Si usted usa Instagram y, en especial, si usted usa su función de mensajería, esto debería preocuparle: Meta, la compañía dueña de esa red social (así como de WhatsApp y Facebook) anunció de manera discreta un cambio en la arquitectura de mensajería de la popular plataforma de fotos y videos. Tras años de cacarear su compromiso con la privacidad, la empresa notificó que el soporte para la mensajería con cifrado de extremo a extremo, conocido técnicamente como E2EE, cesará el 8 de mayo de este año.
Meta invitó a los usuarios a descargar sus historiales de chat y archivos multimedia antes de la fecha límite, sin que haya quedado del todo claro por qué. No es aparente, al momento de escribir esta columna, si los mensajes dejarán de ser accesibles con el cambio de protocolo, o si seguirán existiendo, solo que sin la protección de E2EE. Es de suponer que, una vez eliminado el cifrado, los servidores de Meta recuperarán la capacidad de procesar la información que transita por sus canales de mensajería. Volveremos a eso.
El cifrado de extremo a extremo es una piedra angular de la privacidad en línea, porque garantiza que solo los dispositivos al comienzo y al final del intercambio posean las claves de descifrado necesarias para leer el contenido. WhatsApp opera por defecto bajo este estándar, y tanto Messenger como Instagram anunciaron en su momento una transición para implementarlo a lo largo y ancho del ecosistema de Meta, que usan unos 3.500 millones de personas.
Por todas estas razones no habría que decir que el hecho de que Instagram elimine el cifrado de extremo a extremo es sumamente serio para la privacidad en línea. Antes, nadie que no fuera el emisor o el destinatario, podía leer los mensajes cifrados. Ahora Meta podrá leerlos y pueden tener la seguridad de que podrá usarlos, como lo hace ya con las interacciones de sus usuarios con sus herramientas de inteligencia artificial, para segmentar los anuncios publicitarios que les muestra.
Y, sí, a partir del momento en que se suspenda el cifrado de los mensajes, las agencias gubernamentales también podrán solicitar acceso a ellos. Es fácil jugar aquí la carta de ‘el que nada debe nada teme’, pero para quienes entendemos el cifrado fuerte como un derecho digital básico, es un impacto profundo a la privacidad y un cambio en las reglas de juego de Internet.
El cambio de postura de Instagram no es del todo sorprendente, Meta ya mostró su agilidad para dar volteretas cuando despidió a gran parte de su equipo de moderadores y eliminó el sistema de verificación de información independiente en favor de un modelo de ‘Community Notes’ similar al de X. Es fácil ver en esos cambios una respuesta a la presión política de la Casa Blanca, enmarcada como una defensa de la libertad de expresión. Pero sí resulta, por lo menos, llamativo si se considera que Mark Zuckerberg, director ejecutivo de Meta, posicionó esta tecnología como el eje de su estrategia de servicios de comunicación privada.
Lo cierto es que esta nueva voltereta ocurre en un contexto, en medio de la presión regulatoria de la administración Trump y debates sobre la seguridad digital. El argumento de autoridades como el FBI es que el cifrado total dificulta la detección de actividades ilícitas y la moderación de contenido dañino. Sin embargo, investigadores en ciberseguridad sostienen que debilitar estos protocolos expone a los usuarios a riesgos de vigilancia masiva, filtraciones de datos y ataques de actores externos.
Una vez se abandona el cifrado de extremo a extremo, la privacidad pasa a depender exclusivamente de las políticas de uso y la voluntad de la empresa, y no de una imposibilidad matemática de acceso a los datos. Este cambio posiciona a Instagram en una dirección opuesta a la de aplicaciones especializadas como Signal.
No es mi intención usar este espacio para abogar por un desconocimiento de la necesidad de dar a las fuerzas del orden las herramientas para actuar en el siempre cambiante paisaje digital. Pero esta noticia, y en general todas aquellas que aluden a ‘puertas traseras’ en materia de tecnología digital, conllevan un riesgo que ni siquiera sus defensores más vocales pueden desconocer: no existe una forma de crear un acceso para las autoridades que no pueda ser explotado eventualmente por terceros con intenciones maliciosas.
Lo más probable es que, para Meta, la movida tenga sentido desde una perspectiva de mercado, toda vez que permite centralizar la gestión de datos para optimizar la eficiencia. La idea, como lo dijo un vocero de la empresa, de que se suspende el cifrado porque muy poca gente lo usaba es ridícula. Es mucho más probable que Meta necesitara levantar las barreras para su IA: si quieres asistentes inteligentes en la interfaz de mensajería, pues se requiere que tengan acceso para interpretar el contexto de las conversaciones.
Lo cierto es que, para los usuarios, el fin de la era E2EE obliga a desaconsejar el uso de la plataforma para todo tipo de comunicaciones. Incluso sin más detalles, la instrucción de descargar los datos antes de la desconexión del sistema de cifrado indica que no está previsto que haya compatibilidad entre el modelo de seguridad saliente y el entrante.
Los usuarios que prioricen la confidencialidad deberán buscar alternativas que mantengan el cifrado de extremo a extremo, como una constante innegociable en su arquitectura de software. De lo contrario, cualquiera que le escriba a su esposa un mensaje sobre su deseo de armar un viaje a Cancún debería prepararse para ver cómo se llenan sus redes de publicidad de hoteles y aerolíneas.
Es difícil no ver esto como otro paso hacia la división de la red en ‘barrios’ seguros y no seguros… por diseño. El panorama de la mensajería instantánea se fragmentará a partir de mayo entre servicios que apuestan por la opacidad total de los datos en pos de su protección, y plataformas que priorizan la integración y el procesamiento de información para servicios agregados. Una vez más, el tema se decidirá sobre la variable de a cuánta gente le importa más la privacidad que la conveniencia.