El giro de Meta en el cifrado de Instagram expone a los usuarios

Una promesa hecha y rota

Durante años, Meta dijo a los usuarios y reguladores que implementar end-to-end encryption en Facebook Messenger y mensajes directos de Instagram era técnicamente desafiante: un complejo problema de ingeniería que la empresa estaba trabajando duro para resolver. En 2023, la empresa anunció que había resuelto esos desafíos, lanzando mensajería encrypted end-to-end en ambas plataformas con considerable promoción. El anuncio fue posicionado como un hito importante de privacidad para miles de millones de usuarios en todo el mundo.

La empresa ha hecho un giro en U. Los mensajes directos de Instagram, que muchos usuarios creían que estaban protegidos por el cifrado end-to-end que Meta afirmaba haber implementado, aparentemente nunca estuvieron completamente cifrados en primer lugar, o el cifrado ha sido eliminado en una reversión que la empresa no ha explicado públicamente. La revelación deja a los usuarios que confiaban en esas garantías en una posición de privacidad significativamente peor de la que creían estar.

Qué significa realmente el cifrado end-to-end

El cifrado end-to-end asegura que los mensajes estén cifrados en el dispositivo del remitente y solo pueden ser descifrados por el destinatario previsto. El proveedor de servicios — Meta en este caso — no posee las encryption keys y, por lo tanto, no puede leer mensajes cifrados, incluso si es obligado por las autoridades encargadas de la aplicación de la ley o en caso de un data breach que afecte a los servidores de Meta.

Sin cifrado end-to-end, los mensajes están protegidos en tránsito por encryption estándar de transporte (HTTPS/TLS), pero una vez que llegan a la infraestructura de Meta pueden ser descifrados por la empresa. Eso significa que Meta puede leer DMs de Instagram para content moderation, advertising targeting u otros propósitos, y las autoridades encargadas de la aplicación de la ley pueden obtener el contenido de los mensajes a través del proceso legal dirigido a Meta. Para usuarios que compartieron información personal sensible en DMs de Instagram — información de salud, discusiones financieras, comunicaciones de relaciones, organización política — la ausencia de cifrado end-to-end representa una exposición significativa de la que podrían no estar conscientes.

Por qué esto importa más allá de Instagram

La situación ilustra un problema más amplio sobre cómo se comunican los compromisos de cifrado a los usuarios. El cifrado end-to-end no es un simple binario que existe o no existe en toda una plataforma. Puede implementarse para algunos tipos de mensajes pero no para otros, de maneras que tengan excepciones que socaven efectivamente su protección. Una empresa puede hacer declaraciones técnicamente precisas sobre la implementación del cifrado end-to-end que, sin embargo, son profundamente engañosas en términos de protección práctica de privacidad implícita.

Los usuarios generalmente carecen del conocimiento técnico para verificar de forma independiente si la aplicación de mensajería que utilizan realmente está cifrando end-to-end sus mensajes. Dependen de la veracidad de las comunicaciones de la empresa, auditorías de terceros e investigadores de seguridad. Cuando una empresa revierte o no logra implementar el cifrado que afirmaba proporcionar, los usuarios no tienen una forma práctica de saberlo a menos que los investigadores investiguen específicamente e informen sobre la discrepancia.

El contexto competitivo y regulatorio

La reversión de cifrado de Meta llega cuando la privacidad de mensajería es más políticamente controvertida que en cualquier punto de la década pasada. Las agencias de aplicación de la ley en el US, UK y la European Union continúan presionando a las empresas de tecnología para que proporcionen acceso a comunicaciones cifradas. Varios estados miembros de la EU han intentado ordenar encryption backdoors a través de propuestas de Chat Control, aunque estas han enfrentado una oposición legal y técnica significativa.

Para usuarios que desean privacidad genuina en comunicaciones digitales, el camino más confiable sigue siendo aplicaciones de mensajería cifradas dedicadas como Signal, desarrolladas por una fundación nonprofit con una misión clara de privacidad cuya implementación de cifrado ha sido ampliamente auditada por investigadores de seguridad independientes. La reversión de Meta es un recordatorio de que las promesas de privacidad hechas por plataformas respaldadas por publicidad tienen una tensión inherente con sus modelos de negocio: una empresa que genera ingresos al comprender los intereses y comportamientos de los usuarios enfrenta incentivos estructurales para preservar el acceso al contenido de comunicación, incluso cuando ha hecho compromisos públicos para restringir ese acceso a través del cifrado.

Este artículo se basa en reportes de 9to5Mac. Lee el artículo original.