales debería buscar un usuario preocupado por la privacidad en una app de mensajería?
Transparencia técnica (documentos y auditorías), claridad sobre excepciones (funciones empresariales, denuncias, copias), controles de seguridad del dispositivo (bloqueo, verificación en dos pasos) y políticas de respuesta ante incidentes.
