Falso cifrado en aplicaciones de mensajería: riesgos reales y mitos

Durante años hemos dado por hecho que el cifrado de extremo a extremo en las apps de mensajería era sinónimo absoluto de privacidad: si el mensaje sale cifrado de tu móvil y solo se descifra en el del destinatario, problema resuelto, ¿no? La realidad que están destapando servicios de inteligencia, demandas colectivas y expertos en criptografía es bastante más incómoda: los atacantes casi nunca pierden el tiempo rompiendo algoritmos, van directo a la persona.

Al mismo tiempo, WhatsApp y otras plataformas están en el centro de una tormenta perfecta: demandas que acusan a Meta de poder leer los chats, investigaciones sobre vulnerabilidades, polémicas públicas en las que se suman pesos pesados como Elon Musk o Pavel Durov y, por si fuera poco, nuevas leyes europeas que obligan a que estas aplicaciones sean interoperables con terceros, añadiendo una capa extra de complejidad (y riesgo) a la seguridad.

El falso sentido de seguridad: el cifrado funciona, el eslabón débil somos nosotros

Los servicios de inteligencia de Países Bajos han descrito una campaña sostenida en el tiempo, atribuida a operadores vinculados al Estado ruso, que no intenta reventar la matemática del cifrado, sino rodearlo por completo. En vez de atacar el protocolo, atacan al usuario. Es más barato, más rápido y, por desgracia, mucho más efectivo.

En apps como Signal, los atacantes se hacen pasar por un soporte técnico oficial o por un chatbot corporativo. Envían mensajes alarmistas sobre una supuesta brecha de seguridad o un acceso no autorizado a tu cuenta, presionando para que actúes con urgencia. El objetivo es que bajes la guardia y sigas instrucciones sin pensar demasiado.

Bajo esa excusa “de emergencia”, piden al usuario el código de verificación recibido por SMS y el PIN de bloqueo de la app. Con esos dos elementos, que son en la práctica las llaves de tu casa digital, registran la cuenta en otro dispositivo, cambian el número asociado si les hace falta y pasan a controlar el perfil por completo.

Una vez dentro, los atacantes acceden a la agenda, a los nuevos mensajes y a todos los chats en curso, tanto privados como de grupo. Pueden suplantar la identidad de la víctima, escribir a colegas, fuentes periodísticas o contactos profesionales y seguir extendiendo el engaño a otras personas de la misma red. La intrusión se propaga en cadena aprovechando la confianza previa.

Lo más inquietante es lo que ocurre después: aunque la víctima consiga recuperar el acceso a su cuenta o a su dispositivo, el historial de conversaciones suele aparecer intacto. No hay mensajes borrados ni cambios evidentes, lo que refuerza la sensación de que “nadie ha leído nada”. Ese espejismo de seguridad hace que muchas personas ni siquiera sospechen que durante días o semanas alguien estuvo leyendo cada mensaje nuevo que entraba.

WhatsApp: ingeniería social silenciosa y acceso desde ordenadores

En el caso de WhatsApp, el patrón de ataque suele ser aún más discreto. En lugar de hacerse pasar por soporte pidiendo códigos directamente, los ciberdelincuentes recurren a enlaces maliciosos y códigos QR que prometen acceso a grupos exclusivos, funciones especiales o ventajas que no están disponibles para el público general.

Cuando la víctima hace clic o escanea el código QR, lo que en realidad está haciendo es vincular un ordenador o un navegador a su cuenta de WhatsApp, aprovechando la propia función oficial de la app que permite usarla en múltiples dispositivos. A ojos del sistema, parece una conexión legítima, no un ataque.

El resultado es que los atacantes pueden leer tanto los mensajes nuevos como buena parte del historial, algo que los servicios de inteligencia neerlandeses han señalado como especialmente peligroso cuando el objetivo son periodistas, personal militar, altos funcionarios u otros perfiles sensibles.

Las agencias europeas implicadas en estas investigaciones, como el servicio de inteligencia militar MIVD y el general AIVD, subrayan que el cifrado de extremo a extremo, en sí mismo, está haciendo su trabajo. El problema aparece cuando el usuario entrega las llaves (códigos, PIN, verificación, acceso a dispositivos) a quien no debe. El vicealmirante Peter Reesink llega a remarcar que estas apps de mensajería no deberían usarse como canal principal para información estrictamente gubernamental.

Meta estaría preparando mecanismos automatizados para detectar este tipo de fraudes de ingeniería social, pero los expertos avisan: el auge del “fraude como servicio”, con bandas criminales que comercializan kits listos para usar, está convirtiendo estas técnicas en el arma preferida de muchos atacantes. El factor humano sigue siendo el talón de Aquiles.

Por eso, la recomendación pasa por blindar nuestros hábitos: no compartir nunca códigos ni PIN por mensaje, revisar de forma periódica la lista de dispositivos vinculados en la configuración de la app y cerrar sesiones sospechosas en ordenadores o navegadores que no reconozcamos. No es un tema solo técnico, es casi higiene digital básica.

Demandas contra Meta: ¿es real el cifrado de extremo a extremo de WhatsApp?

Paralelamente a los ataques de ingeniería social, WhatsApp se enfrenta a un frente legal delicado. Una demanda colectiva presentada ante un tribunal federal en San Francisco acusa a Meta de tener capacidad para leer los mensajes de los usuarios pese a asegurar desde hace años que “ni siquiera WhatsApp” puede acceder al contenido de los chats.

La acción legal cuenta con la participación de abogados de Australia, Brasil, India, México y Sudáfrica, y sostiene que el cifrado de extremo a extremo y otras herramientas de seguridad que la empresa promociona serían, en la práctica, una ficción. Según el texto, WhatsApp y Meta almacenarían y tendrían “acceso ilimitado” a comunicaciones que, en teoría, deberían ser inaccesibles.

Los demandantes aseguran que existe un procedimiento interno mediante el cual empleados de Meta, y también empresas externas contratadas, podrían solicitar acceso a conversaciones concretas por motivos laborales. Bastaría con justificar la necesidad dentro de los sistemas internos y, con la colaboración del equipo de ingeniería, obtener acceso a contenido que la compañía sostiene que no puede ver.

La denuncia afirma que esa práctica se habría producido desde abril de 2016 hasta la actualidad, sin el consentimiento explícito de los usuarios, lo que chocaría directamente con varias leyes de privacidad y protección de datos en distintos países. El debate ya no es solo técnico, es también jurídico y reputacional.

WhatsApp ha salido al paso rápidamente. Su portavoz Andy Stone ha calificado las alegaciones como “categóricamente falsas y absurdas”, insistiendo en que los mensajes están protegidos por el protocolo Signal y que ninguna persona de la empresa, ni de terceros, tiene acceso a las claves de cifrado, que residirían únicamente en los dispositivos de los usuarios.

Qué dicen los expertos en criptografía sobre WhatsApp y Signal

Para intentar poner algo de orden en este lío, varios criptógrafos de referencia han dado su opinión. El profesor Matthew Green, de la Universidad Johns Hopkins, recuerda que WhatsApp basa su cifrado en el protocolo Signal, considerado uno de los sistemas más robustos que existen hoy en el mercado de la mensajería segura.

Green apunta, eso sí, que WhatsApp no es software de código abierto, por lo que no se puede descargar y auditar fácilmente todo el código fuente para verificar a fondo la implementación del cifrado. Hay que fiarse, en buena parte, de los análisis indirectos que se hacen descompilando la app y de las evidencias técnicas que se puedan encontrar en su comportamiento.

Pese a ese matiz, el propio criptógrafo explica que ve poca probabilidad de que las acusaciones más extremas de la demanda sean ciertas, y da dos razones: por un lado, si WhatsApp estuviese leyendo mensajes cifrados de forma sistemática, los expertos habrían detectado ya trazas claras de esa conducta; por otro, cualquier puerta trasera estable dejaría indicios bastante visibles en el código o en el tráfico de red.

Otros especialistas consultados en Europa se muestran igualmente escépticos con la idea de que exista un acceso masivo y rutinario al contenido de todos los chats. Sin embargo, admiten que la propia complejidad de los sistemas modernos (copias de seguridad en la nube, sincronización entre dispositivos, integración con servicios de terceros) abre espacios grises donde la protección no siempre es tan estricta como promete el marketing.

Donde sí hay bastante consenso es en separar tres niveles: la seguridad criptográfica “pura” del protocolo (lo que matemáticamente protege los mensajes), la seguridad de la implementación en las apps reales y, por último, la capa de procesos internos y gobernanza de datos dentro de la empresa. Un cifrado fuerte no impide, por sí solo, que alguien abuse de los metadatos o de sistemas complementarios.

Verificar el cifrado en tus chats: lo que WhatsApp permite comprobar

Mientras el debate legal y técnico sigue su curso, los usuarios pueden al menos comprobar ciertas cosas desde la propia aplicación. WhatsApp ofrece una opción para verificar que un chat determinado está cifrado de extremo a extremo mediante códigos únicos.

El proceso es sencillo: entras en la conversación, pulsas sobre el nombre del contacto o del grupo para abrir la pantalla de información, y allí verás una sección llamada “Cifrado”. Al tocarla, la app genera un mensaje automático con un código QR y un número de 60 dígitos que es distinto para cada chat.

La idea es que ambas personas comparen esos códigos, ya sea escaneando el QR del otro móvil o leyendo y cotejando los números. Si las cadenas coinciden, la aplicación da por verificado que la comunicación entre esos dos dispositivos está efectivamente protegida con el mismo par de claves, sin que se haya interpuesto un intermediario malicioso en medio.

WhatsApp recalca en su Centro de ayuda que estos códigos son únicos por chat y que no hace falta activar manualmente el cifrado: viene habilitado por defecto para mensajes, llamadas, fotos, vídeos, notas de voz, documentos, ubicación en tiempo real y estados. El usuario, eso sí, tiene que tomarse la molestia de comprobar el código si quiere ese plus de garantía.

Aun así, hay que tener claro que verificar el cifrado no resuelve otros problemas: no evita que alguien tenga acceso físico a tu móvil desbloqueado, ni que puedas ser víctima de ingeniería social, ni que un malware robe mensajes en el propio dispositivo antes de cifrarse o después de descifrarse.

Musk, Durov y la batalla pública por el “falso cifrado”

La polémica en torno al supuesto falso cifrado de WhatsApp no se ha quedado en los tribunales. Figuras como Elon Musk (propietario de X) y Pavel Durov (fundador de Telegram) han aprovechado la situación para atacar abiertamente la reputación de la app de Meta y, de paso, promocionar sus propias plataformas.

Musk ha llegado a afirmar en redes sociales que “no se puede confiar en WhatsApp”, compartiendo noticias sobre la demanda y cuestionando la privacidad real que ofrece. No ha aportado pruebas técnicas nuevas, pero su alcance mediático hace que el mensaje llegue a millones de usuarios y aumente la desconfianza general.

Durov, por su parte, ha ido todavía más lejos en sus declaraciones públicas, calificando el cifrado de WhatsApp como “uno de los mayores fraudes al consumidor” y presentando Telegram como alternativa más segura. Lo irónico es que muchos expertos recuerdan que la mayoría de chats de Telegram no van cifrados de extremo a extremo por defecto, y que su algoritmo de cifrado propio no goza del mismo consenso científico que el protocolo Signal.

En el fondo, este cruce de acusaciones forma parte de una guerra de marketing entre competidores directos, pero tiene un efecto claro: añade ruido a un debate que ya era complejo de por sí y obliga a muchos usuarios a replantearse qué entienden por “app segura”. Que una plataforma critique la seguridad de otra no implica automáticamente que ella sea impecable.

Lo razonable es mirar más allá de los titulares y fijarse en aspectos concretos: qué protocolo emplea cada app, si el código es abierto o no, qué parte de las conversaciones va realmente cifrada, cómo se manejan las copias de seguridad y qué historial tiene la empresa en materia de privacidad y transparencia.

Interoperabilidad y DMA: cuando WhatsApp tiene que hablar con otras apps

Como si todo esto fuera poco, en Europa entra en juego la Ley de Mercados Digitales (DMA), que obliga a los grandes “guardianes de acceso” (gatekeepers) como Meta a abrir sus servicios y hacerlos interoperables. En el caso de la mensajería, eso implica que WhatsApp y Messenger deberán permitir la comunicación con aplicaciones de terceros.

Los ingenieros de Meta han publicado especificaciones técnicas para que otros servicios que lo deseen puedan conectarse a la infraestructura de WhatsApp y enviar mensajes de un lado a otro. En teoría, una persona en otra app podría chatear contigo en WhatsApp sin instalar la propia app de Meta, siempre que tú actives esa opción de interoperabilidad.

De momento, no hay acuerdos públicos cerrados con grandes rivales como Signal, Telegram, iMessage o Discord, y algunos de ellos se han mostrado muy escépticos con la idea. Implementar un cifrado de extremo a extremo al mismo nivel que el de WhatsApp es un reto serio para muchas plataformas, y no todas están dispuestas a invertir recursos en un puente tan complejo.

En las versiones beta de WhatsApp ya se ha visto que los mensajes procedentes de otras plataformas irán en una sección separada, para diferenciarlos claramente de los chats “nativos” de WhatsApp. Al inicio solo se permitirán conversaciones uno a uno y envío de archivos, imágenes y vídeos; las llamadas de voz, videollamadas y grupos quedan fuera, al menos durante el primer año.

Uno de los grandes quebraderos de cabeza es la identificación de usuarios entre servicios distintos. WhatsApp se basa en números de teléfono, Facebook en perfiles con múltiples atributos, Discord usa nombres de usuario cortos, Threema emplea identificadores alfanuméricos… Coordinar todo eso sin abrir la puerta a suplantaciones de identidad es un reto delicado.

Puentes de cifrado, ataques MITM y dudas de los criptógrafos

Más allá de la cuestión de “quién es quién” en cada lado, el mayor desafío técnico de la interoperabilidad está en el cifrado entre plataformas. Incluso cuando dos servicios usan protocolos potentes y similares, hay diferencias en cómo gestionan el intercambio de claves, la autenticación de usuarios o el almacenamiento local de datos.

Si los métodos de cifrado son muy distintos, la solución práctica suele pasar por un “puente” que reciba el mensaje, lo descifre en un protocolo y lo vuelva a cifrar en otro. Ese puente puede estar en un servidor intermedio o, en arquitecturas más ambiciosas, en el propio dispositivo del usuario. Pero en cuanto hay un punto en el que el mensaje está en claro, la superficie de ataque se dispara.

Este esquema recuerda al clásico ataque de intermediario (MITM): si un atacante consigue comprometer el servidor o elemento que hace de puente, puede escuchar, manipular o bloquear mensajes sin que el usuario lo perciba fácilmente. El fiasco reciente de Nothing Chats, que intentaba llevar iMessage a Android con una arquitectura similar, es un buen ejemplo de cómo todo puede salir mal.

La propia experiencia de Meta con su ecosistema interno lo demuestra: la mensajería cifrada entre Messenger e Instagram se anunció hace más de cinco años, pero el cifrado E2EE a gran escala en Messenger solo llegó de forma completa a finales de 2023, y en Instagram todavía no está plenamente desplegado.

Muchos criptógrafos ven estas dificultades e insisten en que un cifrado fiable y fácil de usar en entornos realmente abiertos es extremadamente complejo. Llevamos décadas viendo tropiezos con el PGP en el correo electrónico y otros intentos; no es una cuestión de voluntad, es que el problema es intrínsecamente complicado.

Algunas propuestas pasan por crear puentes que operen directamente en el dispositivo del usuario para evitar servidores intermediarios, o por empujar a que todas las plataformas adopten un protocolo común y descentralizado. Pero, seamos realistas, los grandes actores de la mensajería no parecen especialmente motivados a ceder tanto control.

Riesgos añadidos: spam, phishing, metadatos y malware

La interoperabilidad no trae solo problemas de cifrado. También complica la lucha contra el spam, el phishing y otros abusos. Hoy en día, si un remitente empieza a molestarte en WhatsApp, lo bloqueas y, si muchos usuarios hacen lo mismo, el sistema limita su capacidad de enviar mensajes a desconocidos.

Con varios servicios encadenados, queda por ver cómo se coordinarán esas medidas antispam entre plataformas distintas. ¿Quién decide cuándo una cuenta es claramente maliciosa: la app origen, la de destino o ambas? ¿Cómo se evitará que un atacante bloquee usuarios legítimos a golpe de denuncias cruzadas?

Otro frente es la moderación de contenido no deseado: desde pornografía y estafas, hasta campañas de desinformación política. Cuando entren en juego algoritmos, equipos de revisión y políticas de moderación pertenecientes a dos empresas diferentes, es fácil que la respuesta sea más lenta y menos coherente.

A esto se suma el tema de los metadatos y la privacidad. Si envías mensajes desde, por ejemplo, Skype a alguien en WhatsApp, parte de tu información de uso acabará registrándose también en los servidores de Meta, aunque nunca instales WhatsApp. Este tipo de “fuga de datos” preocupa especialmente a servicios más centrados en el anonimato, como Threema, que advierte del riesgo de desanonimización de sus usuarios.

Y, como guinda, la interoperabilidad es música para los oídos de los ciberdelincuentes que crean “mods” y apps trampa. Es fácil imaginar campañas ofreciendo aplicaciones falsas que prometen chatear entre WhatsApp y Telegram, o añadir funciones imposibles, para colarte malware en el móvil. Aquí la receta de siempre cobra más importancia que nunca: instalar solo desde tiendas oficiales y usar soluciones de seguridad fiables.

Vulnerabilidades específicas: el caso del cifrado de WhatsApp y Check Point

Más allá del debate estructural sobre cifrado, también han salido a la luz vulnerabilidades concretas en la implementación de WhatsApp. La firma de seguridad Check Point describió hace un tiempo una fractura que permitiría manipular mensajes dentro de conversaciones privadas y de grupo.

Según su análisis, era posible interceptar y alterar el contenido de ciertos mensajes, de forma que se modificaran las palabras de una respuesta o se enviaran mensajes supuestamente dirigidos a todo el grupo pero visibles solo para usuarios seleccionados. Todo ello sin que la víctima pudiera detectarlo fácilmente.

Este tipo de ataques abre la puerta no solo a la obtención de información, sino a campañas masivas de desinformación: noticias falsas, mensajes manipulados atribuidos a personas que nunca los enviaron, o conversaciones aparentemente legítimas que han sido retocadas para conseguir un determinado efecto.

Los expertos advierten de que esta manipulación a gran escala encaja como anillo al dedo con técnicas de ingeniería social y campañas de influencia política, algo que ya hemos visto en procesos electorales de países como India o Brasil, donde WhatsApp se ha convertido en un canal clave para la difusión de mensajes políticos y noticias.

La compañía, propiedad de Meta, ha insistido en que no existe un fallo en la encriptación en sí misma y que el cifrado sigue garantizando que solo emisor y receptor pueden leer el intercambio. Desde su punto de vista, se trataría de problemas en capas superiores de la aplicación que no comprometen la confidencialidad criptográfica básica.

Alternativas, formación y hábitos: qué puedes hacer tú

Tras tantas noticias sobre demandas, vulnerabilidades y guerras de declaraciones, es normal que mucha gente se pregunte si debería abandonar WhatsApp y cambiar de aplicación. Telegram suele salir como candidata en todas las conversaciones, en parte por su imagen de app “para usuarios avanzados”.

Telegram ofrece funciones interesantes como chats secretos con cifrado de extremo a extremo, mensajes que se autodestruyen, protección con contraseña o PIN para la app y controles de privacidad granulares. Todo esto puede darte un plus de seguridad frente a curiosos o frente a accesos físicos no autorizados a tu móvil.

Sin embargo, conviene recordar que, por defecto, la mayoría de chats en Telegram no usan cifrado E2EE, sino un cifrado cliente-servidor que permite que la compañía almacene el contenido en la nube. Para conversaciones realmente sensibles, es importante usar los chats secretos y entender bien sus limitaciones.

Más allá de la app concreta, una pieza clave es la formación en ciberseguridad para dispositivos móviles. Iniciativas dedicadas a este ámbito buscan que tanto profesionales como emprendedores aprendan a identificar amenazas, entender la arquitectura de las aplicaciones y desarrollar servicios más seguros desde el diseño.

Que sepas resolver problemas lógicos, que desarrolles aplicaciones móviles o que tu empresa tenga una app propia son buenos motivos para formarte en seguridad móvil. La cantidad de datos personales y corporativos que movemos a diario por estas plataformas hace que cualquier fallo tenga impacto real, no solo teórico.

Al final, el debate sobre el “falso cifrado” en aplicaciones de mensajería deja claro que no basta con que una empresa diga que usa cifrado de extremo a extremo ni con ver un candadito asociado a un chat. Hay que mirar quién controla las llaves, qué pasa con los metadatos, cómo se gestionan los dispositivos vinculados, qué procesos internos existen y, sobre todo, cómo de fácil es engañar al usuario para que sea él mismo quien abra la puerta al atacante.

Related article:

¿Cuáles son los principales tipos de ataques informáticos que existen? Lista [year]