Un agente federal estadounidense ha declarado bajo juramento que el cifrado de extremo a extremo de WhatsApp es una ficción comercial y que Meta accede a mensajes en claro cuando se lo piden los servicios. La afirmación, recogida en una declaración interna que se ha filtrado a círculos de ciberseguridad y reseñada esta semana en el portal Security Affairs, ha provocado terremoto silencioso en las cancillerías europeas. El Departamento de Comercio archivó la sonda interna sin más explicaciones.
Le adelanto que la pieza no es trivial. Llevo años siguiendo el debate sobre la mensajería cifrada y la presión de los servicios occidentales sobre las grandes plataformas, y lo que aquí se denuncia, si se confirma, reescribe el manual de comunicaciones seguras de medio planeta.
El agente —cuya identidad no ha trascendido y cuyo destino dentro del organigrama federal tampoco— sostiene que el cifrado E2EE que Meta presenta como garantía de privacidad para 2.000 millones de usuarios tiene puntos ciegos explotables por el operador de la plataforma. La acusación apunta directamente a los metadatos, a las copias de seguridad en la nube y a la propia capa cliente de la aplicación, donde el mensaje vive sin cifrar antes de salir y después de llegar.
Anatomía técnica de la denuncia: dónde se rompe la promesa de Meta
Conviene poner contexto. WhatsApp utiliza el protocolo Signal Protocol, diseñado por Open Whisper Systems, que en condiciones ideales garantiza que ni siquiera el servidor central pueda leer el contenido del mensaje en tránsito. Eso es lo que Meta repite en cada actualización de sus términos. La letra pequeña, sin embargo, hace tiempo que es vox pópuli en los círculos SIGINT.
Las copias de seguridad en iCloud y Google Drive se almacenaban históricamente sin cifrado E2EE salvo que el usuario activara expresamente la opción —un porcentaje ínfimo lo hace—. Los metadatos de quién habla con quién, cuándo y desde dónde no van cifrados y constituyen un yacimiento de oro para cualquier servicio. Y la capa cliente sigue siendo el eslabón débil de toda mensajería cifrada: si Meta empuja una actualización con un módulo de telemetría agresivo, el mensaje en claro puede leerse antes de que el protocolo lo proteja.
El agente, según la transcripción que circula, va más allá. Afirma que existe un canal operativo de cooperación entre Meta y agencias estadounidenses que excede lo previsto en la Stored Communications Act y en las cartas FISA. Es decir, acceso bajo demanda sin orden judicial visible. Si esto se documenta, hablamos de SIGINT (Inteligencia de Señales) industrial sobre la mensajería más utilizada del planeta.
El cierre de la sonda interna del Departamento de Comercio, sin que se haya hecho público el informe preliminar, alimenta la sospecha. Lo escribí hace años en El quinto elemento: el próximo 11S empezará con un clic. Y ese clic no necesita un zero-day exótico si el operador ya tiene la llave maestra.
El historial: de Snowden a Pegasus, la promesa rota de la mensajería privada
No es la primera vez. En 2013, las revelaciones de Edward Snowden sobre el programa PRISM documentaron la cooperación estructural entre la NSA y las grandes tecnológicas. Microsoft, Google, Yahoo, Facebook y Apple aparecían en aquellas diapositivas. Meta —entonces Facebook— negó entonces el acceso directo, pero los documentos mostraban una arquitectura de intercambio que la jerga de Fort Meade describía como ‘collection directly from the servers’.
En paralelo, los grupos APT de medio mundo han demostrado que el cliente es el punto débil. Pegasus, de NSO Group, no rompió jamás el cifrado de WhatsApp: lo esquivó atacando el dispositivo con un zero-click que aprovechaba una vulnerabilidad en la propia aplicación. La demanda que Meta interpuso contra NSO en California reveló entonces que más de 1.400 dispositivos habían sido comprometidos en una sola campaña, entre ellos móviles de periodistas catalanes y de funcionarios del Govern, según documentó Citizen Lab en sucesivos informes.
El maño que dirigió en su día el área de ciberinteligencia del CNI me lo resumió en una conversación informal hace tres años: ‘Si tienes acceso a la plataforma, no necesitas romper el cifrado. Lo lees antes o después, pero lo lees’. La frase resume la doctrina occidental sobre mensajería cifrada desde 2015.
Y luego está el precedente de SolarWinds, atribuido al SVR ruso (APT29, Cozy Bear) en 2020. Aquella operación demostró que comprometer la cadena de suministro de software vale más que mil exploits. Si Meta ha integrado, voluntaria o forzosamente, módulos que permiten lectura selectiva del tráfico, estamos ante una SolarWinds doméstica con el agravante de afectar a comunicaciones civiles.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza identificado es de SIGINT industrial sobre mensajería de masas, con componente de filtración interna. La denuncia del agente federal funciona como insider leak que documenta una capacidad existente, no como ciberataque puntual. La diferencia es relevante para la atribución: aquí no hay APT externo que haya penetrado WhatsApp; aquí hay, presuntamente, un acuerdo o una arquitectura interna que permite lectura desde dentro.
Las agencias implicadas dibujan un triángulo conocido. Quien accede: la comunidad de inteligencia estadounidense, con la NSA y el FBI como beneficiarios directos y, por extensión, el resto de socios Five Eyes (GCHQ británico, CSE canadiense, ASD australiano, GCSB neozelandés). Quien defiende: los 2.000 millones de usuarios de WhatsApp y, de modo institucional, las autoridades europeas de protección de datos, con la Comisión Irlandesa de Protección de Datos como regulador formal de Meta en la UE. Quien mira: el CNI y el CCN-CERT siguen el caso con preocupación operativa, dado que un porcentaje altísimo de la comunicación política, empresarial y diplomática española transcurre por WhatsApp. Me consta por fuentes en La Moncloa que la nota técnica interna ya circula entre los responsables de seguridad de los ministerios sensibles.
El nivel de clasificación estimado del material que estaría en juego es alto. A juzgar por la naturaleza de las comunicaciones que pasan por WhatsApp en cancillerías y empresas del IBEX, hablamos de material que en el sistema español oscilaría entre Confidencial y Reservado, con tramos puntuales de Secreto cuando se utiliza —indebidamente— para conversaciones que deberían ir por canales acreditados. La doctrina del CCN-CERT sobre uso de mensajería comercial para asuntos sensibles es clara desde 2018: no se debe. La práctica, reconozcámoslo, es la contraria.
El cifrado no se rompe: se esquiva. Y el operador de la plataforma siempre tiene la llave del cliente, por mucho protocolo que pinte la fachada.
La lectura confidencial es otra. Si la denuncia se confirma, Bruselas tendrá que mover ficha sobre la Digital Markets Act y la nueva regulación de mensajería interoperable, que entra en fase de implementación durante este 2026. Y el CNI deberá revisar de arriba abajo los protocolos de comunicación de altos cargos. Tengo claro que el siguiente movimiento no será una multa: será un cambio de doctrina europea sobre soberanía digital que se viene cocinando desde el caso Pegasus de 2022.
Qué cambia ahora para España y para Europa
El CCN-CERT lleva tiempo recomendando alternativas para comunicaciones sensibles: COMSec acreditados, terminales endurecidos, plataformas como Signal con configuraciones específicas o desarrollos europeos como Matrix bajo control nacional. La pregunta es si esta vez Moncloa moverá ficha de verdad o se quedará, como tantas otras veces, en la circular interna que nadie cumple.
El archivo de la sonda por el Departamento de Comercio sin informe público es, en mi opinión, el dato más inquietante de toda la historia. No tanto por lo que dice como por lo que calla. Cuando una administración cierra una investigación interna que afecta a una empresa con 2.000 millones de usuarios y no publica conclusiones, el mensaje al resto del mundo es nítido: aquí no hay nada que ver. Y precisamente por eso hay que mirar.
Verá usted que la atribución técnica independiente está pendiente. Sin contraste de Mandiant, Citizen Lab o el propio CCN-CERT, la denuncia del agente sigue siendo eso: una denuncia. Pero el peso de los precedentes —Snowden, PRISM, Pegasus, SolarWinds— inclina la balanza hacia la verosimilitud. La próxima cita relevante será el informe anual del ODNI estadounidense, previsto para julio, y la sesión de la Comisión LIBE del Parlamento Europeo en la que se discutirá el dossier de mensajería cifrada. Hasta entonces, prudencia.
Y una recomendación que llevo haciendo desde que escribí Desnudando a Google: no escriba en WhatsApp nada que no estuviera dispuesto a leer mañana en portada.
