Meta ha eliminado el cifrado de extremo a extremo (E2EE) de los mensajes directos de Instagram a partir del 8 de mayo de 2026, una decisión que despoja de protección de privacidad a unos 2 mil millones de usuarios en todo el mundo. El cambio revierte una función que Instagram introdujo como opción a finales de 2023, y abre la puerta a que Meta, las fuerzas del orden y los sistemas automatizados de escaneo de contenido accedan a conversaciones privadas, fotos y mensajes de voz.
Qué cambió y cuándo
Meta anunció el retroceso el 13 de marzo de 2026, citando la baja adopción por parte de los usuarios como justificación. La compañía declaró que "muy pocas personas estaban optando por la mensajería cifrada de extremo a extremo en los MD, por lo que eliminamos esta opción de Instagram". A partir del 8 de mayo, todos los mensajes directos de Instagram vuelven al cifrado estándar del lado del servidor, lo que significa que Meta posee las claves y puede leer el contenido de los mensajes cuando las autoridades lo soliciten o la política de la plataforma lo exija.
Instagram había estado experimentando con E2EE desde 2021 y lo implementó de manera más amplia como una función opcional a finales de 2023, posicionando la privacidad como un argumento de venta frente a sus rivales. Ese posicionamiento ahora se ha abandonado de manera efectiva.
Las verdaderas razones detrás de la medida
Los expertos en privacidad y los investigadores de seguridad se muestran escépticos ante la justificación de Meta. Eliminar una función porque pocos usuarios la activan (en lugar de simplemente dejarla para aquellos que la desean) apunta a presiones regulatorias y comerciales más profundas.
- EU Chat Control: La legislación propuesta por la Comisión Europea obligaría a las plataformas de mensajería a escanear las comunicaciones privadas en busca de material de abuso sexual infantil (CSAM). El E2EE hace que esto sea técnicamente imposible, ya que el contenido cifrado no se puede escanear a nivel del servidor. Eliminar el E2EE despeja un obstáculo importante para el cumplimiento si se aprueba la normativa.
- US Take It Down Act: Convertida en ley y programada para entrar en vigor el 19 de mayo de 2026 (solo 11 días después del retroceso del cifrado de Instagram), la Ley exige que las plataformas detecten y eliminen imágenes íntimas no consensuadas, incluidos los deepfakes generados por IA, dentro de las 48 horas posteriores a un aviso. El cumplimiento nuevamente requiere la capacidad de escanear el contenido de los mensajes.
- UK Online Safety Act: El regulador británico Ofcom ya tiene facultades para ordenar a las plataformas que escaneen en busca de CSAM en virtud de la Ley de Seguridad en Línea. El cumplimiento de Meta en múltiples jurisdicciones se vuelve significativamente más sencillo sin E2EE.
Qué significa esto para los usuarios
En términos prácticos, los mensajes directos de Instagram ya no son privados en el sentido tradicional. Los metadatos sobre a quién envías mensajes y cuándo siempre han sido accesibles para Meta, pero ahora el contenido en sí también es legible por la empresa y puede compartirse con los gobiernos que emitan solicitudes legales válidas.
Para periodistas, activistas, denunciantes y cualquier persona que viva bajo un gobierno autoritario, esto representa un aumento significativo del riesgo. Instagram se usa ampliamente en países con regímenes restrictivos precisamente porque se consideraba un canal relativamente privado. Esa suposición ya no es válida.
Para los usuarios comunes, el cambio significa que los mensajes directos de Instagram ahora conllevan las mismas expectativas de privacidad que el correo electrónico alojado en un servidor de terceros: sus mensajes están a salvo de extraños al azar, pero no del operador de la plataforma ni del proceso legal.
Alternativas que aún ofrecen E2EE
Si la mensajería privada le importa, la salvaguarda técnica que Meta acaba de eliminar todavía está disponible en aplicaciones de mensajería dedicadas. Signal sigue siendo el estándar de oro: es de código abierto, auditado de forma independiente y tiene E2EE de forma predeterminada para todos los mensajes. WhatsApp (también propiedad de Meta) todavía mantiene E2EE para mensajes individuales, aunque su recopilación de metadatos es amplia. Telegram ofrece E2EE solo en su modo de "Chats secretos".
La lección más amplia de la reversión de Instagram es que el cifrado proporcionado por la plataforma es tan duradero como la voluntad de la plataforma de mantenerlo bajo presión regulatoria. El cifrado integrado en una aplicación controlada por una corporación sujeta a las fuerzas del orden es fundamentalmente diferente del cifrado que usted mismo controla.
¿Ayuda una VPN?
Una VPN no puede restaurar el cifrado de extremo a extremo en sus mensajes de Instagram; esa era una función del servidor de Meta que decidieron eliminar. Lo que proporciona una VPN es una capa diferente de protección: cifra la conexión entre su dispositivo y el servidor VPN, por lo que su proveedor de Internet no puede ver que está usando Instagram ni registrar su actividad. Esto es importante particularmente en países donde los proveedores están legalmente obligados a monitorear el uso de las redes sociales. Una VPN también oculta su dirección IP de los servidores de Instagram. Sin embargo, no evita que la propia Meta lea sus mensajes una vez que llegan a sus servidores: esa protección ahora ha desaparecido de Instagram por completo.
• Meta U-turns on encryption push for Instagram as DMs go plaintext - The Register
• Instagram is dropping end-to-end encrypted chats - Euronews
• Meta is killing end-to-end encryption in Instagram DMs - Engadget
• Instagram Encrypted Messaging Ends on Friday, May 8 - MacRumors
• Instagram Kills End-to-End Encryption - AndroidHeadlines
• Instagram is removing end-to-end encryption from DMs - NotebookCheck
