Cualquier servicio web que presuma de ofrecer cifrado «extremo a extremo» parte de un modelo de amenaza incoherente. En el modelo de la plataforma web, el propio operador del servidor distribuye el código del lado del cliente, de modo que si ese operador fuese malicioso podría, sin más, enviar un JavaScript diferente que anulara la protección. Como la plataforma no incorpora ningún mecanismo que permita desconfiar del operador a la hora de ejecutar código en un origen, el problema es intrínseco: no existen excepciones. La misma lógica se aplica a aplicaciones no web cuando el proveedor es también quien distribuye el cliente, como ocurre con WhatsApp o Signal al vetar clientes de terceros. Bajo una definición estándar, todo sistema cuyo fabricante conserva la capacidad de eludirlo después de desplegado es un backdoor: lo son todos los servicios web con «E2E» y también los mencionados.
El texto acuña el término «criptografía teatro» para describir el auténtico móvil de esta moda. Para grandes tecnológicas, el objetivo no es la seguridad real, sino una argucia legal: aducir que no pueden cooperar con órdenes judiciales porque «no pueden» descifrar los datos. Casos como Lavabit (cerrada antes que ceder a la coerción del FBI para descifrar el correo de Snowden) o FBI contra Apple, retirado tras acceder al dispositivo por otra vía, evidencian que esa cobertura jurídica es endeble: una futura resolución puede revertirla y, además, no es igualmente aplicable fuera de Estados Unidos. La confianza en este «hechizo» asume además que los gobiernos se atienen al derecho, algo que la evidencia desmiente de forma sistemática.
