Si usas WhatsApp a diario, tu privacidad no solo depende de lo que escribes o de a quién se lo mandas. El verdadero campo de batalla está en los metadatos, esa información invisible que rodea a cada mensaje, llamada o foto que compartes. Aunque la app presume de cifrado de extremo a extremo, hay mucha letra pequeña que conviene entender si no quieres ir a ciegas.
A todo esto se suma la llegada de la inteligencia artificial integrada en la plataforma y funciones como la privacidad avanzada del chat, el envío de fotos en HD o como documento, que añaden nuevas capas de complejidad. Vamos a desgranar, con calma, qué sabe WhatsApp sobre ti a nivel de metadatos, qué hace realmente con esa información, qué riesgos hay en el contexto de la IA y la geopolítica y cómo puedes reducir, en lo posible, tu rastro digital.
¿Qué hace realmente la “Privacidad avanzada del chat” con la IA?
En las últimas semanas se ha viralizado un mensaje que asegura que, si no activas la opción Privacidad avanzada del chat, cualquier inteligencia artificial podría entrar en tus grupos y leerlo todo, ver números de teléfono y hasta cotillear tu información personal. Es falso, pero, como pasa muchas veces, parte de un malentendido sobre una función real.
La realidad es que la IA no puede colarse libremente en tus conversaciones de WhatsApp ni “hackear” tu móvil por arte de magia. No existe un acceso masivo y automático de cualquier IA a tus chats. Lo que sí ocurre es que hay dos maneras concretas en las que una inteligencia artificial puede llegar a ver lo que dices en un chat: porque tú se lo reenvíes o porque la invoques dentro de la propia conversación.
Ahí es donde entra en juego esta nueva opción. La llamada Privacidad avanzada del chat limita la forma en la que se pueden compartir mensajes y fotos desde un chat o grupo, y también la posibilidad de usar algunas funciones de IA dentro de esa conversación, especialmente las de Meta AI. No bloquea a toda la inteligencia artificial del mundo, pero sí frena ciertos usos que podrían exponer más tus mensajes.
Cómo funciona la privacidad avanzada del chat en WhatsApp
Cuando abres un chat o un grupo y pulsas en su nombre, accedes a los ajustes específicos de esa conversación. Dentro de ellos verás la opción Privacidad avanzada del chat, pensada para dar un poco más de control sobre lo que se puede hacer con el contenido que se comparte ahí. Su función principal es impedir que ese contenido salga del chat con facilidad.
Concretamente, al activar esta opción se aplican tres efectos muy claros sobre ese chat o grupo: se desactiva la posibilidad de reenviar mensajes y fotos, se evita el guardado automático de multimedia en la galería de los participantes y se limita que esos mensajes puedan usarse en integraciones de IA, por ejemplo al mencionar a Meta AI.
En un chat normal, cualquier participante puede pulsar sobre un mensaje y reenviarlo a otro contacto o grupo. Con la privacidad avanzada habilitada, esa opción de “compartir” desaparece y ya no es tan sencillo sacar mensajes de contexto o difundir capturas, fotos o notas de voz fuera del círculo del chat. No es infalible (siempre se puede hacer una captura de pantalla), pero pone una barrera más.
También afecta a la típica función que guarda automáticamente en tu móvil todas las fotos y vídeos que recibes. Muchos usuarios ni siquiera recuerdan haber activado eso. Con la privacidad avanzada, las imágenes y vídeos de ese chat dejan de guardarse por defecto, lo que reduce el rastro que dejas en tu almacenamiento local y los riesgos si pierdes el teléfono.
Por último, la propia descripción de WhatsApp aclara que, con esta opción activada, los mensajes de ese chat no pueden usarse en ciertas funcionalidades de IA. Y aquí es donde se mezcla la función con el miedo general a la inteligencia artificial, aunque la protección es bastante más limitada de lo que los mensajes virales dan a entender.
Cómo afecta esta función a la IA dentro y fuera de WhatsApp
En la práctica, hay dos escenarios en los que una IA puede ver tus mensajes de WhatsApp. El primero es el más obvio: cuando tú mismo compartes un mensaje con una IA, ya sea reenviando un texto de un chat a un bot de ChatGPT en WhatsApp, a un asistente de terceros, o copiando y pegando contenidos para pedir explicaciones o resúmenes.
Si esa conversación tiene activada la privacidad avanzada, no vas a poder reenviar directamente los mensajes al bot de IA, igual que no podrás pasarlos a otro contacto humano. A efectos prácticos, es una forma de ponértelo más difícil para sacar información de ese chat y dársela a una inteligencia artificial, aunque siempre te quedará la opción de copiar y pegar manualmente.
El segundo escenario tiene que ver con Meta AI, la inteligencia artificial propia de la empresa matriz de WhatsApp. En algunos países ya se puede escribir @Meta AI dentro de un grupo para hacerle preguntas, pedirle que genere imágenes o resumir parte de la conversación. En cuanto la mencionas, esa IA obtiene acceso al contenido necesario del chat para responder.
Si activas la privacidad avanzada en ese grupo, se bloquea el uso de Meta AI en la conversación. Eso implica que no podrás invocarla ni ella podrá leer lo que se dice ahí. Pero conviene matizar algo importante: esto no impide que Meta, como empresa, pueda usar otros datos agregados o anónimos para entrenar sus modelos, ni afecta a los metadatos que la plataforma ya recoge por diseño.
Además, es clave desterrar una idea: una IA no puede meterse sola en tu WhatsApp y escanear tu móvil para robar datos personales o leer todos tus chats privados. Esa amenaza, tal como se presenta en muchos mensajes virales, simplemente no se corresponde con el funcionamiento real de la app ni con los límites técnicos actuales.
Ciberamenazas en WhatsApp más allá de la IA
Que los bulos sobre la IA sean exagerados no significa que WhatsApp esté libre de riesgos. La aplicación es un imán para ciberdelincuentes por el volumen brutal de usuarios que concentra, y los ataques se apoyan tanto en fallos técnicos como en engañar al usuario de toda la vida.
Entre las técnicas más habituales está el phishing adaptado a mensajería: mensajes que se hacen pasar por bancos, empresas de paquetería o incluso familiares, en los que se te pide un código, que pulses en un enlace o que hagas una transferencia urgente. Muchas veces se basan en haber robado antes la cuenta de un contacto, para que te fíes.
Otro frente muy común es el robo de cuenta: el atacante intenta que le facilites el código SMS de verificación que llega cuando alguien registra tu número en otro dispositivo. Si cae en sus manos, puede tomar el control de tu perfil, escribir a tus contactos como si fueras tú y encadenar fraudes. Aquí la verificación en dos pasos marca mucha diferencia.
Tampoco faltan los casos de spyware y otros tipos de software malicioso distribuidos mediante archivos adjuntos o enlaces trampa. El famoso caso Pegasus usó una vulnerabilidad en las llamadas de WhatsApp para instalar un programa espía sin que el usuario ni siquiera descolgara. El fallo se parchó, sí, pero puso de relieve que ninguna app masiva es infalible.
Además, circulan por tiendas de apps y webs de dudosa reputación aplicaciones “para espiar WhatsApp”, “ver quién se conecta” o “limpiar tus chats” que en realidad solo buscan recolectar tus datos, mostrarte publicidad agresiva o, en el peor de los casos, infectar tu dispositivo. Instalar herramientas no oficiales para WhatsApp suele salir caro en términos de seguridad.
Capas de seguridad y privacidad que ya ofrece WhatsApp
A pesar de todo lo anterior, WhatsApp incluye varias capas técnicas orientadas a proteger al usuario. La más conocida es el cifrado de extremo a extremo basado en el protocolo Signal, que blinda el contenido de mensajes, llamadas y videollamadas entre emisor y receptor.
Este cifrado funciona generando claves únicas para cada conversación y cada dispositivo, de forma que nadie ajeno debería poder leer el contenido cifrado, ni siquiera la propia WhatsApp, si todo se implementa correctamente. Pero ojo: esto protege el texto, las notas de voz o las fotos en tránsito, no todo lo que se genera alrededor.
Otra herramienta clave es la . Consiste en añadir un PIN de seis dígitos que se pide cuando alguien intenta registrar tu número en otro teléfono. Aunque el atacante consiga el código de SMS, sin ese PIN extra lo tendrá mucho más difícil para robarte la cuenta. También puedes vincular un correo para recuperar el acceso si olvidas el PIN.
Desde el panel de privacidad, la app permite definir quién ve tu foto de perfil, última hora de conexión, estado, confirmación de lectura o quién puede añadirte a grupos. Configurar bien estos permisos reduce mucho la exposición innecesaria
Finalmente, la plataforma limita el reenvío masivo de mensajes y marca enlaces potencialmente sospechosos. Esto nació para frenar la propagación de bulos y estafas a gran escala, aunque no sustituye el sentido común ni una actitud crítica ante lo que recibes.
WhatsApp, Signal y el gran agujero: los metadatos
El gran matiz que a menudo se olvida es que el cifrado protege el contenido, pero no todo lo demás. WhatsApp sigue acumulando metadatos de cada interacción que haces en la app, datos que no están cifrados de la misma manera y que tienen un valor enorme para publicidad, investigación policial y, por supuesto, para quienes quieran atacarte.
Entre los metadatos típicos que maneja una plataforma de mensajería se incluyen el número de origen y destino, la hora exacta de envío y recepción, la frecuencia de contacto, la duración de las llamadas, el tipo de archivo que compartes, la dirección IP desde la que te conectas, el país y ciudad aproximados, el modelo de tu móvil, la versión de sistema operativo, el idioma y la zona horaria.
Analizados aisladamente parecen detalles menores, pero cuando se cruzan entre sí se convierten en un retrato muy nítido de tu vida digital. Se pueden inferir tus relaciones más cercanas, tus hábitos de sueño y trabajo, tus desplazamientos, si formas parte de ciertos grupos o colectivos, si estás pasando por una etapa complicada, si cambias de país o de ciudad, etc.
El cuadro se complica aún más si recordamos que WhatsApp pertenece a Meta, la empresa de Facebook e Instagram. Al correlacionar los metadatos de WhatsApp con la actividad pública y privada en redes sociales, es posible construir perfiles extremadamente detallados, valiosísimos para la publicidad segmentada, pero también inquietantes desde la óptica de la vigilancia masiva o la manipulación política.
Expertos en ciberseguridad recuerdan que ya no hace falta leer el contenido de tus mensajes para saber mucho sobre ti. Basta con observar patrones de conexión, redes de contactos y contexto geográfico. Es la materia prima del llamado “capitalismo de vigilancia”, concepto popularizado por la investigadora Shoshana Zuboff para describir un modelo económico basado en extraer y monetizar datos personales a gran escala.
Renegociación de claves y vulnerabilidades: el lado menos visible
Otro punto delicado de la arquitectura de WhatsApp es la renegociación automática de claves de cifrado cuando cambias de móvil, reinstalas la app o un dispositivo lleva tiempo desconectado. Desde el punto de vista del usuario es comodísimo: recuperas tus chats y sigues como si nada.
Sin embargo, desde la óptica de la seguridad pura y dura, cualquier proceso automático de gestión de claves abre un espacio teórico de ataque. Si alguien pudiera interceptar o manipular ese intercambio de claves, podría intentar acceder a mensajes que, en teoría, deberían seguir protegidos. No es sencillo ni está al alcance de cualquiera, pero es un vector que los investigadores señalan una y otra vez.
Al margen del diseño criptográfico, WhatsApp, como cualquier software masivo, no está libre de bugs serios. El caso de la vulnerabilidad que permitía instalar spyware con solo realizar una llamada —aunque el usuario no contestara— es un recordatorio claro: basta un fallo crítico para que millones de dispositivos se conviertan en objetivos potenciales.
Cuando hablamos de una app con más de 2.000 millones de usuarios, la superficie de ataque se vuelve gigantesca. Un exploit aprovechado por un grupo organizado o por servicios de inteligencia puede traducirse en campañas de espionaje de alcance global, con capacidad de filtrar tanto contenido como, por supuesto, toneladas de metadatos.
Metadatos: qué son exactamente y por qué importan tanto
En términos sencillos, los metadatos son “datos sobre los datos”. No describen lo que dices en un mensaje, sino todo lo que rodea a esa comunicación: quién la emite, quién la recibe, cuándo, desde dónde, con qué dispositivo, cuánto dura o qué tamaño tiene el archivo que envías.
Aplicado a WhatsApp, esto abarca cosas como el remitente y receptor (números y grupos), la fecha y hora precisas, la frecuencia y volumen de mensajes, la duración de cada llamada de voz o vídeo, la red desde la que te conectas y detalles técnicos de tu móvil, como el modelo o la versión de la app.
Mirado de cerca, este conjunto de datos permite a proveedores, fuerzas de seguridad o atacantes muy sofisticados mapear redes de contactos, detectar quién es un nodo central dentro de un grupo, inferir si se trata de una relación profesional, personal o política, e incluso deducir rutinas diarias, vacaciones u horarios en los que estás menos pendiente del teléfono.
Para la policía o los servicios de inteligencia, el análisis de metadatos es una herramienta potentísima de investigación y vigilancia. Sin descifrar mensajes, se puede seguir la pista de grupos organizados, trazar la estructura interna de una organización, localizar posibles líderes o vigilar el estado de ánimo de una población en un conflicto bélico.
Algunos expertos, como el investigador Quelic Berga, plantean escenarios inquietantes: imagina guerras pasadas si hubieran existido estos registros detallados de quién habla con quién, dónde vive cada persona, qué ideología parece tener, qué orientación sexual, qué nivel económico. Toda esa información, hoy, existe, se genera de manera continua y queda en manos de empresas y estados, a menudo con un consentimiento del usuario muy discutible.
Metadatos, guerras, geopolítica y capitalismo de vigilancia
Los metadatos de mensajería no solo importan a nivel individual. Tienen un enorme peso geopolítico en contextos de guerra y conflicto. En escenarios como el de Ucrania, el acceso masivo a datos de conexión, ubicación y redes de contactos puede servir para rastrear desplazamientos de población, identificar objetivos de alto valor o monitorizar deserciones y movimientos internos.
La jurisdicción bajo la que operan las grandes plataformas es otro factor clave. Si una empresa tiene su sede en un determinado país, está sometida a sus leyes y puede verse obligada a entregar datos, incluidos metadatos de mensajería. Esto explica maniobras como el intento de Estados Unidos de forzar la venta de TikTok a una compañía local o la decisión de Telegram de abandonar Rusia cuando se le requirieron datos de usuarios ucranianos.
En la Unión Europea, normativas como el RGPD ofrecen, sobre el papel, más garantías y transparencia en el tratamiento de datos. Aun así, muchos investigadores señalan que las grandes tecnológicas explotan fisuras legales y el consentimiento poco informado de los usuarios para seguir monetizando metadatos.
Todo esto encaja con ese modelo de capitalismo de vigilancia en el que los movimientos, relaciones y hábitos de miles de millones de personas se convierten en materia prima para la segmentación publicitaria y la predicción de comportamientos. La máxima “el dato más seguro es el que no se recoge” resume la postura de quienes creen que acumular información en gigantescos repositorios es, en sí mismo, un riesgo estructural.
El caso especial de las fotos: EXIF, geolocalización y WhatsApp
Si hay un contenido especialmente delicado a nivel de metadatos, son las fotos y vídeos que compartimos. Cada vez que haces una foto con el móvil, el archivo suele incluir información EXIF: marca y modelo del terminal, parámetros de cámara, fecha y hora y, si lo tienes activado, coordenadas de GPS con la ubicación exacta.
Esos datos no se ven a simple vista, pero cualquiera que reciba la imagen puede consultarlos con un visor básico y, por ejemplo, averiguar la localización precisa de tu casa, trabajo o colegio de tus hijos si la foto se tomó ahí con la geolocalización encendida. Basta con copiar las coordenadas en un mapa y listo.
WhatsApp, en este punto, tiene un comportamiento interesante. Cuando envías una foto como imagen normal, la app la comprime y, de paso, elimina gran parte de los metadatos EXIF. El archivo pierde calidad, sí, pero también parte de esa información sensible: en términos de privacidad, es menos peligroso.
El problema surge cuando, para mantener la máxima calidad, el usuario manda la foto como “documento” en lugar de como imagen. En ese caso, WhatsApp no toca el archivo: llega íntegro, con toda su EXIF, incluida, en muchos casos, la geolocalización. Es el truco habitual de fotógrafos y diseñadores, pero puede ser un coladero si se hace con personas en las que no confías plenamente.
Desde el punto de vista forense, esto tiene una cara B positiva: peritos y jueces utilizan estos metadatos para verificar la autenticidad de pruebas, confirmar que se captaron en un lugar y fecha concretos o detectar manipulaciones. Pero, en el día a día, es fácil olvidar que estás regalando mucha más información de la que se ve en pantalla.
WhatsApp HD, trucos de envío y cómo proteger mejor tus imágenes
Para contentar a quienes se quejaban de la pésima calidad de las fotos, WhatsApp introdujo la opción de enviar imágenes en calidad HD. Esta mejora conserva más detalle que el envío estándar, sin llegar al peso de un archivo original, y para la mayoría de usos cotidianos es más que suficiente.
Aun así, hay quien sigue recurriendo al envío como documento para no perder ni un píxel. Desde un punto de vista técnico, funciona, pero a nivel de privacidad conlleva el peaje de arrastrar todos los metadatos EXIF. Si no quieres renunciar a la calidad, conviene que al menos desactives la geolocalización en la cámara.
En Android, suele bastar con ir a los ajustes del sistema, entrar en Aplicaciones, buscar la cámara y desactivar la opción de guardar información de ubicación en las fotos. Cada fabricante lo coloca en un sitio, pero siempre hay un ajuste similar. En iOS, la ruta habitual es Ajustes > Privacidad > Localización > Cámara y elegir si permites o no el acceso al GPS.
Si te viene bien conservar la ubicación por temas de organización de recuerdos o para usar funciones de servicios como Google Fotos o Maps, otra solución más pragmática es evitar enviar como documento fotos hechas en lugares sensibles a personas que no sean de total confianza. En esos casos, mejor usar el envío normal o HD, que ya “limpian” parte del EXIF.
Quien quiera hilar más fino puede eliminar metadatos manualmente desde un ordenador. En Windows, por ejemplo, puedes ir a Propiedades > Detalles de una imagen y usar la opción “Quitar propiedades e información personal”. Herramientas como ExifTool permiten incluso hacer un borrado masivo de EXIF vía línea de comandos.
Buenas prácticas para reducir tu rastro de metadatos en WhatsApp
Aunque no puedas controlar todo lo que WhatsApp y Meta recopilan, sí está en tu mano minimizar bastante la huella que dejas. No se trata de vivir paranoico, sino de incorporar ciertas rutinas sensatas cuando usas la app.
Para empezar, suele ser una buena idea usar una VPN confiable al conectarte desde redes públicas o cuando no quieres exponer tu ubicación aproximada basada en la IP. No es una bala de plata, pero dificulta que terceros tracen tan fácilmente tu origen de conexión.
También conviene moderar el uso de funciones que generan más datos de lo necesario, como la ubicación en tiempo real, el envío continuo de archivos pesados o el reenvío indiscriminado de fotos. Si algo no es imprescindible, mejor no hacerlo por inercia. Cuanta menos información circule, menos hay que proteger.
A nivel de permisos del móvil, dedica unos minutos a revisar qué aplicaciones acceden al GPS, a la cámara, al micrófono y al almacenamiento. reduce muchísimo el goteo constante de datos de posición.
Si llevas temas muy sensibles o quieres elevar aún más el listón, puede tener sentido valorar el uso de apps de mensajería con un enfoque extremo en privacidad, como Signal, que intenta limitar al mínimo los datos de metadatos que almacena. No es una solución mágica, pero sí un paso más en la dirección correcta para ciertos usos.
Por último, las organizaciones —empresas, administraciones, colegios profesionales— deberían ser conscientes de lo que implica usar WhatsApp para comunicaciones formales. En algunos casos, quizá tenga más sentido recurrir a canales corporativos con políticas de registro de datos más restrictivas y una gobernanza clara sobre quién puede acceder a qué.
Entender cómo funcionan los metadatos, cómo encajan las nuevas funciones de privacidad avanzada del chat y qué papel juega la IA en WhatsApp te permite usar la herramienta con cabeza: aprovechar las ventajas del cifrado de extremo a extremo, sin perder de vista que cada mensaje viaja envuelto en información invisible que dice mucho sobre ti y que conviene cuidar tanto como el propio contenido. Comparte esta información para que toros sepan los riegos de WhatsApp y los metadatos.
Continúar leyendo...