La narrativa de la privacidad digital tiene un fallo de origen: la comodidad. Nos hemos acostumbrado a la promesa de las grandes tecnológicas de que nuestros mensajes son privados, invisibles e irrecuperables. Pero, ¿qué sucede cuando una de las figuras legales más relevantes de España, el Fiscal General del Estado, condenado recientemente, intenta ejecutar el borrado perfecto de su rastro digital?
La historia que voy a desgranar no es sobre política, sino sobre ciberseguridad, persistencia de datos y la traición al principio de la Privacidad por Defecto. Es un caso de estudio de primer nivel que demuestra cómo el punto más débil de nuestra privacidad no está en los complejos algoritmos del cifrado de extremo a extremo (E2EE) de WhatsApp —el cual sí funciona—, sino en la puerta de servicio que millones de usuarios abren cada noche sin saberlo: la copia de seguridad en Google Drive
Si cree que borrar sus chats o resetear su móvil garantiza el anonimato, le invito a leer por qué la alta esfera judicial española tenía la certeza de que el rastro del Fiscal General del Estado seguía ahí, latente en la nube, y por qué este modus operandi puede ser la perdición de cualquier usuario.
La acción y la sospecha
La primera pieza de este complejo puzle comienza con una acción drástica y reveladora. Una vez abierta la causa contra el Fiscal General del Estado, los hechos, ampliamente documentados, son contundentes. El investigado llevó a cabo una serie de movimientos digitales que, en el mejor de los casos, se interpretan como un intento desesperado de ocultación.
Se confirma que el investigado borró sus mensajes, reseteó su dispositivo, y en algunos reportes se sugiere incluso que cambió de terminal en un lapso de tiempo extraordinariamente corto, coincidiendo con la apertura de la causa que ha culminado en su condena. Estos hechos (borrado de mensajes, reseteos y ausencia de contenido en el volcado inicial) llevaron a la UCO a solicitar, y al juez a acordar, una comisión rogatoria internacional dirigida a WhatsApp y Google.
En esencia, el Supremo solicitó a Google y a Meta (WhatsApp) datos del fiscal general tras descubrir que había borrado sus mensajes y reseteado su móvil el mismo día que se abría la causa, y que había cambiado de dispositivo pocos días después. (Fuentes: El Confidencial / El Mundo / 20 minutos, citando las órdenes judiciales y los informes de la UCO).
Esta acción, que para el usuario medio representa la aniquilación total de los datos, para la justicia y para cualquier experto en informática forense, es una mera advertencia. Un borrado local solo elimina la copia del dispositivo; el fantasma digital, el verdadero rastro, tiene una vida propia y se aloja en los servidores de terceros. ¿Y dónde se aloja la copia de seguridad de WhatsApp? Precisamente, en la nube de Google o Apple, fuera del control directo de Meta.
Como explicó Xataka Móvil en su análisis del caso, borrar mensajes en el teléfono no implica borrar la copia de seguridad, y Google mantiene versiones antiguas que pueden ser restauradas si no se han eliminado manualmente. Su artículo lo resume en una frase contundente: «No importa que borres tus mensajes: Google tiene la llave para recuperarlos si la copia en la nube sigue activa». (Fuente: Xataka Móvil, 2025).
El viaje a la nube
El Tribunal Supremo español sabía que un simple registro del teléfono sería inútil. Los indicios de borrado, recogidos en el informe de la UCO que analizaba los movimientos del investigado, impulsaron a la justicia a activar un mecanismo legal mucho más complejo, pero de alcance global: la Comisión Rogatoria Internacional. Este procedimiento iba dirigido tanto a WhatsApp LLC como a Google LLC, pero el flanco crítico para la investigación eran las copias de seguridad potencialmente almacenadas en Google Drive..
La solicitud era quirúrgica. No se trataba de pedir datos genéricos, sino de ir directamente a por el único archivo que, en la configuración habitual de WhatsApp en Android (copia en la nube sin cifrado E2EE por defecto), podía romper la privacidad del investigado y revelaría el contenido borrado.
«La orden judicial [comisión rogatoria] pedía explícitamente a Google, entre otras cosas, las ‘copias de seguridad de los chats y/o archivos multimedia disponibles y asociados al [número de teléfono/cuenta de Google]’.» (Fuentes: Europa Press / Cadena Ser, el Debate, confirmando la naturaleza de la petición y la posterior investigación de la UCO).
Un análisis publicado por El Androide Libre detalló que, en casos como este, Google puede entregar información asociada a la cuenta, incluyendo copias de seguridad no cifradas, configuraciones y registros; mientras WhatsApp únicamente puede aportar metadatos, listas de contactos, datos de registro y detalles de cuenta, pero no contenido cifrado. Ese reparto de competencias explica por qué la UCO centró gran parte de sus esfuerzos en la copia alojada en Google Drive. (Fuente: El Español / El Androide Libre, 2025).
La justicia, basándose en la arquitectura conocida de WhatsApp y Google Drive, tenía identificada la ruta de la evidencia: si el investigado usaba un terminal Android y tenía activada la copia de seguridad en la nube —como ocurre en la configuración típica de muchos usuarios—, esa copia se almacenaba en su cuenta de Google Drive asociada. La única pregunta clave no era si existía el rastro, sino si la configuración por defecto del servicio lo dejaba expuesto a ser desenterrado por una orden judicial. El informe de la UCO, aunque finalmente no encontró información «de interés» en los datos recuperados [Europa Press], sí corrobora la existencia de la petición y la lógica tras la búsqueda de esa copia de seguridad.
Cuando la «Privacidad por Defecto» falla
Aquí es donde el caso del Fiscal General del Estado se convierte en una crítica fundamental a la industria tecnológica. Si WhatsApp se erige como el adalid de la privacidad con su Cifrado de Extremo a Extremo (E2EE), su alianza con la nube representa un abandono flagrante del principio de Privacidad por Defecto (o Privacy by Default).
La paradoja del cifrado: una promesa a medias
El Cifrado de Extremo a Extremo (E2EE) es un logro técnico, y significa que la comunicación es segura. El mensaje es ilegible en tránsito. Sin embargo, en el momento en que se activa la copia de seguridad, los datos deben salir del entorno de WhatsApp y almacenarse en un entorno de terceros (Google Drive o iCloud).
La implementación de WhatsApp, hasta hace relativamente poco, cometía el siguiente error de diseño, que es una violación de la ética de la privacidad:
- Prioridad a la comodidad: WhatsApp priorizó la usabilidad: la capacidad del usuario de cambiar de móvil fácilmente y recuperar sus chats automáticamente.
- Abandono del estándar: Para lograr esa comodidad, la aplicación almacena esa copia de seguridad como un archivo que, por defecto, no está protegido con la clave E2EE de WhatsApp, sino bajo la protección estándar del proveedor de la nube.
Este es el punto central: si una aplicación presume de ser la más segura, su configuración por defecto debería ser la más segura posible, incluso si eso implica un sacrificio de la comodidad.
El argumento de la Privacidad por Defecto
El concepto de Privacidad por Defecto, crucial en normativas como el GDPR, establece que la configuración predeterminada de cualquier sistema debe ser aquella que ofrece el máximo nivel de privacidad.
- Lo que debería ser: Si el chat está cifrado E2EE en el teléfono, la copia de seguridad por defecto también debería estarlo, requiriendo una contraseña personal y advirtiendo al usuario del riesgo de pérdida total si la olvida.
- Lo que era: La copia de seguridad se activaba de forma sencilla, prometiendo un «paraguas de seguridad» que, en realidad, era un archivo completamente descifrable mediante orden judicial dirigida a Google.
«El archivo de backup se almacena cifrado, sí, pero con las claves que Google gestiona y controla… Si una orden judicial válida es emitida, Google está obligada a entregar la información. La compañía no tiene que romper ningún cifrado complejo.» (Análisis técnico propio, fundamentado en la arquitectura conocida de Google Drive y las leyes de asistencia legal).
La copia de seguridad de WhatsApp no cifrada es la prueba de que, durante años, Meta ofreció un servicio de seguridad E2EE que era inherentemente vulnerable al proceso legal, delegando la responsabilidad y la clave de acceso a un tercero. La justicia solo tuvo que seguir el rastro que la propia aplicación, por diseño, había dejado accesible.
Este comportamiento no es nuevo. Xataka ya señalaba en 2021 que, hasta la introducción del cifrado opcional para copias de seguridad, las copias en Google Drive dependían exclusivamente de la seguridad de la cuenta de Google, y no del cifrado de extremo a extremo de WhatsApp. Esa característica —opcional y desconocida para la mayoría de usuarios— se convierte aquí en la pieza central del caso. (Fuente: Xataka, 2021).
La duda que permanece
La justicia había trazado la ruta perfecta: explotar el punto débil de la copia de seguridad. Sin embargo, el desenlace del intento de recuperación de datos mantiene viva la intriga y nos lleva a una pregunta inquietante: ¿estaba el investigado tan bien asesorado en ciberseguridad como en derecho?
Borrar la cuenta maestra
Este es el clímax que mantiene la intriga. La justicia tenía la orden, el punto débil de la copia de seguridad no cifrada estaba identificado, pero la información podría no haber sido recuperada debido a un movimiento posterior del investigado.
En paralelo a la investigación y antes de que se materializara la comisión rogatoria, el Fiscal General del Estado eliminó su cuenta de Google (Gmail). Cuando la UCO y el Supremo intentan acudir a esa copia de seguridad, se encuentran con que la cuenta asociada había sido eliminada “deliberadamente”, según su propio informe.
Este es un acto de una sofisticación digital superior al simple reseteo de un teléfono. Eliminar una cuenta de Google inicia un proceso de purga de datos que, dependiendo del ciclo de backup y la latencia del sistema, puede hacer que la recuperación sea imposible, incluso para Google, ya que los datos de la copia de seguridad se purgan junto con la cuenta contenedora.
«La recuperación de datos de interés en copias de seguridad almacenadas en Google Drive no ha sido posible debido a la eliminación deliberada de la cuenta asociada a este servicio», señala la UCO en su informe remitido al Tribunal Supremo. Fuentes: The Objective / 20 minutos / Onda Cero / RTVE / La Razón, aludiendo al informe de la UCO sobre el borrado intencionado).
Las fuentes judiciales indican que la recuperación de contenido relevante fue complicada o nula. Esto no fue por la fortaleza del cifrado de WhatsApp, sino porque el investigado neutralizó el punto débil (la copia de seguridad en Drive) con una contramedida extrema: eliminar el contenedor de esa copia de seguridad.
La pregunta central
Aquí es donde la historia se vuelve un estudio de caso fascinante. ¿Fue la eliminación de la cuenta de Google un acto azaroso, o fue una maniobra deliberada y extremadamente bien informada para cerrar el único agujero de seguridad que la justicia había detectado?
Sea cual sea la respuesta, el caso del Fiscal General del Estado nos enseña que el intento de ocultación de información pivotó completamente alrededor de la vulnerabilidad de la copia de seguridad de WhatsApp no cifrada y la conciencia digital es la única barrera real.
El futuro de la Privacidad: cómo proteger tu backup
El desenlace de este caso debe servir como una lección técnica para millones de usuarios. Su privacidad está supeditada no a la robustez de las aplicaciones que utiliza, sino a su configuración personal.
La solución táctica y la responsabilidad del usuario
Afortunadamente, WhatsApp ya ha reaccionado a esta crítica global sobre la Privacidad por Defecto, aunque su solución requiere la acción activa del usuario.
- La característica: El lanzamiento del Cifrado de Copia de Seguridad de Extremo a Extremo de WhatsApp (Backup E2EE).
- El mecanismo: Ahora, los usuarios deben activarlo manualmente (creando una contraseña) para que el archivo de backup en Drive o iCloud sea ilegible. El archivo se cifra con su clave antes de salir de su dispositivo. Incluso si Google recibiera una orden judicial, el archivo que entregaría sería ilegible, irrecuperable e inaccesible para la compañía y para cualquier autoridad, a menos que se les proporcione la contraseña.
- El cambio de paradigma: Con el Backup E2EE activado, la responsabilidad y el control total de la clave de cifrado vuelven al usuario, cumpliendo de facto con el principio de E2EE de principio a fin.
Checklist: Asegurando tu rastro digital
Para evitar que su rastro digital sea tan vulnerable como el que la justicia buscaba en el caso del Fiscal General del Estado, debe tomar acción inmediata.
- Activación manual: La función Backup E2EE no está activada por defecto. Debe ir a Ajustes > Chats > Copia de seguridad > Copia de seguridad cifrada de extremo a extremo y activarla, creando una contraseña robusta.
- La jerarquía de la seguridad: Entienda que la privacidad es una cadena. El cifrado de su mensaje durante el envío E2EE es el primer eslabón. La seguridad de su backup es el último y más débil. Solo la activación del Backup E2EE lo iguala en fortaleza.
- Consciencia digital: Nunca confíe en el «borrado» como medida de seguridad. La persistencia de los datos en la nube es la norma.
La crítica a la Privacidad por Defecto
El caso del Fiscal General del Estado, más allá de sus implicaciones políticas y judiciales, nos ha ofrecido una masterclass involuntaria sobre ciberseguridad. Ha expuesto una verdad incómoda: la promesa del cifrado de extremo a extremo de WhatsApp se anula en el momento en que la aplicación priorizó la comodidad sobre la seguridad total, fallando estrepitosamente en el principio de Privacidad por Defecto.
La justicia tenía la certeza técnica, basada en la configuración por defecto, de que el rastro digital existía. Este rastro era el resultado de una decisión empresarial de diseño que, durante años, ha dejado a millones de usuarios expuestos a órdenes judiciales y a intrusiones de terceros.
La neutralización de esa vulnerabilidad por parte del investigado (mediante el borrado de la cuenta de Google) demuestra que la única defensa contra la falta de Privacidad por Defecto es la conciencia digital extrema.
Como resumió Xataka en un artículo muy comentado tras estallar el caso, «la privacidad de WhatsApp parecía a prueba de bombas… hasta que la copia de seguridad en la nube se convirtió en el punto débil». Una descripción que encaja perfectamente con la situación del fiscal general: todo el sistema era robusto, excepto el único elemento que él podía neutralizar con una contramedida extrema. (Fuente: Xataka, 2025)
La tecnología no falla; falla la configuración por defecto, y falla la pereza del usuario al no cambiarla. Este caso nos enseña que, cuando se trata de su privacidad, debe ser más diligente que la justicia. Si un alto cargo estatal no pudo confiar en el borrado simple, ¿puede hacerlo usted?
¿Ya ha revisado la configuración de su copia de seguridad de WhatsApp, o su rastro digital también espera sin protección en la nube?
