EE. UU. investiga afirmaciones de que las conversaciones de WhatsApp no son privadas

 (bloomberg.com)
2 puntos por GN⁺ 2026-02-02 | 1 comentarios | Compartir por WhatsApp
  • Agentes especiales del Departamento de Comercio de Estados Unidos están investigando las afirmaciones de excontratistas de Meta, quienes plantean la posibilidad de acceso a mensajes de WhatsApp
  • Los excontratistas declararon que ellos y algunos empleados de Meta tenían permisos de “acceso sin restricciones (unfettered access)”
  • Esta afirmación entra en conflicto con la postura oficial de Meta de que WhatsApp está cifrado y es privado
  • El mismo contenido también fue incluido en una denuncia de denuncia interna presentada ante la Comisión de Bolsa y Valores de EE. UU. (SEC) en 2024
  • Esta investigación y la denuncia interna son asuntos que no se habían hecho públicos anteriormente, con un impacto importante en la confianza en la privacidad del mensajero

Resumen de la investigación del gobierno de EE. UU.

  • Autoridades de cumplimiento de la ley de Estados Unidos están investigando las afirmaciones de excontratistas de Meta Platforms Inc. sobre una posible capacidad de acceso a mensajes de WhatsApp
    • Según informes de investigadores y entrevistas obtenidos por Bloomberg News, surgieron sospechas de que empleados de Meta podían acceder a conversaciones de WhatsApp
  • Se especifica que la investigación está a cargo de agentes especiales del Departamento de Comercio de EE. UU. (Special Agents with the US Department of Commerce)
  • El contenido de la investigación está directamente relacionado con la credibilidad de lo que Meta sostiene sobre el cifrado de extremo a extremo y la política de protección de conversaciones privadas

Afirmaciones de los excontratistas

  • Los excontratistas declararon que ellos y algunos empleados de Meta “podían acceder sin restricciones (unfettered access)” a mensajes de WhatsApp
    • Estas declaraciones se basan en registros de cumplimiento de la ley, en personas familiarizadas con el caso y en el testimonio de los propios contratistas
  • Uno de los contratistas habló bajo condición de anonimato por temor a posibles represalias

Denuncia interna y organismos relacionados

  • La misma afirmación también está incluida en una denuncia interna (whistleblower complaint) presentada ante la Comisión de Bolsa y Valores de EE. UU. (SEC) en 2024
  • Bloomberg informó por primera vez que tanto esa denuncia interna como la investigación del Departamento de Comercio eran hechos que no se habían revelado hasta ahora

Choque con la postura oficial de Meta

  • Meta ha sostenido de forma continua que WhatsApp es privado y está cifrado
  • Sin embargo, esta investigación y los testimonios plantean la posibilidad de una contradicción con la explicación oficial de Meta

Significado del caso

  • Este caso plantea dudas sobre la confiabilidad del cifrado en servicios de mensajería y el nivel de protección de la privacidad de los usuarios
  • El hecho de que una agencia del gobierno de EE. UU. haya iniciado directamente una investigación vuelve a poner atención sobre el problema de la transparencia en la seguridad de las plataformas globales de mensajería

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-02
Opiniones de Hacker News

  • El cifrado de extremo a extremo (E2EE) de WhatsApp fue investigado de forma independiente
    No se revisó todo el código fuente, sino solo el núcleo criptográfico
    El principal problema era que los servidores de WhatsApp deciden qué usuarios quedan incluidos en un grupo de chat
    Dan Goodin cubrió este tema en un artículo de Ars Technica

    • Me parece problemático que no se haya revisado todo el código fuente
      Facebook ya ha eludido medidas de seguridad móviles mediante transferencia de datos a través de localhost
      La app puede enviar datos en varias direcciones y hasta leer mensajes mediante notificaciones push
      Artículo relacionado: Cybersecurity News
    • El APK de WhatsApp carga scripts de Google Tag Manager incluso en entornos donde se instala fuera de Google Play
      Se cargan repetidamente en cada chat, y esto puede comprobarse incluso con un firewall MitM
      Me pregunto por qué estas auditorías siempre se limitan a la parte de cifrado
      Si el cliente envía mensajes en texto plano a otros servidores o servicios de traducción, el cifrado en tránsito no sirve de nada
    • El servidor puede agregar miembros arbitrariamente a un grupo, pero el cliente muestra la presencia del nuevo integrante y los mensajes anteriores no se comparten
      Aun así, si el cliente también estuviera comprometido, esa indicación podría ocultarse
      Según un reciente artículo de Livemint, WhatsApp está desarrollando una función para compartir mensajes anteriores con nuevos miembros, lo que podría debilitar la seguridad
      Advierte que, dado lo rápido que cambian las políticas, nadie debería sentirse exento
    • Los servidores de WhatsApp también deciden qué clave pública se asocia a cada número de teléfono
      Si no se verifica en persona, es difícil confiar en ello
    • Gracias por evaluar la tecnología a partir de su implementación real

  • Creo que un cliente E2EE cerrado no puede ser completamente seguro
    Detectar puertas traseras de forma realista solo es posible con software de código abierto, y las compilaciones reproducibles (reproducible builds) son importantes
    Incluso una sutil vulnerabilidad de ejecución remota de código que solo pueda explotarse desde el servidor podría ser una puerta trasera

    • Se argumenta que la detección de puertas traseras solo es posible a nivel binario
      Es imposible encontrar una puerta trasera oculta en el código fuente sin comprender perfectamente el comportamiento del compilador
    • Mencionando la filosofía de Stallman, se dice que, desde la perspectiva de seguridad, el software cerrado podría incluso beneficiarse de un efecto automático de ofuscación
      El código abierto tiene muchas ventajas, pero no hace falta afirmar una superioridad de seguridad sin fundamentos

  • Como exingeniero de WhatsApp, asegura que el equipo dedicó un esfuerzo enorme a la implementación de E2EE
    Era imposible leer los mensajes cifrados
    También desde el punto de vista comercial, WhatsApp Business API ya generaba ingresos suficientes

    • A Facebook le interesa más influir en el comportamiento del usuario y vender atención que simplemente ganar dinero
    • Hubo un momento en que Signal y WhatsApp usaban la misma dirección en Google Play, y se pregunta si hubo colaboración durante la integración del protocolo Signal
    • Se pregunta por qué descubrieron a Andreas Schjelderup mientras compartía contenido de pequeña escala
    • Se pregunta si el servidor puede hacer un ataque de intermediario (MitM) a la conexión entre dos clientes,
      y si los clientes pueden comparar directamente las claves del otro o verificar el contenido de los paquetes
    • Si aunque sea un solo ingeniero recibe instrucciones distintas, todo el esfuerzo de privacidad podría volverse inútil

  • Matthew Green evaluó recientemente en una publicación de Bluesky
    que la demanda según la cual WhatsApp tiene acceso al texto plano es una afirmación débil y sensacionalista

  • Ni las declaraciones de Meta o de exintegrantes de WhatsApp, ni los resultados de la investigación contradicen lo afirmado por el denunciante interno
    Para confiar de verdad, se necesitaría una declaración en documentos oficiales ante la SEC que diga: “Meta nunca ha accedido a mensajes de WhatsApp de ninguna forma, y tampoco podrá hacerlo en el futuro”

  • Se plantean varios escenarios hipotéticos

    1. Recopilar mensajes cifrados e intentar descifrarlos con computación cuántica
    2. Inferir el contenido real mediante análisis de metadatos
      Por ejemplo, si visito una página, le envío el enlace a un amigo y luego ese amigo visita la misma página, se puede inferir el contenido del mensaje
    • Se rieron de (1) por ser poco realista
      Las empresas FAANG son más flojas técnicamente de lo que parece
      Internamente, proyectos como ‘Decryption at Scale’ a menudo terminan siendo documentación para sumar puntos de desempeño
    • Con suficientes metadatos, como en (2), también puede determinarse el patrón de vida y la ubicación de una persona
      No hace falta descifrar el contenido real
    • El descifrado mediante computación cuántica es científicamente casi imposible
      Sería como afirmar que ya en 2016 se contaba con tecnología del nivel de 2026
    • Es probable que el gobierno de Estados Unidos no esté tratando de leer los mensajes ahora mismo, sino guardándolos para leerlos en el futuro
      Referencia relacionada: Utah Data Center
    • El problema real es que los respaldos no tienen E2EE completo
      El servidor, y no el usuario, conserva las claves

  • Me da curiosidad cómo se llevan a cabo realmente este tipo de investigaciones
    Si solo hacen preguntas, si analizan técnicamente la app junto con expertos en TI,
    o si exigen verificar el código fuente para comprobar que coincide con el código que corre en el dispositivo del usuario

    • El primer paso es que, en una investigación gubernamental, el miedo a que se descubra una mentira funciona como disuasión
      Pero no puede descartarse por completo
    • Cualquiera puede auditar los binarios del cliente
    • Es muy probable que varios gobiernos ya los hayan analizado mediante ingeniería inversa

  • Creo que el núcleo de todo cifrado es la gestión de claves
    Si no controlas directamente las claves, al final alguien más las controla
    El hecho de que WhatsApp sincronice automáticamente los mensajes entre dispositivos es un compromiso entre comodidad y seguridad
    La mayoría de los usuarios no verifica directamente la huella digital (fingerprint) de la otra parte

  • Las mayores empresas invasoras de la privacidad del mundo tienen todos los incentivos para debilitar la privacidad de los usuarios
    Su modelo de negocio se basa precisamente en recopilar datos y manipular el comportamiento
    Por eso, incluso sin pruebas, no confiar en ellas es una decisión racional