diff --git a/configs/homeserver.yaml.template b/configs/homeserver.yaml.template
index ebe5134..181b59f 100644
--- a/configs/homeserver.yaml.template
+++ b/configs/homeserver.yaml.template
@@ -80,6 +80,13 @@ room_prejoin_state:
     - "m.room.topic"
     - "m.room.avatar"
 
+# E2EE encryption by default for new private/invite rooms.
+# Valores:
+#   off    — sin cifrado por defecto (Synapse default historico)
+#   invite — cifra salas privadas + DMs (RECOMENDADO)
+#   all    — cifra tambien salas publicas (rompe historico-visible)
+encryption_enabled_by_default_for_room_type: invite
+
 # Public room settings
 autocreate_auto_join_rooms: false
 auto_join_rooms: []
diff --git a/scripts/setup.sh b/scripts/setup.sh
index a09f874..d7191ee 100755
--- a/scripts/setup.sh
+++ b/scripts/setup.sh
@@ -99,8 +99,23 @@ if [ ! -f synapse_data/homeserver.yaml ]; then
     echo -e "${GREEN}✅ Configuración base de Synapse generada${NC}"
     echo -e "${YELLOW}🔧 Aplicando configuraciones personalizadas...${NC}"
 
-    # Aquí podrías aplicar modificaciones automáticas al homeserver.yaml
-    # Por ahora, usamos la configuración manual existente
+    # E2EE por defecto en salas privadas/invite — idempotente.
+    HS_YAML="synapse_data/homeserver.yaml"
+    if [ -f "$HS_YAML" ] && ! grep -q "^encryption_enabled_by_default_for_room_type:" "$HS_YAML"; then
+        echo "" >> "$HS_YAML"
+        echo "# Cifrado E2EE por defecto en salas privadas + DMs (aplicado por setup.sh)" >> "$HS_YAML"
+        echo "encryption_enabled_by_default_for_room_type: invite" >> "$HS_YAML"
+        echo -e "${GREEN}🔒 Cifrado E2EE por defecto activado (invite rooms)${NC}"
+    fi
+fi
+
+# Idempotente tambien para instancias ya generadas: asegurar la directiva.
+HS_YAML="synapse_data/homeserver.yaml"
+if [ -f "$HS_YAML" ] && ! grep -q "^encryption_enabled_by_default_for_room_type:" "$HS_YAML"; then
+    echo "" >> "$HS_YAML"
+    echo "# Cifrado E2EE por defecto en salas privadas + DMs (aplicado por setup.sh)" >> "$HS_YAML"
+    echo "encryption_enabled_by_default_for_room_type: invite" >> "$HS_YAML"
+    echo -e "${GREEN}🔒 Cifrado E2EE por defecto activado (invite rooms) en homeserver.yaml existente${NC}"
 fi
 
 echo -e "${BLUE}🐳 Iniciando contenedores...${NC}"