Si usas los mensajes directos de Instagram para hablar con amigos, familia, clientes o seguidores, conviene que lo sepas: ya no cuentan con la misma protección de antes. Desde el 8 de mayo de 2026, Meta ha retirado el cifrado de extremo a extremo en los DMs de la plataforma, lo que coloca estas conversaciones en un nivel de privacidad claramente inferior.
El cambio se ha aplicado de forma silenciosa, casi de puntillas, a través de una actualización de los términos de uso y del Centro de ayuda de la app. En la práctica abre la puerta a que Meta pueda leer, analizar y tratar el contenido de lo que escribes, envías y recibes en Instagram Direct, algo que hasta ahora resultaba técnicamente imposible cuando el cifrado estaba activado.
Qué ha hecho exactamente Meta con los mensajes de Instagram
Desde 2023, Instagram ofrecía como opción el cifrado de extremo a extremo (E2EE) en sus mensajes directos y llamadas. No venía activado por defecto y había que ir a la configuración de cada chat para encenderlo manualmente. Quien lo hacía conseguía que el contenido se cifrase en el dispositivo del emisor y solo se descifrara en el del receptor.
Ese sistema impedía que incluso la propia Meta pudiera ver el contenido de los mensajes, algo similar a lo que ocurre en WhatsApp, Signal o en los “chats secretos” de Telegram. Ni la empresa, ni un posible atacante intermediario, ni siquiera un requerimiento legal podían acceder al texto, fotos, vídeos o notas de voz sin tener físicamente los dispositivos implicados.
Todo eso ha dejado de estar disponible en Instagram. Meta ha confirmado en su documentación oficial que la mensajería cifrada de extremo a extremo en Instagram “deja de ser compatible” a partir del 8 de mayo de 2026. Los usuarios que tenían DMs cifrados han visto avisos en la app para descargar una copia de sus conversaciones, ya que esos chats dejarán de mostrarse dentro de la plataforma al perderse las claves.
Desde ese momento, los mensajes viajan con un cifrado estándar en tránsito, pero Meta vuelve a tener la capacidad técnica de acceder al contenido en sus servidores. La diferencia es sustancial: deja de ser una cuestión puramente técnica (no se puede) para convertirse en una cuestión de políticas internas (no se hará… en teoría).
La versión oficial: “muy poca gente lo usaba”
La explicación que Meta ha trasladado a medios como The Guardian o The Verge es directa: “muy pocas personas estaban optando por el cifrado de extremo a extremo en los mensajes directos”. La compañía sostiene que mantener dos sistemas de mensajería distintos (uno cifrado E2EE opcional y otro estándar) generaba complejidad técnica, y que el bajo uso no compensaba ese esfuerzo.
En sus comunicaciones, Meta insiste en que quien quiera seguir usando mensajes con E2EE puede hacerlo en WhatsApp, donde el cifrado sigue activado por defecto para todos los chats, llamadas y videollamadas. La empresa recuerda que WhatsApp y Facebook Messenger sí mantienen este tipo de protección como pieza central de su servicio.
Sin embargo, la justificación del “bajo uso” no convence a muchos expertos en privacidad. El cifrado de extremo a extremo en Instagram nunca se ofreció como ajuste predeterminado ni se promocionó de forma clara. Estaba enterrado en menús, con un proceso de activación que, en la práctica, hacía que la mayoría de usuarios ni supieran que existía.
Diversos analistas apuntan a que, aun así, el porcentaje de uso rondaría el 2 % de la base de usuarios. En una red social con unos 2.500 millones de cuentas activas, eso significa unos 50 millones de personas utilizando DMs cifrados. Una cifra nada despreciable para una función que Meta apenas visibilizó.
Qué implica para ti que Instagram pueda leer tus mensajes
La consecuencia más clara es que Meta vuelve a tener “vía libre” para acceder al contenido de tus conversaciones en Instagram Direct. No significa que haya personas leyendo tus chats uno por uno, pero sí que los sistemas automatizados de la compañía pueden analizarlos para distintos fines: moderación de contenidos, detección de actividades ilícitas, personalización de publicidad o entrenamiento de modelos de inteligencia artificial.
Juristas especializados en protección de datos señalan que, al retirar el E2EE, la empresa se apoya con más fuerza en figuras como el “interés legítimo” dentro de su política de privacidad para procesar estas comunicaciones. Este concepto legal permite a una compañía tratar datos sin un consentimiento explícito siempre que entienda que el impacto para el usuario es limitado y que el tratamiento es necesario para su actividad.
Los mensajes directos pueden contener de todo: información sobre salud, finanzas, preferencias políticas, vida sentimental o sexual, datos de trabajo, opiniones delicadas o conversaciones familiares. Con la nueva situación, ese tipo de contenido puede ser objeto de análisis algorítmico, inferencias de perfilado y cruce con otros datos ya recopilados por el ecosistema de Meta.
Abogadas especializadas recuerdan además que la propia política de privacidad del grupo es extensa y compleja, de más de cien páginas, y que no siempre deja cristalino qué usos concretos se harán de la información procedente de los DMs. Aunque Meta ha asegurado en entradas de blog que no utilizará los mensajes privados para entrenar directamente a su IA, esa promesa no aparece con la misma claridad en los textos legales vinculantes.
Otro efecto relevante es que Meta podrá entregar el contenido de los mensajes a las autoridades si recibe una orden judicial o una solicitud legal válida. Con el cifrado de extremo a extremo activo, la compañía sencillamente no tenía acceso al contenido y no podía remitirlo ni aunque quisiera. Ahora esa barrera técnica desaparece.
Presión legal, abuso infantil y el papel de la inteligencia artificial
Más allá de lo que diga el argumentario oficial de Meta, la retirada del cifrado en Instagram llega en un contexto político y regulatorio muy concreto. La fecha elegida, 8 de mayo de 2026, no es casual: once días después entra en vigor en Estados Unidos la llamada Take It Down Act, la primera ley que persigue de forma específica la difusión no consentida de imágenes íntimas, incluidas las generadas con inteligencia artificial.
Esta norma obliga a plataformas como Instagram a retirar contenidos íntimos no autorizados en un plazo máximo de 48 horas. Para poder cumplir ese tipo de obligaciones, las empresas necesitan ser capaces de revisar lo que circula por sus sistemas, también en espacios que hasta ahora se consideraban privados, como los DMs.
Organizaciones como la Electronic Frontier Foundation ya avisaron durante la tramitación de que este tipo de leyes pueden incentivar a las plataformas a renunciar al cifrado para poder monitorizar conversaciones y detectar materiales ilegales. Algo similar se debate en la Unión Europea con propuestas normativas centradas en combatir la pornografía infantil, que algunos expertos ven como una amenaza potencial al E2EE.
Por otro lado, una parte del apoyo a la medida viene de grupos de protección infantil que llevaban años señalando que el cifrado crea “puntos ciegos” donde acosadores o abusadores sexuales pueden contactar con menores sin supervisión. Organizaciones como la británica NSPCC han aplaudido la decisión de Meta, argumentando que facilitará la detección y persecución de estos delitos.
El equilibrio no es sencillo: defensores de la privacidad temen que desactivar el E2EE exponga a los propios menores a otro tipo de riesgos, al dejar más datos personales en manos de empresas y posibles atacantes. Y recuerdan que la vigilancia masiva rara vez es la solución óptima a problemas tan graves.
En paralelo, el movimiento coincide con el enorme impulso de sistemas de inteligencia artificial capaces de analizar grandes volúmenes de datos. Sin cifrado extremo a extremo, los mensajes privados se convierten en una fuente muy jugosa para refinar modelos de recomendación, mejorar la segmentación publicitaria o entrenar nuevos algoritmos conversacionales que se beneficien del lenguaje cotidiano con el que hablamos en los chats.
Del “el futuro es privado” al paso atrás en Instagram
La decisión actual contrasta con el discurso que la propia Meta había mantenido en los últimos años. En torno a 2019, tras escándalos como el de Cambridge Analytica, Mark Zuckerberg llegó a afirmar que “el futuro de la comunicación será cada vez más privado y cifrado”, y la empresa anunció su intención de extender el E2EE a todos sus servicios de mensajería.
Facebook Messenger terminó incorporando esa opción en 2023, primero como función opcional y posteriormente como ajuste más generalizado. En Instagram, sin embargo, el despliegue fue tímido, tardío y nunca completo: solo como opción manual, oculta en la configuración de chats concretos y sin promoción destacada dentro de la aplicación.
Dentro de la propia compañía hubo tensiones internas. Algunos directivos consideraron que generalizar el cifrado era “irresponsable” porque podría proteger, junto a conversaciones legítimas, actividades de acosadores, redes criminales o incluso grupos terroristas. Estas discrepancias retrasaron la implementación, que en Instagram llegó más tarde y nunca se convirtió en estándar.
Organizaciones como la Global Encryption Coalition, de la que forman parte entidades como la Fundación Mozilla o la Internet Society, ven en la decisión de Meta un “precedente peligroso”. Señalan que se trata del primer gran retroceso de una plataforma masiva que desactiva una capa de protección ya disponible, y temen que otras compañías sigan el mismo camino presionadas por gobiernos o tentadas por el acceso a más datos.
Expertos en comunicaciones cifradas como Matthew Hodgson, responsable de la plataforma Element, han llegado a calificar esta medida como “una rendición ante la vigilancia”. Según su análisis, Meta estaría priorizando el valor económico de los datos que puede extraer de mensajes, notas de voz e interacciones privadas por encima del derecho fundamental a mantener conversaciones realmente confidenciales.
Cómo afecta a usuarios en España y Europa
Para quienes usan Instagram en España o en otros países de la Unión Europea, el cambio se produce bajo el paraguas del Reglamento General de Protección de Datos (RGPD), que impone obligaciones estrictas sobre cómo pueden tratarse los datos personales. Meta debe justificar legalmente cada uso de la información que obtiene, incluidos los contenidos de los mensajes directos.
En la práctica, sin embargo, la capacidad de supervisión por parte del usuario es limitada. Las políticas de privacidad son extensas, técnicas y, como remarcan algunas juristas, complicadas incluso para profesionales especializados. Muchas de las cláusulas clave se amparan precisamente en conceptos amplios como el interés legítimo, lo que deja un margen considerable a la interpretación de la propia empresa.
La Agencia Española de Protección de Datos y otras autoridades europeas han mostrado históricamente una posición crítica con prácticas de perfilado intensivo y uso masivo de datos para fines publicitarios o de IA. No sería extraño que el fin del E2EE en Instagram acabe bajo la lupa regulatoria, sobre todo si se detecta que los contenidos de los DMs se utilizan de forma poco transparente.
Para el usuario de a pie, más allá de las posibles sanciones futuras, el efecto inmediato es claro: los mensajes de Instagram dejan de ser un canal recomendable para comunicaciones sensibles. No es tanto una cuestión de “tener algo que ocultar” como de asumir que lo que escribes podría formar parte de enormes bases de datos analizadas por algoritmos, o acabar en manos de terceros en caso de brecha de seguridad.
En el día a día, eso implica plantearse si tiene sentido seguir usando los DMs para compartir documentos de trabajo, información médica, datos bancarios o conversaciones muy personales. Para este tipo de contenidos, quizá compense buscar alternativas donde la confidencialidad no dependa de un cambio de criterio corporativo.
Qué alternativas tienes si te preocupa la privacidad de tus chats
La buena noticia es que, aunque Instagram haya dado un paso atrás, el mercado de mensajería cifrada está bastante maduro. En España y Europa es relativamente sencillo encontrar plataformas donde el E2EE es la norma y no la excepción, y donde la privacidad no se presenta como una función escondida.
WhatsApp es la alternativa más evidente y extendida. Pese a pertenecer al mismo grupo, mantiene el cifrado de extremo a extremo activado por defecto desde 2016 para todos los chats, incluidas llamadas y videollamadas. Eso sí, implica compartir número de teléfono, algo que muchos creadores, profesionales y usuarios prefieren evitar.
Para quien quiera salir del ecosistema Meta, Signal se ha consolidado como la opción más sólida desde el punto de vista de la privacidad. Es gratuita, sin publicidad, con código abierto en su protocolo de cifrado y gestionada por una organización sin ánimo de lucro. No vive de los datos de los usuarios, lo que reduce los incentivos a explotar la información.
En el caso de Telegram, la situación es algo más compleja. Los chats normales se almacenan cifrados en sus servidores, pero no utilizan E2EE por defecto. Para conseguir un nivel de protección similar al que tenía Instagram con cifrado activado hay que iniciar un “chat secreto” con cada contacto, algo que muchos usuarios desconocen o simplemente no usan.
Otras plataformas, como iMessage en el ecosistema Apple, ofrecen cifrado de extremo a extremo de serie entre dispositivos de la marca y pueden ganar atractivo en este escenario. No son soluciones universales, pero demuestran que hay maneras de ofrecer comunicaciones realmente privadas sin obligar al usuario a rebuscar en la configuración.
En paralelo, algunas redes como X (antes Twitter) exploran DMs cifrados por defecto entre usuarios, aunque de momento se trata de funciones en desarrollo y con limitaciones. Es un terreno en evolución, y no todo lo que se presenta como “privado” tiene el mismo nivel de garantías técnicas y legales.
Al final, la clave está en valorar qué tipo de conversaciones mantienes en cada sitio. Instagram puede seguir sirviendo para charlas ligeras, coordinar contenidos o responder a historias, pero quizá no sea el lugar ideal para tratar asuntos delicados. Para eso, conviene apoyar la comunicación en servicios donde el cifrado no sea algo que pueda desaparecer con una simple actualización de términos.
Lo que está ocurriendo con los DMs de Instagram marca un punto de inflexión en la forma de entender la privacidad en redes sociales: una función pensada para blindar conversaciones se ha retirado sin apenas debate, dejando claro que lo que hoy es una capa extra de protección mañana puede convertirse en un obstáculo para los intereses de la propia plataforma. En un entorno donde leyes, presión política y ambiciones de la IA tiran en direcciones distintas, toca a cada usuario decidir qué grado de exposición está dispuesto a asumir y qué herramientas quiere utilizar para aquello que realmente necesita seguir siendo privado.
