El cifrado de extremo a extremo atravesó uno de sus años más delicados a nivel global. Un nuevo estudio del proveedor Tuta sobre tendencias legislativas contra el cifrado muestra cómo las leyes y propuestas que buscan debilitar la seguridad de las comunicaciones digitales se multiplican. En este escenario, Europa (especialmente Alemania) parecería mantenerse como uno de los últimos refugios seguros para los servicios cifrados (aunque no sabemos por cuánto tiempo más), en contraste con otras regiones donde la presión gubernamental es cada vez mayor. En otras partes del mundo, el futuro del cifrado todavía es incierto.

El análisis pone el foco en normativas como la Online Safety Act del Reino Unido, la TOLA en Australia o el proyecto de ley C-2 en Canadá, todas ellas con potencial para socavar o romper el cifrado. Aunque durante años este tipo de amenazas se asociaban a países con fuertes controles como Rusia o China, hoy la presión se extiende a las supuestas democracias consolidadas, donde se intenta obligar a los proveedores de comunicaciones a introducir puertas traseras que permitan a las fuerzas de seguridad acceder a los datos de los usuarios.

El problema de estas puertas traseras, advierte el estudio, es estructural: una vez que existen, no es cuestión de si serán abusadas, sino de cuándo. Cualquier debilitamiento deliberado del cifrado crea vulnerabilidades que pueden ser explotadas no solo por gobiernos, sino también por actores maliciosos. Aun así, muchos ejecutivos intentan justificar estas medidas bajo el argumento de la lucha contra el terrorismo o la protección infantil, presentando la ruptura del cifrado como un “mal necesario”.

En la Unión Europea, el debate ha sido especialmente intenso en los últimos tres años alrededor del llamado “Chat Control”, formalmente conocido como CSAR. Aunque distintas presidencias del Consejo de la UE intentaron impulsar versiones del texto que obligaban a los proveedores a eludir el cifrado, la presión de ciudadanos, organizaciones civiles y empresas tecnológicas logró frenar la iniciativa. El resultado es un borrador que no exige romper el cifrado de extremo a extremo y deja el escaneo de comunicaciones como voluntario, pendiente ahora del debate en el Parlamento Europeo.

Esta decisión supone una victoria clave para Europa y, en particular, para Alemania, donde la defensa de la privacidad tiene raíces profundas. El marco legal alemán considera la privacidad como un derecho fundamental, respaldado constitucionalmente, y cuenta con una sociedad civil altamente implicada en la política digital. La memoria de la vigilancia ejercida por la Stasi y la Gestapo sigue pesando en el debate público, reforzando una fuerte resistencia social a cualquier intento de debilitamiento del cifrado.

El panorama es muy distinto en los países de los Cinco Ojos, especialmente en Reino Unido y Australia, donde la legislación ya permite exigir puertas traseras. La TOLA australiana y la Online Safety Act británica facultan a las autoridades a ordenar la ruptura del cifrado por motivos de “interés nacional”. No se trata de un riesgo hipotético, en 2025, el Ministerio del Interior del Reino Unido exigió a Apple eliminar el cifrado en la nube, una solicitud que salió a la luz gracias a una filtración y que desató una fuerte reacción pública.

Otros países tampoco ofrecen garantías sólidas. Canadá, con su proyecto de ley C-2, podría permitir el descifrado mediante “vulnerabilidades sistémicas” mal definidas, mientras que en Estados Unidos, aunque el cifrado aún no se rompe legalmente, leyes como la CLOUD Act y la FISA otorgan amplios poderes de acceso a los datos, incluso sin orden judicial en algunos casos. Suiza, tradicionalmente asociada a la privacidad, también ve erosionada su reputación, con propuestas que obligarían a romper el cifrado y registrar direcciones IP, hasta el punto de que proveedores como Protonmail han anunciado el traslado de sus servidores a Alemania.

Mientras tanto, en Latinoamérica, el tema todavía no se ha discutido formalmente ni directamente, aunque sí se han discutido normativas que en la práctica podrían debilitar el cifrado, sobre todo buscando la trazabilidad de fake news o facultades de acceso por motivos de seguridad nacional. Por el momento ninguna ha prosperado. Sumado a esto, el peso de los países de la región por separado para enfrentarse a grandes empresas o plataformas suele ser bastante menor que el de las grandes potencias o bloques como la UE. Un caso claro fue el bloqueo por parte de Brasil de la plataforma X (Twitter) en 2024, la cual tras presiones y negociaciones, volvió a estar disponible en semanas.