- TikTok confirma que no aplicará cifrado de extremo a extremo en los mensajes directos, a diferencia de WhatsApp, Signal o Telegram.
- La empresa alega motivos de seguridad y protección de menores, y defiende que necesita poder revisar DMs en casos excepcionales.
- Los mensajes de TikTok están cifrados en tránsito y en almacenamiento, pero empleados autorizados y autoridades pueden acceder bajo ciertas condiciones.
- La decisión genera dudas de privacidad en España y Europa, pese a medidas como el proyecto Clover y el alojamiento de datos en Irlanda y Noruega.
La red social TikTok ha decidido mantenerse al margen de la tendencia dominante en el sector tecnológico y no incorporar cifrado de extremo a extremo en los mensajes directos (DMs) de su plataforma. La medida afecta a cientos de millones de usuarios en todo el mundo y, en particular, a los más de 23 millones de cuentas activas en España y a los más de 200 millones en Europa, donde el debate sobre privacidad y seguridad digital está especialmente vivo.
Esta postura, explicada en sesiones informativas celebradas en su oficina de Londres y en declaraciones posteriores a medios como BBC y Europa Press, coloca a TikTok en una posición singular frente a competidores como WhatsApp, Signal, Telegram, Messenger o Instagram, que sí han apostado por blindar las conversaciones con cifrado de extremo a extremo. El movimiento abre una brecha clara entre quienes priorizan la confidencialidad máxima de los chats y quienes, como la compañía china, defienden un mayor margen de intervención para moderadores y autoridades.
En el centro de la controversia está el hecho de que los DMs de TikTok no están protegidos por E2EE. Esto significa que, a diferencia de lo que ocurre en servicios de mensajería cifrados de extremo a extremo, la plataforma y ciertos terceros autorizados sí pueden acceder al contenido de las conversaciones privadas bajo determinadas circunstancias.
El cifrado de extremo a extremo se ha convertido en el estándar de referencia para la protección de chats personales: solo el emisor y el receptor disponen de las claves que permiten leer el mensaje. Ni la propia empresa operadora del servicio, ni un intruso que intercepte el tráfico, deberían tener capacidad para descifrar ese contenido. En palabras sencillas, se trata de impedir que nadie ajeno a la conversación pueda espiar lo que se dice, ni siquiera con acceso a los servidores.
En el caso de TikTok, la compañía asegura que los mensajes viajan protegidos mediante un cifrado estándar similar al utilizado por servicios como Gmail, tanto durante el envío como durante su almacenamiento en los servidores. Es decir, los datos no circulan en texto plano, pero la empresa conserva las llaves necesarias para leerlos si se activa uno de sus protocolos internos de acceso.
Esta diferencia técnica es clave: con E2EE, ni la plataforma tiene la clave de descifrado; con el modelo de TikTok, la empresa sí la posee. Por tanto, los DMs pueden ser revisados por personal autorizado o entregados a las fuerzas del orden cuando exista una orden legal u otra base jurídica reconocida.
Por qué TikTok rechaza el cifrado extremo a extremo
Desde la compañía insisten en que no se trata de un descuido ni de un retraso tecnológico, sino de una decisión estratégica deliberada. Portavoces de TikTok explicaron a la BBC y a otros medios que el cifrado de extremo a extremo, lejos de incrementar la seguridad, podría “reducir la seguridad de los usuarios” al dificultar la detección de contenido dañino y la intervención frente a posibles delitos.
Su argumento central es que, si los mensajes estuvieran blindados con E2EE, ni las plataformas ni los cuerpos policiales podrían revisar los DMs ni siquiera en investigaciones sobre acoso, explotación sexual infantil, grooming, distribución de material ilícito o crimen organizado. En ese escenario, los chats se convertirían en auténticas “habitaciones oscuras digitales” en las que es más difícil identificar a agresores y depredadores que operan en línea.
La red social defiende que su enfoque persigue, sobre todo, proteger a los usuarios menores de edad, que representan una proporción muy significativa de su comunidad. En los encuentros con la prensa en Londres, responsables de TikTok remarcaron que su prioridad es poder actuar de forma rápida cuando se detectan comportamientos sospechosos, y que un cifrado absoluto dejaría a estos usuarios “menos seguros” al impedir intervenciones a tiempo.
La compañía asegura además que el acceso a los mensajes no es indiscriminado. Según su versión, solo empleados especialmente formados pueden entrar en los DMs, y siempre bajo condiciones muy concretas: por ejemplo, cuando hay una denuncia de un usuario por hostigamiento, cuando un sistema automatizado detecta indicios de contenido de abuso grave o cuando existe un requerimiento legal válido por parte de las autoridades.
Este enfoque pretende presentarse como un punto medio entre dos extremos: ni dejar los mensajes totalmente expuestos, ni cerrarlos por completo con E2EE. Sin embargo, a ojos de parte de la comunidad de ciberseguridad y de los defensores de la privacidad, el resultado es sencillo de resumir: la plataforma puede leer tus mensajes privados si lo considera necesario, algo que muchas personas dan por superado en 2026.
Choque con el estándar de la industria
Mientras TikTok se mantiene firme en su rechazo al cifrado de extremo a extremo, la mayoría de grandes actores del sector social y de mensajería han avanzado en la dirección contraria. El contraste se aprecia al comparar qué hace cada plataforma con los chats entre usuarios.
En el ecosistema de Meta, WhatsApp lleva años con E2EE activado por defecto en todas las conversaciones, lo que lo convirtió en uno de los referentes de privacidad de la industria. Messenger y los mensajes directos de Instagram han ido adoptando gradualmente el mismo modelo cifrado, de forma que hoy sus comunicaciones personales cuentan, en gran medida, con protección extremo a extremo.
Otras herramientas, como Signal, han construido toda su propuesta alrededor de la privacidad fuerte, aplicando E2EE a llamadas, mensajes y, en general, a todo el tráfico que pasa por la aplicación. Incluso servicios que no cifran todo su contenido, como Telegram, ofrecen al menos la opción de iniciar “chats secretos” con cifrado extremo a extremo para quienes quieren ese nivel de blindaje. Además, plataformas con nuevas funciones de mensajería, como el nuevo chat de Spotify, también han comenzado a replantear cómo gestionar privacidad y moderación.
En el terreno de los SMS enriquecidos, Google Messages utiliza cifrado de extremo a extremo en sus comunicaciones RCS por defecto entre usuarios compatibles. Apple, por su parte, convirtió iMessage en uno de los primeros servicios de mensajería masivos en adoptar este tipo de protección de manera nativa.
En este contexto, la decisión de TikTok de mantenerse en un modelo de cifrado estándar, sin E2EE en DMs, lo convierte en una excepción llamativa. Más aún si se tiene en cuenta que su base de usuarios es muy joven y que muchas de sus interacciones más sensibles —incluidos posibles casos de acoso, chantaje o abuso— se producen precisamente a través de estos mensajes directos.
Reacciones: entre la protección infantil y la privacidad
La estrategia de TikTok ha provocado un fuerte choque de visiones en el ecosistema digital. Organizaciones centradas en la protección de menores y parte de las fuerzas del orden ven con buenos ojos que la compañía se niegue a “oscurecer” del todo sus canales privados, mientras que grupos de derechos digitales alertan del riesgo de expandir la vigilancia y la exposición de datos sensibles.
Numerosas entidades de protección de la infancia han señalado que el aumento del cifrado de extremo a extremo en otras plataformas coincide con una caída en la detección y reporte de material de abuso infantil. En su opinión, mantener canales accesibles bajo determinadas condiciones facilita que se identifiquen antes estas situaciones y que se puedan bloquear cuentas o intervenir cuando realmente hay menores en peligro.
En la otra cara de la moneda, expertos en ciberseguridad y privacidad recuerdan que abrir la puerta al acceso a los DMs implica nuevos riesgos. Al poder leer los mensajes, la plataforma se convierte en un objetivo más atractivo para atacantes que busquen robar datos, y cualquier fuga de información interna podría revelar conversaciones privadas de millones de personas.
Además, el hecho de que TikTok pertenezca a ByteDance, con sede en China, suscita preocupación añadida en Europa y otros mercados occidentales. Legisladores y organizaciones de derechos digitales temen que la ausencia de E2EE facilite que determinados gobiernos puedan solicitar, de forma más o menos directa, acceso a las comunicaciones privadas de los usuarios, apoyándose en la legislación nacional sobre seguridad y vigilancia.
Críticos citados por medios especializados advierten del peligro de un escenario en el que los mensajes directos puedan ser objeto de vigilancia masiva, uso político o espionaje económico, sobre todo cuando el control último de los datos reside en empresas sujetas a marcos legales distintos a los europeos.
Impacto en España y en la Unión Europea
La postura de TikTok tiene un peso especial en la Unión Europea, donde la compañía cuenta con una base de usuarios muy amplia y un entorno regulatorio especialmente exigente en materia de protección de datos y seguridad en línea. Solo en España, la plataforma declaró en 2025 más de 23,4 millones de usuarios mensuales, lo que la coloca entre las redes sociales de mayor crecimiento.
En los últimos años, instituciones europeas y algunos gobiernos nacionales han expresado recelos respecto al uso de TikTok en dispositivos oficiales o en entornos sensibles. Países como Reino Unido y otros socios comunitarios han restringido la app en móviles de funcionarios por motivos de seguridad, aludiendo tanto al origen chino de la empresa como a las dudas sobre el tratamiento de los datos.
Para tratar de responder a estas preocupaciones, la compañía ha puesto en marcha iniciativas específicas para el mercado europeo. Una de las más destacadas es el proyecto Clover, con el que TikTok almacena los datos de los usuarios de la UE en centros de datos ubicados en Irlanda y Noruega, bajo normativa europea de protección de datos y con la supervisión de un proveedor independiente de seguridad.
Según la versión de la empresa, este modelo permite que una entidad externa vigile los accesos y operaciones sobre la información de los usuarios europeos, añadiendo una capa adicional de control. En teoría, el objetivo es reforzar la confianza de los reguladores comunitarios, que llevan tiempo investigando cómo se usan y comparten los datos dentro y fuera del territorio de la UE.
No obstante, estas garantías no terminan de despejar las dudas sobre los mensajes directos sin E2EE. Aunque se almacenen en servidores europeos y se sometan a supervisión independiente, el hecho de que puedan ser leídos bajo ciertas condiciones sigue chocando con las expectativas de muchos usuarios, acostumbrados a que sus conversaciones privadas estén selladas con cifrado extremo a extremo en otros servicios.
Privacidad frente a seguridad: el dilema de los mensajes en TikTok
La discusión de fondo no es exclusiva de TikTok, pero en esta red social se manifiesta con especial claridad: ¿hasta dónde debe llegar la privacidad de las conversaciones digitales cuando entra en conflicto con la detección de delitos o la protección de colectivos vulnerables?
Quienes defienden el cifrado de extremo a extremo argumentan que, sin E2EE, los usuarios nunca tienen la certeza de que sus conversaciones están a salvo de accesos indebidos, ya sea por fallos internos, brechas de seguridad o presiones de gobiernos. En este enfoque, la privacidad fuerte es una condición básica para evitar abusos, tanto por parte de delincuentes como de las propias empresas o de las autoridades.
La postura que adopta TikTok se sitúa explicitamente al otro lado del espectro. La compañía sostiene que el “absolutismo de la privacidad” puede convertirse en un escudo para quienes cometen delitos en línea, porque dificulta investigación, moderación y prevención. Prefiere preservar cierto grado de visibilidad sobre los DMs para poder actuar ante casos de acoso, hostigamiento o difusión de material ilegal.
En términos prácticos, esto implica que los usuarios deben asumir que los mensajes privados de TikTok no son el canal adecuado para compartir información sensible, contraseñas, datos financieros o detalles personales que no se quiera poner potencialmente en manos de terceros. El consejo de muchos expertos es sencillo: para contenidos delicados, mejor recurrir a aplicaciones con E2EE activado por defecto.
Al mismo tiempo, la decisión de TikTok reaviva el debate en Europa sobre hasta qué punto los reguladores deben exigir a las plataformas que mantengan accesibles los mensajes para colaborar con investigaciones, o si deben, por el contrario, proteger el cifrado fuerte como un pilar de los derechos digitales. Entre la Online Safety Act del Reino Unido y las normativas comunitarias de protección de datos, el equilibrio entre seguridad y privacidad está lejos de estar cerrado.
En este escenario, TikTok se ha posicionado de forma clara: prioriza la capacidad de intervenir en los mensajes directos frente al blindaje total de la privacidad, respaldándose en la necesidad de proteger a los más jóvenes y de cooperar con las fuerzas del orden. Para los usuarios españoles y europeos, la consecuencia es que sus DMs seguirán cifrados en tránsito y almacenamiento, pero no quedarán fuera del alcance de la plataforma ni de las autoridades en situaciones concretas, un punto que conviene tener muy presente a la hora de decidir qué tipo de conversaciones mantener dentro de la aplicación.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.