WhatsApp comenzó esta semana a activar la reserva de nombres de usuario antes de un lanzamiento más amplio previsto para finales de este año, una función que permitirá buscar y escribir a otros usuarios por su handle en vez de por su número de teléfono. El cambio, que Meta presenta como una mejora de privacidad, ya levanta alertas por posibles casos de suplantación.
Un cambio que mueve el foco del teléfono al nombre
La novedad marca un giro en la forma en que las personas se identifican dentro de WhatsApp. En lugar de depender del número como identificador principal, los usuarios pasarán a interactuar mediante nombres administrados por la plataforma.
Ese cambio, según críticos y expertos en seguridad, puede abrir nuevas oportunidades para que actores maliciosos se hagan pasar por terceros. En pruebas iniciales, TechCrunch encontró disponibles para reservar nombres parecidos a figuras públicas, empresas e instituciones, como “indiamodi”, “shahrukh.actor”, “teamamitabh”, “ambanijio” y “rbi_verify”. Esos nombres aluden al primer ministro indio Narendra Modi, a los actores Shah Rukh Khan y Amitabh Bachchan, a la empresa de telecomunicaciones Jio y al Banco de la Reserva de la India.
Por separado, el fundador de Binance, Changpeng Zhao, dijo en X que no pudo reservar “cz_binance”, el identificador que ya usa en esa red.
India presiona por miedo a fraudes y phishing
Las preocupaciones llegaron de inmediato a los reguladores en India, donde las estafas cibernéticas suelen aprovechar plataformas de mensajería para hacerse pasar por policías, bancos y funcionarios del gobierno.
En un aviso enviado el miércoles a WhatsApp y revisado por TechCrunch, el Ministerio de Tecnología de la Información de India dijo que la función podría “incrementar de forma material la incidencia de fraude en línea, phishing, estafas de arresto digital y ataques de suplantación” al permitir que los malos actores contacten usuarios sin exponer sus números telefónicos.
El despacho también advirtió que los nombres de usuario podrían facilitar la suplantación de “individuos, autoridades públicas, instituciones financieras y agencias gubernamentales” si se usan variantes muy parecidas a las de personas u organizaciones reales. Además, pidió a WhatsApp explicar por qué no debería iniciarse una acción regulatoria bajo las leyes de tecnología de la información de ese país y solicitó no desplegar la función hasta completar las consultas.
Un funcionario del gobierno de India dijo aparte a TechCrunch que el ministerio está al tanto del problema y mantiene conversaciones con WhatsApp sobre el tema.
La intervención recibió críticas del grupo de derechos digitales Internet Freedom Foundation, con sede en Nueva Delhi, que dijo en X que el aviso no tenía una base legal clara y podía darle al Ejecutivo un poder amplio para dictar el diseño de productos.
“La suplantación y el fraude son riesgos reales, pero se combaten haciendo cumplir la ley penal contra quienes los cometen”, dijo el grupo. “No se combaten con que MeitY decida, en privado y por carta, qué funciones pueden usar los indios”.
El debate recuerda una observación similar que hizo el Tribunal Superior de Delhi en un caso sobre Telegram, donde señaló que usar nombres de usuario en lugar de números telefónicos podría facilitar ocultar la identidad de los usuarios y acelerar la difusión de contenido ilícito.
WhatsApp insiste en una adopción gradual
Rachel Tobac, directora ejecutiva de SocialProof Security, dijo que los nombres de usuario sí representan una ganancia para la privacidad porque reducen la necesidad de compartir números telefónicos, que pueden exponer a ataques de SIM swap, phishing y toma de cuentas. Aun así, advirtió que los nombres similares también crean espacios para la suplantación.
WhatsApp reconoce que la función no servirá igual para todos. En una pregunta frecuente publicada en X el miércoles, la compañía dijo que la mayoría de los usuarios debería elegir un nombre único dentro de WhatsApp. También permitirá reclamar los nombres ya usados en Instagram o Facebook al vincular las cuentas, una opción pensada para creadores, empresas y organizaciones que buscan mantener una identidad consistente en las plataformas de Meta y reducir la suplantación.
La Fundación Mozilla dijo que la llegada de los nombres de usuario traerá nuevos costos de seguridad. A su juicio, el aumento de estafas y suplantaciones mediante cuentas falsas puede ser uno de los principales riesgos, aunque también reconoció que estas amenazas ya forman parte de las decisiones de diseño de la plataforma.
Por ahora, WhatsApp asegura que avanza con cautela. “Nos estamos tomando nuestro tiempo y escuchando comentarios para que, cuando se despliegue más adelante este año, lo hagamos bien”, dijo la empresa en su apartado de preguntas frecuentes.
