EncroChat fue una red de comunicación cifrada que ofrecía servicios de mensajería y telefonía a través de terminales Android modificados. Estos dispositivos eliminaban funciones como cámara, micrófono o GPS y utilizaban un sistema operativo dual: un Android estándar y un entorno oculto denominado EncroChat OS. El sistema permitía únicamente la comunicación entre usuarios de la propia red, mediante cifrado de extremo a extremo y servidores dedicados situados en Roubaix (Francia).
El modelo operativo se basaba en el aislamiento y el anonimato. Los teléfonos se vendían fuera de los canales habituales, por unos 1.000 € y requerían una suscripción periódica de 1.500 €, pagadera en criptomonedas o efectivo, para no dejar rastro. Los usuarios eran identificados únicamente por alias y el sistema incluía funciones de borrado remoto, autodestrucción por inactividad y códigos de pánico para eliminar datos localmente.
En 2020, una intervención de la Gendarmería Nacional francesa, autorizada judicialmente, permitió comprometer la red a través de su propio servidor de actualizaciones. No se explotó ninguna vulnerabilidad criptográfica ni se interceptó el tráfico cifrado. El acceso se logró mediante una actualización ficticia para los usuarios, distribuida desde el servidor central, que contenía un programa de vigilancia oculto (implant).
Ese software se instaló automáticamente en miles de terminales y comenzó a registrar la actividad en el punto más débil del sistema: el propio dispositivo del usuario. Capturaba el texto introducido antes del cifrado, y los mensajes mostrados tras el descifrado y determinados metadatos (identificadores, posición de repetidores y archivos adjuntos). Los datos así capturados se enviaban automáticamente a un servidor controlado por las autoridades francesas, integrados en el flujo de comunicación habitual, sin alterar el funcionamiento de los terminales ni alertar a los usuarios.
Durante varias semanas, el implante permitió recopilar más de cien millones de mensajes procedentes de unos 32 000 usuarios activos. La información fue tratada por los servicios técnicos franceses y posteriormente distribuida a otros países europeos mediante los mecanismos de cooperación judicial existentes, con apoyo de Europol y Eurojust.
El resultado de la operación demostró que la fortaleza criptográfica permaneció inviolada, pero su arquitectura centralizada fue la ruina del sistema.
Casos posteriores siguieron un patrón similar. En 2021, la red Sky ECC fue intervenida mediante acceso a sus servidores. Tampoco en este caso hubo desencriptación, la interceptación tuvo lugar antes de que la capa final de cifrado de extremo a extremo protegiera el contenido, gracias al control temporal de servidores y de las claves efímeras de sesión. Mas singular fue el posterior caso de ANOM, una plataforma de mensajería cifrada controlada y creada por el FBI desde cero como honeypot. En ninguno de estos casos el cifrado extremo a extremo fue vulnerado; las operaciones se centraron en los puntos de control o distribución del software.
EncroChat fue desmantelada en junio de 2020, tras detectarse la intrusión y enviarse un mensaje general de alerta a los usuarios recomendando la destrucción inmediata de los dispositivos. Desde entonces, los tribunales de varios países —entre ellos Francia, Alemania, Países Bajos, Reino Unido y España— han considerado válidas las pruebas derivadas de esta intervención, al estimar que fueron obtenidas con autorización judicial y transmitidas conforme a los instrumentos europeos de cooperación.
El caso se ha convertido en un referente técnico sobre cómo un sistema de cifrado robusto puede ser neutralizado sin necesidad de romper su cifrado, mediante la explotación de la infraestructura que lo soporta.
