A partir de hoy, 8 de mayo de 2026, Instagram ya no admite los mensajes cifrados de extremo a extremo en Direct Messages. Meta no anunció el cambio con una gran campaña de producto, sino con una entrada de blog en marzo y una actualización de la página de ayuda. El cambio no afectará a la mayoría de los usuarios por una sencilla razón: la gran mayoría de ellos nunca activó esta función. Sin embargo, considero que esta decisión es una señal que merece un artículo aparte, ya que muestra lo frágil que es la protección Privacidad, siempre que exista únicamente como función opcional y no como parte de la arquitectura técnica del servicio.
¿Qué es lo que cambia exactamente?
Cifrado de extremo a extremo (en adelante E2EE) es un principio según el cual el remitente cifra el contenido del mensaje y solo el destinatario puede descifrarlo. El operador del servicio —en este caso, Meta— no tiene acceso técnico al contenido, ni siquiera si quisiera, ni siquiera si la justicia le obligara a ello.
A partir de hoy, Instagram vuelve al llamado cifrado estándar, es decir, TLS. Esto protege los datos durante la transmisión entre el dispositivo del usuario y los servidores de Meta, de forma similar a lo que ocurre en la página web habitual de un banco. Además, en el lado del servidor, los mensajes pueden estar cifrados „en reposo“, pero eso no es lo mismo que el E2EE: a diferencia del cifrado de extremo a extremo, Meta puede, técnicamente, manipular el contenido. Concretamente, puede analizarlo por motivos de seguridad, revelarlo en virtud de una orden judicial o procesarlo en la medida en que lo permitan sus propias políticas y la legislación vigente. El límite ya no lo determina criptografía, sino las normas del operador.
Esa es precisamente la diferencia que describí anteriormente en el artículo sobre metadatos: en el caso del E2EE, la protección se basa en las matemáticas, mientras que en el cifrado estándar se basa en la política del operador. La primera no puede eludirse con una decisión de la dirección, la segunda sí.
La función E2EE se introdujo en Instagram en diciembre de 2023 como una opción opcional. El usuario tenía que activarla manualmente para cada conversación por separado; nunca fue la opción predeterminada, nunca funcionó de forma generalizada en todas las regiones y estaba tan escondida en los ajustes que mucha gente ni siquiera sabía de su existencia. Meta alega ahora que la baja adopción es la razón principal para su retirada.
¿Por qué precisamente Instagram?
De hecho, la pregunta más interesante no es „por qué Meta va a eliminar el cifrado de extremo a extremo“, sino „por qué precisamente en Instagram, si al mismo tiempo lo mantiene en WhatsApp y en Messenger“. En mi opinión, es precisamente esta asimetría la que debilita la sencilla explicación de la baja adopción.
WhatsApp tiene el cifrado de extremo a extremo (E2EE) activado de forma predeterminada para todas las conversaciones y llamadas. Mensajero Introducirá gradualmente el cifrado de extremo a extremo (E2EE) por defecto para los mensajes privados a partir de diciembre de 2023. Sin embargo, Instagram se aleja por completo de esta tendencia. Si el motivo principal fueran las preocupaciones de seguridad o la presión regulatoria, cabría esperar una decisión generalizada en todo el ecosistema. En cambio, Meta opta por un enfoque que se adapta específicamente a Instagram.
E Instagram desempeña un papel específico dentro del ecosistema de Meta. No es principalmente una plataforma de comunicación, sino una red social visual basada en algoritmos de recomendación, influencers y publicidad. El contenido de las interacciones —incluido lo que la gente se escribe en los mensajes directos— tiene más valor comercial para este modelo que en el caso de WhatsApp, que es ante todo una infraestructura de comunicación. Además, Meta ha modificado recientemente las normas sobre el uso de las interacciones con Meta AI para la personalización y la segmentación publicitaria. En este contexto, la „baja adopción“ adquiere un segundo significado: si el cifrado de extremo a extremo (E2EE) llegara a convertirse alguna vez en el estándar predeterminado en Instagram, complicaría significativamente lo que es estratégicamente más valioso para Instagram.
Los argumentos relacionados con la seguridad son reales, pero incompletos
En el debate público predominan dos argumentos a favor de la supresión del cifrado de extremo a extremo (E2EE): la protección de los menores y el cumplimiento de la nueva normativa. Ninguno de ellos es infundado y ambos merecen ser tratados con seriedad.
Seguridad niños. En marzo de 2026, un jurado de Nuevo México decidió que Meta debía pagar 375 millones de dólares por violar la ley del consumidor relacionada con la protección infantil, y la segunda fase del juicio está en curso. Documentos internos publicados como parte del litigio también han salido a la luz en presentaciones judiciales que muestran que los empleados de Meta advirtieron ya en 2019 que el despliegue generalizado de E2EE reduciría significativamente la capacidad de la compañía para detectar materiales de abuso sexual infantil. Esto es coherente con lo que se ha argumentado durante mucho tiempo Europol y varias organizaciones de seguridad infantil.
Regulación. El 19 de mayo de 2026, es decir, 11 días después de la modificación de hoy, entrarán en vigor para las plataformas de EE. UU. las obligaciones derivadas de la Ley TAKE IT DOWN. La ley se firmó ya en mayo de 2025, pero se concedió a las plataformas un plazo de un año para implantar un sistema que permita denunciar y eliminar en un plazo de 48 horas el contenido íntimo no solicitado, incluidos los deepfakes generados por IA, bajo la amenaza de sanciones de la Comisión Federal de Comercio. Con el E2EE implementado de forma generalizada, dicho régimen resultaría más difícil para las plataformas, especialmente la búsqueda proactiva y la eliminación de copias idénticas, que la ley también exige. El momento en que se ha eliminado el E2EE, justo antes de este plazo, no parece una coincidencia.
No subestimaría estos argumentos. El problema es que no son exhaustivos. Igualmente reales son los riesgos que conlleva la eliminación del cifrado de extremo a extremo (E2EE) para los periodistas que se comunican con sus fuentes, para los abogados que defienden casos delicados, para las víctimas de violencia doméstica, para los usuarios LGBTQ+ en regímenes represivos y para muchos otros grupos que dependen de la confidencialidad. Comité Directivo de la Coalición Global por el Cifrado —integrado por las organizaciones Center for Democracy & Technology, Global Partners Digital, Internet Freedom Foundation, Internet Society y Mozilla — instó a Meta a que revocara la decisión y, en lugar de eliminarlo, convirtiera el cifrado de extremo a extremo (E2EE) en el estándar predeterminado para los mensajes privados en Instagram. El argumento es sencillo: la protección de los niños y protección de la intimidad no son opuestos y, en la práctica, ambos grupos —incluidos los propios niños— necesitan una comunicación cifrada que funcione para diversos fines legítimos.
Por lo tanto, la controversia no gira en torno a si nos importa la seguridad de los niños, sino en torno al precio que pagamos como sociedad por el hecho de que los operadores de las plataformas tengan la capacidad técnica de leer las comunicaciones privadas de todos los usuarios.
El cifrado como función frente al cifrado como arquitectura
En mi opinión, esta es la principal lección que se puede extraer de todo este caso. El cifrado de extremo a extremo (E2EE) puede adoptar dos formas muy distintas.
En la primera opción, se trata de una función opcional dentro de la aplicación. El usuario puede activarla, pero no está obligado a hacerlo. El operador puede desactivarla en cualquier momento con una simple actualización de la página de ayuda, tal y como muestra Meta en estos momentos. La privacidad del usuario en este modo depende de una decisión comercial y política de la empresa.
En la segunda variante, el cifrado forma parte de la arquitectura del servicio. El operador no diseña deliberadamente el sistema para tener acceso a las claves; aunque quisiera leer el contenido, técnicamente no podría. Así es como está diseñado. Señal, así está diseñado WhatsApp para los mensajes normales, y así está diseñado también, por ejemplo, Protón Ecosistema. En tal caso, la protección está integrada en el sistema, no es una prestación que se pueda desactivar.
A la hora de tomar decisiones prácticas, esto se traduce en una regla sencilla: si la comunicación requiere verdadera confidencialidad —ya sea por motivos de salud, legales, laborales, de carácter íntimo o por temas políticamente delicados—, debe realizarse en un servicio en el que el cifrado de extremo a extremo (E2EE) sea predeterminado y esté integrado en el sistema. Los mensajes directos de Instagram no cumplen hoy en día ese requisito. Sigue siendo adecuado para la comunicación social habitual, pero no es un canal en el que se deba compartir información sensible sin pensarlo dos veces.
¿Qué hacemos al respecto hoy?
Si has utilizado los chats cifrados en Instagram, Meta muestra en la aplicación instrucciones sobre cómo descargar el contenido que quieras conservar. Vale la pena realizar esta exportación hoy mismo, ya que a partir de mañana ya no podrás acceder a la versión antigua de las conversaciones. Un detalle importante: si subes la copia de seguridad a Google Drive, iCloud u otro servicio en la nube que no ofrezca cifrado de extremo a extremo, seguirás exponiendo el contenido; el objetivo de la exportación es que quede almacenado localmente en tu dispositivo o en un almacenamiento cifrado.
Para las comunicaciones confidenciales que hasta ahora se han llevado a cabo a través de mensajes directos cifrados, recomiendo pasar a Signal o WhatsApp. Signal es independiente, código abierto y, en general, se considera la opción más segura disponible. WhatsApp está en manos de Meta, pero el contenido de los mensajes cuenta con cifrado de extremo a extremo (E2EE) de forma predeterminada; aun así, conviene tener en cuenta que metadatos La información sobre quién se comunica con quién y cuándo tampoco está encriptada allí.
Sin embargo, la conclusión general es más amplia. El cambio introducido hoy en Instagram no es un pequeño ajuste del producto, sino una prueba de cómo entienden las grandes plataformas la comunicación privada. La protección que no está integrada en la arquitectura del servicio no es una característica real del producto, sino solo una promesa. Y la promesa de una gran plataforma tiene un punto débil fundamental: puede cambiar en el momento en que cambien sus prioridades comerciales, legales o políticas.
La información y las valoraciones que figuran en este artículo se basan en fuentes de acceso público a la fecha de publicación y pueden cambiar con el tiempo. Recomiendo verificar el estado actual de cada servicio y plataforma directamente con sus operadores antes de tomar una decisión.
Čeština
English
Deutsch
Español
Français