En Resumen
- Una demanda colectiva en California acusó a Meta de mantener herramientas internas para acceder al contenido de mensajes privados de WhatsApp pese a su encriptación.
- El criptógrafo Matthew Green señaló que no existe un camino técnico claro para que Meta acceda rutinariamente a mensajes encriptados de extremo a extremo.
- Meta rechazó las acusaciones como "categóricamente falsas" y anunció que buscará sanciones contra el abogado de los demandantes por la demanda frívola.
Durante años, WhatsApp ha asegurado a sus aproximadamente tres mil millones de usuarios que sus mensajes están protegidos por encriptación de extremo a extremo, tan segura que ni siquiera WhatsApp puede leerlos.
Una nueva demanda que desafía esa afirmación está generando un rápido escepticismo por parte de criptógrafos y abogados de privacidad, muchos de los cuales señalan que las acusaciones plantean más preguntas sobre evidencia y timing que sobre la seguridad subyacente de WhatsApp.
Los tecnólogos contactados por Decrypt afirmaron que no ven un camino técnico claro para que Meta acceda rutinariamente al texto plano de los mensajes de WhatsApp, como alega la demanda.
Matthew Green, profesor de criptografía en la Universidad Johns Hopkins, señaló que la única forma realista en que los mensajes de WhatsApp podrían quedar expuestos a gran escala sería a través de copias de seguridad en la nube sin encriptar almacenadas con proveedores externos como Google o Apple, sistemas fuera del control de Meta.
"Las puertas traseras en una aplicación siempre son teóricamente posibles", agregó Green. "Pero generalmente serían detectables mediante ingeniería inversa de la aplicación. El hecho de que los demandantes no demuestren ni reclamen nada específico es una señal bastante buena de que no conocen una puerta trasera, porque encontrar una falla como esa haría su caso mucho más sólido".
Nick Doty, tecnólogo del Center for Democracy and Technology, adoptó una visión más cautelosa, señalando a Decrypt que los externos carecen de visibilidad completa sobre los sistemas de mensajería propietarios, pero que las afirmaciones siguen siendo poco probables.
"Creo que es difícil para cualquier tercero poder decirte con tanta confianza", afirmó Doty. "Me sorprendería mucho si las afirmaciones son precisas".
Doty añadió que la encriptación no es una cura para todo. Los mensajes pueden quedar expuestos sin romper la encriptación en sí, por ejemplo, a través de malware instalado en el dispositivo de un usuario o mediante usuarios que reportan voluntariamente contenido abusivo. Sin embargo, la demanda parece alegar algo más amplio, señaló.
"Lo que se describe en la breve descripción de esta demanda no parece cubrir esos casos", indicó Doty. "Parece ser específico al afirmar que se trata de todos los mensajes, no solo algunos mensajes, y mensajes accedidos directamente por Meta".
Mientras tanto, expertos legales cuestionaron si la denuncia ofrece la especificidad requerida para sobrevivir al escrutinio inicial en los tribunales.
Maria Villegas Bravo, abogada del Electronic Privacy Information Center, hizo eco de esas dudas desde una perspectiva legal, afirmando que la denuncia parece carecer de detalles fácticos sobre el software real de WhatsApp.
"No estoy viendo ninguna alegación fáctica ni ninguna información sobre el software real en sí", señaló Villegas Bravo. "Tengo muchas preguntas que querría que se respondieran antes de que quisiera que esta demanda procediera".
Villegas Bravo también cuestionó el momento de la demanda, señalando que llega mientras WhatsApp continúa litigando contra NSO Group, el fabricante de spyware detrás de Pegasus.
En ese caso, WhatsApp acusó a NSO de abusar de su infraestructura para entregar malware a los dispositivos de los usuarios, un vector de ataque que no implicó romper la encriptación de WhatsApp.
"Es un timing muy sospechoso que esto esté sucediendo mientras esa apelación está en curso, mientras NSO Group está tratando de hacer lobby para ser eliminada de las sanciones del gobierno estadounidense", afirmó, señalando una demanda similar presentada en Israel.
El viernes, NSO fue ordenada a pagar más de $167 millones en daños a WhatsApp por atacar ilegalmente a más de 1.400 usuarios.
"No creo que haya ningún mérito en esta demanda", señaló Villegas Bravo.
Opinión de los rivales
El caso también ha atraído comentarios de ejecutivos de aplicaciones de mensajería rivales.
El fundador y CEO de Telegram, Pavel Durov, escribió en X que las acusaciones se alineaban con las críticas pasadas de Telegram sobre la seguridad de WhatsApp, aunque no ofreció evidencia vinculada a la demanda en sí.
El propietario de X, Elon Musk, también afirmó que "WhatsApp no es seguro", instando a los usuarios a cambiar a la función de mensajería encriptada de X.
Ningún ejecutivo sustentó sus afirmaciones, y los expertos advirtieron contra confundir la retórica competitiva con pruebas técnicas. Aún así, la demanda llega en un momento sensible para Meta, particularmente en mercados emergentes donde WhatsApp domina la comunicación diaria.
Solo India representa más de 850 millones de usuarios de WhatsApp, con Brasil agregando otros 148 millones, lo que hace que cualquier desafío serio a las promesas de privacidad de la plataforma sea consecuente mucho más allá de los tribunales estadounidenses.
¿Qué pasa?
El escepticismo sigue a la presentación el viernes de una demanda colectiva propuesta en un tribunal federal en California que acusa a Meta y su subsidiaria WhatsApp de mantener herramientas internas que permiten a los empleados acceder al contenido de mensajes privados, a pesar de las afirmaciones públicas de encriptación de extremo a extremo.
Los demandantes, incluidos usuarios de Australia, Brasil, India, México y Sudáfrica, buscan representar a usuarios de WhatsApp no estadounidenses y no europeos desde 2016.
La denuncia alega que Meta "compartimentalizó" equipos internos de maneras que impidieron a los empleados comprender completamente cómo funcionaba el acceso a los mensajes de WhatsApp, y que los usuarios se ven obligados a confiar en las garantías públicas de Meta porque la pila completa de mensajería de WhatsApp no es de código abierto ni auditable de forma independiente.
Señala violaciones de leyes federales y de privacidad de California, incumplimiento de contrato, enriquecimiento injusto y competencia desleal, y señala declaraciones públicas pasadas del CEO de Meta, Mark Zuckerberg, afirmando que la empresa no puede leer mensajes de WhatsApp.
Meta ha rechazado enérgicamente las acusaciones. En una declaración compartida con Decrypt, un portavoz de la empresa llamó a las afirmaciones "categóricamente falsas y absurdas".
"WhatsApp ha estado encriptado de extremo a extremo usando el protocolo Signal durante una década", declaró el portavoz. "Esta demanda es un trabajo frívolo de ficción, y buscaremos sanciones contra el abogado de los demandantes".