En pocas palabras, WhatsApp está diseñado de modo que el servidor entrega sus mensajes, pero no puede descifrarlos. La clave no está en «servidores secretos», sino en las claves que se crean y usan en los dispositivos. Por eso la típica historia de «hackearon WhatsApp» casi siempre se refiere al acceso a su teléfono o cuenta, y no a romper las matemáticas.
A continuación explicamos el cifrado de WhatsApp de forma sencilla. Al buscar «cifrado de WhatsApp» normalmente se quiere entender tres cosas: por qué la empresa no lee las conversaciones, qué se sigue viendo y por qué al trasladar la cuenta a un nuevo teléfono a veces se pierde el historial.
Cifrado de extremo a extremo en WhatsApp: qué es y dónde está el servidor
El cifrado de extremo a extremo significa una idea simple. El mensaje se cifra en el dispositivo del remitente y solo se descifra en el dispositivo del destinatario. El servidor en el trayecto ve un «conjunto de bytes incomprensible» y se ocupa de la logística, no de la lectura. Esto se describe en la ayuda de WhatsApp y en el documento técnico Preguntas frecuentes, documento técnico.
En WhatsApp, por defecto están cifrados de extremo a extremo los mensajes personales, las llamadas, los archivos multimedia y los chats de grupo. Para ello se usa un protocolo basado en Signal; en la industria se le suele nombrar por su origen, Signal. El protocolo tiene una característica importante: las claves para cada mensaje se actualizan constantemente y las antiguas se eliminan. Esto reduce el daño si alguna clave se filtra en algún momento.
El papel del servidor es pragmático. Recibe el paquete cifrado, lo almacena mientras el destinatario no esté en línea y luego lo entrega. Si la entrega no se logra en el plazo, el mensaje se elimina. El servidor no guarda una «clave para todos», porque en este esquema no existe tal clave.
La conclusión práctica es sencilla. Mientras su teléfono y el del interlocutor estén bajo control de sus propietarios, WhatsApp no es el lugar desde donde se puede «leer todo de golpe». Pero eso no significa que no haya riesgos; estos simplemente se desplazan hacia los dispositivos y las cuentas.
- El cifrado está activado por defecto en los chats normales.
- No se puede desactivar «en los ajustes», no existe un interruptor para ello.
- La verificación de que está hablando con el mismo dispositivo se hace mediante un «código de seguridad» o un QR en la información del chat.
Dónde se crean las claves y cómo se inicia un chat protegido
Las claves se generan en los dispositivos, no en el servidor. Cada cliente tiene un par de claves de «identificación» a largo plazo, además de un conjunto de claves temporales que permiten iniciar un diálogo de forma segura incluso si el interlocutor está desconectado. Como resultado, después del inicio de la comunicación surge entre los dos dispositivos un «secreto de sesión» compartido que se usa para cifrar los mensajes.
Entonces empieza la magia más útil del protocolo. Cada nuevo mensaje hace avanzar la «trémula» (ratchet). Del estado actual se deriva la clave para ese mensaje concreto; el mensaje se cifra, luego el estado se actualiza y lo antiguo se borra. Por eso interceptar tráfico antiguo no sirve para leer mensajes nuevos, y viceversa.
Las agrupaciones funcionan de forma algo distinta, porque de otro modo tendrían demasiada sobrecarga. En lugar de cifrar el mismo texto por separado para cada participante se usa un mecanismo grupal con una clave del remitente que se entrega a los participantes por canales emparejados ya protegidos. Esto también se explica en el documento técnico.
Un matiz importante sobre «quién teóricamente puede leer la conversación». Dentro del modelo de amenazas, WhatsApp no puede descifrar sus mensajes personales en sus servidores. Pero cualquiera que obtenga acceso a su dispositivo o a la cuenta de WhatsApp en un nuevo dispositivo verá la conversación ya descifrada, porque así la ve también el propietario.
- El primer mensaje inicia la configuración de la sesión y el intercambio de materiales de clave.
- Después las claves se actualizan conforme a la conversación; cada mensaje tiene su propia clave.
- En los grupos se añade la «clave del remitente» para no cifrar un mismo mensaje N veces.
Qué protege exactamente el cifrado y qué permanece visible
El cifrado de extremo a extremo protege el contenido. Texto, archivos adjuntos, mensajes de voz, llamadas, reacciones, ubicación en el chat. WhatsApp subraya que las coordenadas exactas enviadas en un chat están protegidas de la misma forma que los mensajes normales, véase la página de privacidad.
Pero hay cosas que el cifrado no «oculta» completamente: los metadatos, es decir, los datos alrededor de la comunicación. A quién escribe, cuándo, desde qué dispositivo, qué versión de la aplicación tiene, qué contactos hay en la agenda, qué direcciones IP se usan para conectar. Estos datos son necesarios para la entrega, la lucha contra el spam, la sincronización y, a veces, para cumplir con requisitos legales.
Otro punto fino que a menudo se pasa por alto. Si usted mismo entrega parte del contenido, deja de ser «solo entre usted y otro». El ejemplo clásico es la denuncia de un contacto o de un grupo. Al reportar, WhatsApp recibe hasta los cinco últimos mensajes para evaluar la infracción; esto está indicado en las Preguntas frecuentes.
Y aparte, sobre la mensajería con empresas. En la aplicación normal de WhatsApp Business el cifrado es el mismo que para todos. Pero si una empresa se comunica a través de la infraestructura de un tercero, por ejemplo mediante una API en la nube de un proveedor, WhatsApp indica que dichas comunicaciones pueden no considerarse estrictamente de extremo a extremo; véase el documento técnico. Para el usuario aparece como «chat con una empresa», pero el modelo de acceso a las claves es distinto.
| Lo que protege el cifrado de extremo a extremo | Lo que puede ver el servicio y la infraestructura |
|---|---|
| Texto de mensajes, archivos adjuntos, llamadas, multimedia | Hecho de la comunicación, hora, participantes del chat, datos de entrega |
| Las claves para leer el contenido están en los dispositivos | Direcciones IP y parámetros técnicos de conexión |
| El historial en el dispositivo lo lee la propia aplicación | Parte de los mensajes puede enviarse al soporte al reportar |
Cambio de teléfono, traslado de cuenta y recuperación del historial
El principio clave es este: el cifrado de extremo a extremo protege la vía «dispositivo a dispositivo», pero no garantiza que su historial esté siempre disponible en cualquier nuevo equipo. El historial se almacena localmente y, para que aparezca en un nuevo teléfono, debe transferirse o recuperarse desde una copia de seguridad.
Cuando cambia de teléfono aparece un nuevo dispositivo y, a menudo, nuevas claves. Por eso los interlocutores pueden ver una notificación sobre el cambio del «código de seguridad». Eso no es señal de ataque por sí mismo, es la reacción normal ante una reinstalación o un traslado. Si hay dudas, se puede verificar el código en la información del chat mediante la comprobación integrada.
Las copias de seguridad son otro tema. WhatsApp soporta «copias de seguridad cifradas de extremo a extremo», que se protegen con una contraseña o con una clave de 64 caracteres. Perder ese secreto significa que no se podrá recuperar la copia, ni siquiera por parte de WhatsApp; véanse las Preguntas frecuentes y la nota sobre contraseñas olvidadas Preguntas frecuentes.
Si el cifrado de la copia de seguridad no está activado, la copia queda según las reglas del proveedor en la nube y sus ajustes. Esto no anula el cifrado de los chats en tránsito, pero crea otro lugar donde el historial puede quedar accesible si la cuenta en la nube se compromete.
- Antes de cambiar de dispositivo active la verificación en dos pasos en WhatsApp y compruebe la copia de seguridad.
- Si le importa la privacidad del historial en la nube, active la copia de seguridad cifrada de extremo a extremo y guarde la contraseña o la clave de 64 caracteres fuera del teléfono.
- Tras el traslado, verifique en los chats críticos el «código de seguridad» y asegúrese de que está comunicándose con la misma persona y el mismo dispositivo.
Mitos y realidad: por qué «hackearon WhatsApp» no significa «no hay cifrado»
Mito número uno. Si alguien leyó la conversación, entonces no existe cifrado de extremo a extremo. Realidad: lo que suele leerse no es el tráfico cifrado, sino la pantalla o la memoria del dispositivo. Si el teléfono está infectado, desbloqueado, robado, o si la cuenta fue registrada de nuevo mediante un código SMS interceptado, los mensajes estarán disponibles en forma descifrada. El cifrado no protege cuando el atacante está «en el endpoint».
Mito número dos. WhatsApp lo lee todo por defecto. Realidad: por su arquitectura el servicio no tiene una clave universal para descifrar los mensajes personales; eso se deduce del modelo de extremo a extremo, véanse las preguntas frecuentes. Pero el servicio sí ve metadatos y, en algunas acciones del usuario, puede recibir parte del contenido, por ejemplo al reportar.
Mito número tres. WhatsApp Web y «dispositivos vinculados» rompen el cifrado. Realidad: el cifrado se mantiene, solo que aparece un nuevo endpoint. Si usted vinculó un dispositivo y dejó la sesión activa en un equipo ajeno, ha añadido otra pantalla que puede leer sus mensajes. Es una cuestión de higiene de acceso, no de criptografía.
Mito número cuatro. Basta «hackear el servidor de WhatsApp» y se abrirán todos los chats. Realidad: en el modelo de cifrado de extremo a extremo la fuga de la base de servidores no revela el contenido de los mensajes sin las claves de los dispositivos. Sin embargo, tal fuga puede exponer metadatos y facilitar ataques dirigidos a cuentas, por ejemplo mediante phishing o SIM-swap:
- captura de la cuenta mediante el código de verificación y ausencia de verificación en dos pasos.
- compromiso del teléfono, de la copia de seguridad o de la cuenta en la nube.
- descuido ante el cambio del «código de seguridad» en conversaciones importantes.
Este texto explica cómo funciona la protección a nivel de protocolo, no es una guía para evadir medidas de seguridad. Si cree que su cuenta ha sido comprometida, use los escenarios oficiales de recuperación y compruebe los ajustes de privacidad y los dispositivos vinculados.
