A diario nos comunicamos a través de WhatsApp: compartimos conversaciones con ex compañeros de colegio, decidimos sobre asuntos familiares y profesionales, vivimos el romance; muchas alegrías y tristezas suceden en esta plataforma. Casi todas las personas con un teléfono inteligente en América Latina utilizamos WhatsApp y somos más de 3 mil millones personas en el mundo.

Es así como Meta, dueña de WhatsApp, es responsable de las comunicaciones de gran parte del planeta. Es decir, una caída técnica, una prohibición de funcionamiento o un conflicto empresarial pueden tener consecuencias globales. Algo que ya ocurrió en el pasado y sobre lo cual reflexionamos en su momento.

Desde un punto de vista tecnopolítico, existe un problema de concentración de poder. Nuestras conversaciones fluyen a través de una de las aplicaciones de Meta. Si bien se supone que WhatsApp usa cifrado extremo a extremo, ya solo usar la aplicación implica entregarle nuestros metadatos. Esto quiere decir que nuestros contactos, con qué frecuencia hablamos con ellos, desde dónde y a qué hora, además de gran cantidad de información adicional, es recolectada por Meta por el simple hecho de usar sus servicios.

La concentración de poder no solo tiene implicancias en materia de privacidad. Por ejemplo, una aplicación de la cual dependen buena parte de las comunicaciones de la población podría verse amenazada por un conflicto geopolítico. Es decir, esta dependencia convierte a una herramienta de comunicación en un arma para el conflicto entre Estados.

A raíz de las revelaciones de Snowden, desde 2013 sabemos que EE. UU. utiliza las plataformas digitales de empresas estadounidenses para espiar las comunicaciones globales. Los embargos económicos de EE. UU. también implican restricciones en la adquisición de software a países como Cuba, Irán y Siria. Con estos antecedentes, cabe preguntarse: ¿qué pasaría si EE. UU. entrara en guerra con Europa a causa de Groenlandia? ¿WhatsApp funcionaría sin problemas para las personas europeas?

Este tipo de escenarios plantean preocupaciones globales que no son nuevas: desde distintas regiones y Estados del mundo existen múltiples intentos para tensionar la concentración económica, de datos y de poder en el entorno digital. En el caso de la Unión Europea (UE), tomaron la decisión de regular las plataformas digitales buscando establecer criterios y límites claros por medio de la Ley de Mercados Digitales (DMA por sus siglas en inglés).

Descentralizar la mensajería por ley

Los aspectos de concentración de poder, soberanía digital y privacidad, motivaron a la UE a crear la Ley DMA. Esta normativa busca regular a las empresas que dominan el mercado digital, denominadas en la legislación como “guardianes de acceso” (gatekeepers en inglés), para evitar abusos de poder, prácticas anticompetitivas y garantizar la interoperabilidad con plataformas más pequeñas. WhatsApp (Meta) fue designada como “gatekeeper” en 2023, entre otros motivos por tener más de 45 millones de personas usuarias activas al mes dentro de la UE. Esta condición le obliga a cumplir con los requisitos de la DMA, incluyendo la obligación de poder interoperar con plataformas más pequeñas.

La expectativa de una legislación de estas características es ambiciosa: permitir a las personas conversaciones a través de distintos servicios conectados. La consecuencia debería ser que quienes utilizan aplicaciones como Signal, Telegram, o plataformas europeas como Threema o Wire, se puedan comunicar con aquellas que tienen WhatsApp.

Sin embargo, la implementación conlleva una paradoja. La forma en la que está redactada la ley obliga a la plataforma que se quiere regular a que defina las reglas técnicas mediante las cuáles interactuaría con otras aplicaciones. La legislación estableció que hasta marzo de 2024, WhatsApp debía definir e implementar un plan para interactuar con otras plataformas. A fines de 2025, WhatsApp comenzó a interoperar con otras aplicaciones, pero solo con dos: Haiket y BirdyChat, recientemente creadas, y de las cuales se sabe muy poco.

Aplicaciones como Signal o Threema se oponen a la interoperatividad planteada por la DMA. Las dos empresas sostienen que su enfoque en favor de la privacidad y seguridad podría verse vulnerado al interactuar con otros proveedores ya que, de esta manera, no pueden asegurar el cuidado de los datos cuando pasan a manos de proveedores como WhatsApp. Al ser aplicaciones con bases de usuarios más pequeñas que WhatsApp, no son vistas como “guardianes de acceso” y por lo tanto no tienen obligación de cumplir con la DMA.

La ley podría así lograr que WhatsApp se conecte con aplicaciones irrelevantes, mientras que sus competidores más sólidos se mantienen al margen, dejando su dominio prácticamente intacto.

Los estándares abiertos y la idea de federación

Lo que la UE quiere hacer con WhatsApp es muy parecido a lo que se conoce como federación: un sistema donde plataformas independientes pueden comunicarse entre sí usando estándares abiertos. Un ejemplo es el correo electrónico: las personas que usan Gmail pueden comunicarse con otras que utilizan casillas de Outlook, Protonmail u otro proveedor. Si bien Gmail, con 1800 millones de usuarios, es un actor dominante en el terreno del correo electrónico, no es quien pone las reglas sobre las cuales se comunican los otros proveedores. Esto es posible gracias a protocolos consensuados como el “Protocolo Simple de Transferencia de Correo” (SMTP en inglés), sin la necesidad de intervención estatal.

Hay una diferencia clave: el correo electrónico surgió de la colaboración voluntaria entre desarrolladores que construyeron internet, acordando reglas para un sistema de correspondencia digital asincrónico y federado que previamente no existía.

Siguiendo la tradición de estándares federados, a inicios de este siglo surgió el “Protocolo extensible de mensajería y comunicación de presencia” (XMPP en inglés), inspirado en el servicio de correo electrónico donde las cuentas son del tipo usuario@dominio.com. Se trata de un protocolo conocido y utilizado por comunidades como las del software libre. Hasta 2013, Google Talk, el chat de Gmail en ese momento, implementaba este mecanismo mediante el cual una cuenta de Gmail podía comunicarse con cuentas de chat alojadas en servidores más pequeños y diversos.

Curiosamente, WhatsApp utiliza una versión modificada de XMPP conocida como FunXMPPque está optimizada para las necesidades de la aplicación y que además desactiva las funcionalidades de federación.

De todas formas, XMPP no es la única opción para comunicaciones de chat federadas. En 2014 se empezó a construir el protocolo Matrix con características similares a XMPP, pero con el cifrado extremo a extremo desarrollado como parte fundamental del protocolo, con el fin de cuidar su seguridad. En la actualidad, en Derechos Digitales utilizamos este estándar como la base de nuestra oficina virtual en un servidor manejado por nuestro equipo técnico. Incluso nos podemos comunicar con otras organizaciones que también van por el mismo camino: la apropiación de nuestras comunicaciones.

XMPP y Matrix no son protocolos perfectos y tienen muchos aspectos por mejorar. El primero tuvo un desarrollo lento y el soporte de chat cifrado entre extremos no fue adoptado por todos los servidores y clientes. Matrix resuelve el problema de cifrado extremo a extremo, pero también podría mejorar para establecerse como un estándar oficial. Igualmente, estos aspectos no opacan su relevancia como protocolos abiertos que sostienen el espíritu de la comunicación descentralizada y abierta que caracteriza a internet.

Fortalecer protocolos y estándares para una soberanía tecnológica

El intento de la UE apunta a fortalecer una internet más descentralizada y con menos concentración de poder en pocas empresas. Más allá de una perspectiva política, la apuesta refleja preocupaciones técnicas profundas sobre la resiliencia de las comunicaciones digitales a través de la independencia tecnológica, el cifrado y la interoperabilidad. Si bien representa un avance significativo, aún quedan dudas sobre la estrategia de dar el control sobre la forma de federarse a las aplicaciones que se quieren regular.

Por otro lado, las soluciones basadas en estándares abiertos, como XMPP y Matrix, ayudan a poner las mismas reglas para todas las aplicaciones que implementan el estándar. Es decir, en lugar de que WhatsApp defina cómo se comunica con el resto, el estándar abierto define las reglas por las que todas las partes se comunican entre sí. De esta manera, no se le da un poder especial a la aplicación que se pretende regular, similar a lo que sucede con el correo electrónico y Gmail.

Moverse a un sistema federado tiene ventajas como la independencia de proveedor, eliminar un único punto de fallo y la posibilidad de tener infraestructura propia para nuestras comunicaciones. También nos presenta retos: los organismos de estandarización técnicos deben acordar las actualizaciones de los estándares a futuro.

En América Latina, nuestros gobiernos ni se asoman a este tipo de discusiones, y somos pocas las comunidades que estamos reflexionando sobre estos temas. Sin embargo, los estándares abiertos están disponibles, y si organizaciones como Derechos Digitales pueden tener su propio servidor de chat federado, seguramente muchas otras también puedan emprender el mismo camino hacia una soberanía tecnológica cada vez mayor.

Publicada originalmente en Derechos Digitales.

En primer lugar, están los servicios provistos por grandes empresas de Internet como son Zoom, Google Meet, Teams e Skype de Microsoft, entre otros. Estas plataformas suelen dar un servicio limitado gratuito y además ofrecen la posibilidad de pagar para tener funcionalidades extras.

Más allá de ser un servicio pago o gratuito, estas plataformas tienen la característica que la comunicación es gestionada por las empresas que proveen el servicio. Las conversaciones que viajan entre nuestros dispositivos y los servidores de las plataformas es cifrada. Esto quiere decir que alguien que pueda vigilar nuestras comunicaciones no tendrá la posibilidad de saber con quién hablamos ni lo que estamos diciendo, lo que es bueno y es el mínimo seguridad que se esperaría para cualquier sistema de comunicación.

Por otro lado, las empresas que proveen el servicio lo pueden ver todo y, si lo desean, tienen la capacidad de grabar y transcribir las conversaciones.

¿Nos sentiríamos a gusto si tuviéramos una conversación con micrófonos y cámaras en nuestra casa u oficina de trabajo? ¿Nos cuestionaríamos quién puede escuchar estas conversaciones y para qué? ¿Existe algún problema si las grandes empresas de internet pueden escuchar y grabar nuestras conversaciones?

Para contestar esta última pregunta vale la pena regresar a 2013, cuando Edward Snowden filtró documentos secretos de la agencia de inteligencia de Estados Unidos NSA. En estas revelaciones aparece el programa PRISM, en el que participaban empresas como Google, Microsoft, Meta (entonces Facebook), Yahoo, entre otras. Según las filtraciones, las empresas debían entregar información de cualquier usuaria si el gobierno de Estados Unidos se los pedía. Para ese entonces ya se incluía a las videoconferencias.

¿Estaríamos cómodos si supiéramos que en nuestras casas hay micrófonos y cámaras por dónde miran y escuchan agencias de inteligencia? ¿Está bien que nuestras conversaciones puedan ser escuchadas? ¿Se puede hablar por Internet sin que nos escuchen?

El primer camino es el cifrado de extremo a extremo. En ese caso, las organizaciones o personas que proveen el servicio no serán capaces de escuchar las conversaciones. Según las preguntas frecuentes de Zoom, es posible habilitar esta opción en sus llamadas. Sin embargo, si revisamos la historia reciente, en el año 2021 Zoom tuvo que pagar 85 millones de dólares en EEUU, como resultado de una demanda colectiva donde se les acusó de mentir sobre el cifrado extremo a extremo y entregar información a Google y a Facebook.

¿Se puede confiar en Zoom o cualquier otra empresa que provea cifrado extremo a extremo? La respuesta es sí, siempre y cuando se trate de software libre y que el protocolo de cifrado funcione en nuestro dispositivo y no en el servidor. El software libre es importante porque se sabe de manera pública cómo funciona la aplicación y se la puede auditar de forma colectiva a nivel global. Es muy difícil poner puertas traseras con este esquema de desarrollo. Por otro lado, es importante que el cifrado de extremo a extremo suceda en nuestros dispositivos, porque por más libre que sea el software, no podemos saber si el sistema que funciona en el servidor ha sufrido modificaciones y pueda servir para espiarnos.

En ese sentido, las videollamadas de Signal están cifradas de extremo a extremo desde finales de 2021 para llamadas de hasta 5 personas y se supone que hoy en día soportan hasta 40. Si bien es una aplicación con más de 10 años de existencia y ha demostrado ser confiable, tiene un problema. Todas las comunicaciones son gestionadas por los servidores de Signal. Si bien no pueden escuchar las llamadas, tienen la posibilidad de monitorear quién se comunica con quién a través de los metadatos. No significa que suceda, pero es algo técnicamente viable.

Si no se puede confiar en quién provee el servicio, ¿qué se puede hacer? Una opción es gestionar el servicio de manera autónoma con servidores propios que funcionen con software libre. De esta forma, la gestión de la comunicación ya no pasa por proveedores conocidos por colaborar con agencias de inteligencia o lucrar con nuestros datos. En otras palabras, se transfiere la confianza de estos proveedores a nuestra organización o a un proveedor más chico en el que se pueda confiar.

Herramientas libres como Jitsi y Big Blue Button permiten tener un sistema de videoconferencias propio. Si bien las comunicaciones ya no pasan por las grandes empresas de tecnología, en principio no están cifradas de extremo a extremo. Esto quiere decir que las personas que gestionan las comunicaciones podrían vigilarlas. Por ello, es muy importante conocer quién nos da el servicio y confiar en nuestro equipo. Es importante también destacar que Jitsi está trabajando para tener cifrado de extremo a extremo en sus comunicaciones.

¿Existe alguna opción en la que dos o más personas puedan hablar por internet de forma segura sin que un tercero sepa que esto está sucediendo? Puede sonar algo subversivo, sin embargo, es el equivalente a reunirnos en un parque sin celulares en los bolsillos, ya que el mundo físico no viene con vigilancia embebida. Algo que fue normal hasta hace algunos años.

Herramientas como Jami o Tox buscan que la gente se comunique de forma segura sin la necesidad de servidores de terceros. Estos son proyectos que ya tienen su muchos años de existencia, pero que por problemas de usabilidad no han despegado.

Una alternativa interesante es Wahay, que ha sido desarrollada en Latinoamérica por el Centro de Autonomía Digital. Esta aplicación combina los proyectos de software libre Mumble con los servicios cebolla de Tor. Su arquitectura garantiza que nadie por fuera de la conversación sepa que la mismo sucedió y menos lo que se dijo. Actualmente, Wahay funciona solamente en GNU/Linux.

Esta columna no tiene el objetivo de recomendar una aplicación sobre otra. Lo que busca es ampliar una visión crítica sobre la tecnología que nos permita tomar decisiones informadas basadas en nuestras necesidades.

Por ejemplo, la inteligencia artificial está llegando a estas plataformas de comunicación y es importante tener una visión crítica sobre la misma. Hoy en día es posible tener un asistente virtual en nuestras reuniones que pueda tomar nota, hacer resúmenes, grabar las reuniones e incluso destacar los puntos claves en las grabaciones. Algo que puede ser útil y conveniente, pero si es gestionado por servidores remotos pone en riesgo nuestra comunicación y nuestra privacidad. Sin embargo, si la aplicación de inteligencia virtual funciona con software libre y en nuestros dispositivos, puede ser interesante. Tal vez es más simple y seguro tomar las notas entre seres humanos.

Publicado originalmente en Derechos Digitales.