La reciente introducción de nombres de usuario en WhatsApp, una funcionalidad que prometía a los más de 3 mil millones de usuarios de la plataforma una forma de comunicarse sin revelar su número telefónico, ha desatado una ola de inquietud y advertencias por parte de expertos en ciberseguridad y autoridades regulatorias.

Lo que Meta, la empresa matriz de WhatsApp, ha promocionado como un avance significativo en la privacidad, está siendo visto por otros como una potencial puerta de entrada para nuevas modalidades de fraude, phishing y suplantación de identidad.

Alerta desde India: Un Mercado Clave en Peligro

El gobierno de India, uno de los mercados más grandes y cruciales para WhatsApp, fue uno de los primeros en reaccionar. Apenas dos días después del lanzamiento de la función de nombres de usuario, el Ministerio de Electrónica y Tecnología de la Información (MeitY) de la India envió un aviso formal a Meta. La misiva exigía a la compañía pausar el despliegue de la función en el país y justificar por qué no se debían tomar acciones regulatorias bajo la Ley de Tecnología de la Información de la India.

Según reportes de medios especializados, el ministerio expresó su temor de que la nueva característica pudiera "aumentar de manera material la incidencia de fraude en línea, phishing, estafas de 'arresto digital' y ataques de suplantación". La preocupación principal radica en que los actores maliciosos podrían contactar a los usuarios sin necesidad de exponer su número telefónico, facilitando así la ejecución de engaños.

Además, el ministerio advirtió sobre el riesgo de que nombres de usuario que imiten a figuras públicas, autoridades, instituciones financieras o agencias gubernamentales puedan ser utilizados para suplantar identidades, generando confusión y desconfianza.

Evidencia de Vulnerabilidades en Pruebas Iniciales

Las preocupaciones no son meramente teóricas. Durante la ventana de pruebas de la función, medios internacionales reportaron haber encontrado nombres de usuario disponibles que imitaban al primer ministro de la India, Narendra Modi, a reconocidas estrellas de Bollywood e incluso al Banco de la Reserva de la India. Estos hallazgos subrayan la facilidad con la que la función podría ser explotada para fines fraudulentos.

Gabriel Zurdo, fundador y director general de BTR Consulting, describe la problemática de la ciberseguridad como un "triángulo" intrincado. Este triángulo se compone de la tendencia natural del usuario a adoptar servicios digitales, la ausencia de políticas públicas robustas y articuladas, y la autonomía de las plataformas tecnológicas que, según Zurdo, a menudo priorizan sus objetivos comerciales sobre la seguridad y privacidad de los usuarios.

En este contexto, Zurdo señala la implementación de nombres de usuario en WhatsApp como un claro ejemplo del tercer vértice de este triángulo. Advierte que la función podría abrir una nueva y peligrosa vía para la suplantación de identidad, especialmente si un tercero logra registrar un identificador que los usuarios normalmente asociarían con otra persona o entidad.

"¿Tenés en mente el problema que va a haber a futuro cuando, por ejemplo, alguien haya reservado tu nombre y vos no puedas usarlo y se haga pasar por vos? Entonces, muchas plataformas terminan de decidir sobre la vida digital de los usuarios. No importa en qué país estén ni en qué condición, pero con un objetivo que es el de su negocio", reflexiona Zurdo.

Para el especialista, el núcleo del problema no reside únicamente en la tecnología en sí, sino en la sinergia entre funciones cada vez más sofisticadas y usuarios que, a menudo, comparten información personal de manera proactiva y sin las debidas precauciones. Zurdo destaca que un porcentaje significativo de personas publica su número telefónico en redes sociales (66%), revela su lugar de trabajo (30%), su domicilio (22%) e incluso detalles sobre sus viajes (20%). Estos datos, al ser combinados con las nuevas funcionalidades de plataformas como WhatsApp, pueden alimentar esquemas de fraude y suplantación de identidad cada vez más elaborados.

El resultado es un panorama de ciberseguridad en constante evolución, donde gobiernos y empresas especializadas en seguridad digital observan con atención esta nueva superficie de ataque potencial. El cibercrimen, según Zurdo, opera cada vez más como una industria organizada, adaptándose rápidamente a las nuevas tecnologías para explotar vulnerabilidades.

La Defensa de WhatsApp: Privacidad y Control Opcional

Ante las crecientes preocupaciones, Alice Newton-Rex, vicepresidenta de producto de WhatsApp, defendió la nueva función durante una rueda de prensa virtual. Explicó que la característica responde a una solicitud recurrente de los usuarios, quienes deseaban una forma de contactar a otros sin tener que compartir su número telefónico personal.

Newton-Rex enfatizó que el objetivo principal es otorgar a los usuarios un mayor control sobre quién accede a su número de teléfono. Para mitigar los riesgos, aseguró que el sistema fue diseñado para evitar la existencia de un directorio público de nombres de usuario y para no ofrecer sugerencias automáticas. Según la ejecutiva, para iniciar una conversación con alguien por primera vez, será necesario conocer explícitamente el nombre de usuario elegido por esa persona.

Adicionalmente, WhatsApp ha introducido una "clave de usuario", una capa de seguridad opcional que el remitente deberá ingresar antes de iniciar una conversación. Esta medida busca añadir una barrera adicional contra el acceso no deseado.

La compañía también ha tomado medidas para proteger a los usuarios de posibles suplantaciones. WhatsApp ha reservado de forma permanente nombres de usuario considerados de "alto valor", incluyendo aquellos asociados a cuentas verificadas de Instagram, celebridades, figuras públicas y funcionarios gubernamentales que podrían ser objetivos de alto riesgo para la impersonación.

Para el resto de los usuarios, durante el período inicial de reserva, se ofreció la posibilidad de reclamar el mismo nombre de usuario que ya utilizan en sus perfiles de Facebook o Instagram, buscando así mantener una coherencia y evitar confusiones.

En un esfuerzo por dificultar el comportamiento de spammers y estafadores, la empresa ha implementado límites en la frecuencia con la que un usuario puede cambiar su nombre de usuario. Aunque no se revelaron detalles específicos sobre la periodicidad de estos cambios, la medida busca desalentar la manipulación constante de identificadores.

La función de nombres de usuario es completamente opcional. Aquellos usuarios que prefieran mantener la configuración tradicional podrán seguir utilizando WhatsApp exclusivamente con su número telefónico, sin verse obligados a adoptar la nueva modalidad.