- Excontratistas de Meta denuncian acceso “sin restricciones” a mensajes supuestamente cifrados de WhatsApp
- El Departamento de Comercio de EE.UU. abrió la “Operación Cifrado de Fuentes” para indagar las acusaciones
- Meta niega cualquier posibilidad técnica de leer los chats cifrados y tilda las demandas de “frívolas”
- El caso reaviva en Europa y España el debate sobre el cifrado, la moderación de contenidos y la privacidad
Las dudas sobre cuán privados son realmente los chats de WhatsApp han pasado de los rumores a la agenda de los reguladores. Las autoridades de Estados Unidos han abierto una investigación formal para aclarar si Meta y sus contratistas han tenido acceso a conversaciones que, según la compañía, están protegidas con cifrado de extremo a extremo.
El caso, impulsado por testimonios de antiguos moderadores de contenidos y por una denuncia ante la SEC, choca de frente con el mensaje que Meta ha trasladado durante años a usuarios, gobiernos y reguladores: que nadie fuera del chat, ni siquiera WhatsApp, puede leer lo que se envía. El asunto vuelve a encender el debate sobre privacidad y vigilancia, con especial eco en Europa y España, donde el escrutinio sobre las grandes tecnológicas es cada vez más intenso y surgen dudas sobre qué revelan los metadatos.
Qué está investigando exactamente Estados Unidos
De acuerdo con documentación revisada por Bloomberg y registros de las fuerzas de seguridad, agentes especiales del Departamento de Comercio de EE.UU. están examinando las acusaciones de excontratistas de Meta Platforms Inc. según las cuales parte del personal de la empresa habría podido acceder a mensajes supuestamente cifrados de WhatsApp.
Las declaraciones de estos trabajadores describen un acceso “sin restricciones” al contenido de los chats, algo que, de confirmarse, desmentiría de raíz la arquitectura técnica que la compañía asegura utilizar para proteger las comunicaciones, por lo que muchos buscan blindar tu WhatsApp. La investigación se canaliza a través de la Oficina de Industria y Seguridad (BIS), concretamente su Oficina de Cumplimiento de las Exportaciones, en una pesquisa interna bautizada como “Operación Cifrado de Fuentes”.
Según ese informe, fechado en julio de 2025, dos personas que realizaban trabajos de moderación de contenidos para WhatsApp bajo contrato con Accenture explicaron a una agente que tanto ellas como algunos empleados de Meta podían ver el contenido de mensajes que se creían inaccesibles, lo que, según expertos, refuerza la necesidad de restringir chats en casos sensibles. Una de las moderadoras aseguró incluso que había hablado con un miembro de un equipo de Facebook que le confirmó que podían “retroceder” en mensajes cifrados cuando trabajaban en casos relacionados con actividades delictivas.
El documento, que detalla nombres de agentes y un número de caso, señala que la investigación estaba “en curso” al menos hasta enero y no aclara qué posible infracción legal se estaría analizando. La BIS, que normalmente supervisa controles de exportación, se ha limitado a decir que las declaraciones de su propio empleado sobre las prácticas de cifrado de WhatsApp “carecen de fundamento” y están fuera de su competencia, y ha insistido en que no se está investigando a WhatsApp ni a Meta por violaciones de las leyes de exportación.
Las acusaciones de los excontratistas: de la moderación al acceso a chats
Los relatos de los excontratistas van bastante más allá de los mecanismos habituales de denuncia dentro de la aplicación. Uno de ellos, Larkin Fordyce, contratista de Accenture, explicó a los investigadores que trabajó durante años como moderador de contenidos para Meta desde una oficina en Austin (Texas), desde finales de 2018 hasta 2022.
Según su testimonio, inicialmente los moderadores no tenían acceso directo a los mensajes, pero podían solicitar al “equipo de Facebook” que extrajera comunicaciones concretas. Posteriormente, asegura que se les concedió acceso propio a WhatsApp, llegando a describir un escenario en el que ese equipo podía “sacar lo que quisiera y luego enviarlo” para su revisión.
Fordyce ha confirmado públicamente que fue entrevistado “un par de veces” por una agente sobre su etapa en Meta y que consideró que compartir lo que sabía con las autoridades “era beneficioso para los Estados Unidos”. No obstante, ha rehusado profundizar en detalles técnicos o operativos sobre cómo se producía ese supuesto acceso.
Otros excontratistas relataron, además, la existencia de equipos de moderación distribuidos internacionalmente, con personal en Israel, Irlanda, India y China. Uno de ellos indicó que esos trabajadores extranjeros tenían “pleno acceso al mismo portal” para revisar casos de moderación que sus homólogos estadounidenses, y que los controles de antecedentes para estos puestos eran, en la práctica, muy limitados.
Paralelamente, parte de la documentación recopilada por la agente habría sido utilizada para una denuncia de tipo whistleblower ante la Comisión del Mercado de Valores de EE.UU. (SEC) en 2024. El estado actual de esa queja no se conoce, y la propia SEC se ha negado a comentar el caso. Tampoco han respondido organizaciones de denunciantes mencionadas en los informes, lo que añade más opacidad a un procedimiento ya de por sí poco transparente.
La versión oficial de Meta y el choque con su mensaje público
Desde la compañía, la respuesta ha sido tajante. Meta sostiene que las acusaciones son técnicamente imposibles y que sus empleados, así como los contratistas externos, no tienen forma de acceder a los mensajes cifrados de los usuarios de WhatsApp.
“Lo que estas personas afirman no es posible porque WhatsApp, sus empleados y sus contratistas no pueden acceder a las comunicaciones cifradas de las personas”, afirmó el portavoz de la empresa, Andy Stone, en un comunicado enviado por correo electrónico. La compañía considera que la demanda presentada en EE.UU. sobre este asunto es “frívola” y ha advertido que buscará sanciones contra los abogados de los demandantes.
En paralelo, Meta recuerda que el cifrado de extremo a extremo se basa en claves digitales almacenadas en los dispositivos de los usuarios, que no son accesibles para los servidores de la compañía. Es el mismo mensaje que viene repitiendo Mark Zuckerberg, consejero delegado de Meta, que en entrevistas públicas ha insistido en que cuando envía un mensaje por WhatsApp “no hay ningún momento en el que los servidores de Meta vean el contenido de ese mensaje”.
Con todo, la defensa oficial tiene que convivir con un pasado plagado de controversias en materia de privacidad. Meta ya fue sancionada en 2019 por la Comisión Federal de Comercio de EE.UU. (FTC) con una multa récord de 5.000 millones de dólares por malas prácticas en el tratamiento de datos, lo que desembocó en mayor supervisión regulatoria, el nombramiento de un director de privacidad y una estrategia de comunicación centrada en poner la protección de la información del usuario “en el centro” de sus productos.
En cuanto al funcionamiento de WhatsApp, la propia web del servicio admite que, en caso de denuncia dentro de la app, la plataforma puede llegar a ver hasta cinco de los últimos mensajes enviados al usuario que reporta. En esos supuestos, también recibe el identificador del remitente o del grupo, la hora de envío y el tipo de contenido (texto, imagen, vídeo, etc.), y todo ello sin avisar a la persona o al grupo denunciado. Los excontratistas, sin embargo, describen un rango de acceso mucho más amplio y sistemático.
Demandas judiciales y presión legal en Estados Unidos y más allá
Las declaraciones de antiguos trabajadores han desembocado también en los tribunales. Un grupo internacional de usuarios presentó en la Corte de Distrito de EE.UU. en San Francisco una demanda en la que sostiene que Meta y WhatsApp “almacenan, analizan y pueden acceder a prácticamente todas las comunicaciones supuestamente ‘privadas’” de la plataforma.
La demanda, conocida a través de Bloomberg, cita a denunciantes anónimos como fuente de parte de la información, aunque no los identifica. Algunos de los demandantes están representados por abogados del bufete Quinn Emanuel Urquhart & Sullivan, conocido en el sector tecnológico y que en el pasado ha defendido a NSO Group en un litigio con WhatsApp relacionado con el uso de software espía. En ese caso, un jurado condenó a NSO a pagar más de 167 millones de dólares en daños punitivos.
Desde Meta se insiste en que seguirá “rechazando las afirmaciones falsas” y niega categóricamente la existencia de una puerta trasera o un sistema de acceso masivo a los mensajes. La compañía subraya que, más allá de los mecanismos de reporte internos, no tiene capacidad para leer contenido cifrado, y que cualquier otra cosa entra en el terreno de la especulación o la mala interpretación.
La investigación del Departamento de Comercio no implica necesariamente que vaya a haber cargos penales o sanciones, ya que muchas pesquisas en este terreno se cierran sin consecuencias formales. Pero el simple hecho de que se haya abierto una operación con nombre propio, que haya informes internos detallando entrevistas y que exista una denuncia ante la SEC, alimenta la desconfianza de usuarios, inversores y reguladores.
En los mercados, las informaciones sobre el caso han tenido impacto inmediato: tras conocerse parte de estas revelaciones, las acciones de Meta llegaron a caer alrededor de un 1% en negociación extendida, reflejando el nerviosismo sobre los posibles riesgos legales y reputacionales para la compañía.
Implicaciones para la privacidad en Europa y en España
Aunque las investigaciones se están llevando a cabo en Estados Unidos, las consecuencias se dejan notar también en Europa y, por extensión, en España, donde la regulación de privacidad es más estricta y las autoridades se muestran especialmente vigilantes con las grandes plataformas digitales.
En la Unión Europea, el Reglamento General de Protección de Datos (RGPD) ya obliga a las empresas tecnológicas a garantizar transparencia sobre cómo tratan y protegen la información personal. Una eventual confirmación de que existió un acceso sistemático a mensajes que se anuncian como cifrados podría abrir la puerta a investigaciones paralelas por parte de autoridades europeas de protección de datos, incluyendo la Agencia Española de Protección de Datos (AEPD).
Para los usuarios españoles, el caso vuelve a poner sobre la mesa una preocupación recurrente: hasta qué punto se puede confiar en las promesas de privacidad de las grandes plataformas. Aunque, por ahora, no hay investigaciones públicas abiertas en la UE sobre estas denuncias concretas, el historial de cooperación entre reguladores estadounidenses y europeos hace que Bruselas y las capitales europeas sigan muy de cerca lo que ocurra al otro lado del Atlántico.
Además, el debate se cruza con otro frente abierto en Europa: el de las propuestas legislativas, como el plan de la UE para escanear WhatsApp, que, en nombre de la seguridad y la lucha contra la delincuencia, plantean limitar o debilitar el cifrado de extremo a extremo. Las fuerzas de seguridad europeas han criticado repetidamente que este tipo de cifrado dificulta la persecución de delitos como el terrorismo, la trata de personas o los abusos a menores.
Precisamente, Meta ha defendido su apuesta por el cifrado frente a las presiones regulatorias. En 2021, WhatsApp presentó una demanda en India contra unas normas que le habrían obligado a permitir el rastreo de mensajes cifrados, alegando que ello pondría en riesgo la seguridad y privacidad de millones de usuarios. Este tipo de choques se observan con atención desde la UE, donde también se debate cómo equilibrar derechos fundamentales y necesidades de investigación criminal.
Para empresas y administraciones públicas en España y en el resto de Europa, el resultado de la investigación estadounidense puede ser determinante a la hora de elegir herramientas de comunicación para datos sensibles. En algunos sectores, como el sanitario o el financiero, cualquier sospecha sobre la confidencialidad real de los chats puede llevar a revisar políticas internas o incluso a explorar alternativas más controladas a nivel corporativo.
En este contexto, el caso de WhatsApp se convierte en un termómetro del grado de confianza que merece el cifrado de extremo a extremo tal y como se ofrece hoy al usuario medio. Lo que determinen las autoridades, ya sea para confirmar las acusaciones o para descartarlas por falta de pruebas, influirá no solo en cómo se percibe la seguridad de la app, sino también en el debate más amplio sobre privacidad digital en todo el mundo.
Con todo lo que se ha puesto sobre la mesa —desde las declaraciones de exmoderadores hasta las negativas rotundas de Meta, pasando por la investigación en curso y las demandas civiles— lo que está en juego va mucho más allá de una sola aplicación: se cuestiona la credibilidad del modelo de cifrado comercial y la confianza de millones de usuarios en que sus conversaciones más privadas sigan siéndolo, tanto en Estados Unidos como en Europa y España.
