RCS obtiene cifrado de extremo a extremo — y la mensajería multiplataforma finalmente tiene una historia de privacidad
Durante años, la vergüenza de los SMS — transmitidos en texto claro a través de redes de operadores, legibles por operadores móviles, interceptables por dispositivos Stingray — se excusaba por el hecho de que era universal. Todo el mundo lo tenía. Nada mejor era universal. Luego, Apple y Google impulsaron sus propias aplicaciones de mensajería cifrada propietarias, fragmentando a los usuarios entre iMessage, RCS con cifrado de extremo a extremo (solo Android), Signal, WhatsApp y Telegram, sin un terreno común cifrado entre plataformas.
Eso cambió en 2025 cuando GSMA finalizó el RCS Universal Profile 2.4, que incluye cifrado obligatorio de extremo a extremo utilizando el mismo protocolo MLS (Messaging Layer Security) que sustenta las aplicaciones modernas de mensajería segura. Con Apple implementando soporte RCS en iOS 18 y habilitando el cifrado E2E en el despliegue de 2025-2026, miles de millones de mensajes entre usuarios de Android y iPhone ahora están cifrados en tránsito por primera vez.
Qué hace realmente el cifrado de RCS 2.4
El cifrado en RCS Universal Profile 2.4 utiliza el protocolo MLS (RFC 9420), un protocolo moderno de mensajería grupal desarrollado específicamente para comunicación cifrada escalable con secreto directo. MLS proporciona secreto directo — lo que significa que la exposición de una clave actual no expone retroactivamente mensajes pasados — y seguridad post-compromiso, que limita el daño de la exposición de claves en adelante.
Para conversaciones uno a uno, esto significa que los mensajes entre un usuario de Android y uno de iPhone se cifran en el dispositivo del remitente y se descifran solo en el dispositivo del destinatario. La red del operador, la infraestructura de telecomunicaciones e incluso los servidores de Apple y Google no pueden leer el contenido. Esta es la misma garantía fundamental que Signal e iMessage ya proporcionan — y ahora está disponible para mensajería multiplataforma sin requerir que ambas partes instalen una aplicación de terceros.
La mensajería grupal obtiene la gestión de claves basada en árbol completa de MLS, que escala eficientemente a medida que cambia la membresía del grupo. Agregar o eliminar un participante rota las claves de todo el grupo sin requerir un recifrado completo del historial, lo que fue un desafío técnico significativo para protocolos de mensajería grupal anteriores.
Qué no arregla RCS
RCS con cifrado E2E es mejor que SMS, pero no es Signal. Tres limitaciones merecen una comprensión clara.
Primero, metadatos. El cifrado de extremo a extremo protege el contenido del mensaje, no los patrones de comunicación. Los operadores y las plataformas aún pueden ver quién envió mensajes a quién, cuándo y desde qué torres celulares. La función de remitente sellado de Signal y su resistencia a la recolección de metadatos van significativamente más allá de lo que permite la especificación actual de RCS.
Segundo, cifrado de copias de seguridad. iMessage cifra las copias de seguridad en la nube con iCloud Advanced Data Protection activado — una función opt-in. Google Messages cifra las copias de seguridad de RCS en Google Drive detrás de una frase de contraseña controlada por el usuario. Ninguno es el predeterminado para la mayoría de los usuarios, lo que significa que el historial de mensajes en la nube puede ser accesible para los operadores de la plataforma incluso cuando los mensajes en tránsito están cifrados.
Tercero, verificación. Signal e iMessage admiten verificación de claves fuera de banda — comparar números de seguridad para confirmar que estás hablando con quien crees que estás hablando. El modelo de verificación de RCS es más débil y depende más de la infraestructura PKI del operador, que es menos confiable que la verificación directa de claves.
Por qué sigue siendo importante
El impacto significativo del cifrado E2E de RCS no está en los investigadores de seguridad y defensores de la privacidad que ya usan Signal. Está en los miles de millones de usuarios comunes que por defecto usan la aplicación de mensajería del sistema operativo — la división de burbuja verde/burbuja azul que ha definido la comunicación móvil multiplataforma durante una década.
Para estos usuarios, el cifrado E2E de RCS proporciona una línea base que SMS nunca pudo: privacidad del contenido en tránsito, protección contra la interceptación del operador y resistencia contra la vigilancia masiva de la infraestructura de mensajería. No protege contra el compromiso dirigido del dispositivo o atacantes estatales sofisticados. Pero elimina la recolección pasiva y ambiental del contenido de los mensajes que SMS habilitaba por diseño.
El despliegue es desigual. El cifrado E2E de RCS requiere que ambas partes estén en un operador y dispositivo que admitan la implementación de Universal Profile 2.4. En mercados donde el despliegue de RCS del operador está incompleto — partes de Europa, gran parte de África y el sudeste asiático — RCS puede volver a SMS. La implementación de RCS de Apple lanzó inicialmente el cifrado E2E en mercados limitados y se está expandiendo geográficamente hasta 2026.
El panorama general
La adopción de RCS es parte de una convergencia más amplia en la mensajería. La Ley de Mercados Digitales de la UE exige que los grandes guardianes de plataformas abran sus API de mensajería para la interoperabilidad, forzando a WhatsApp y potencialmente iMessage a admitir clientes de terceros. El estándar emergente para esta interoperabilidad es MLS — el mismo protocolo que usa RCS 2.4. Hay un futuro cercano plausible en el que el ecosistema de mensajería cifrada se vuelva genuinamente interoperable, con diferentes aplicaciones comunicándose de forma segura usando una capa de protocolo común.
Por ahora, el consejo práctico es simple: si usas Google Messages en Android y la aplicación integrada Messages en iPhone, y ambas están actualizadas, tus mensajes multiplataforma están cifrados. Eso es un cambio significativo respecto a hace seis meses. No es una razón para eliminar Signal — pero es una razón para dejar de tratar cada texto como una comunicación inherentemente pública.