Nombres de usuario en WhatsApp generan alertas de fraude y suplantación
WhatsApp: alertas por fraude con nombres de usuario

WhatsApp lanzó el 29 de junio de 2026 las reservaciones de nombres de usuario, una función que permite a sus más de 3,000 millones de usuarios comunicarse sin compartir su número telefónico. Lo que la compañía presentó como su siguiente gran actualización de privacidad, sin embargo, desató una conversación sobre si ésta podría traer consigo lo contrario e incitar a fraudes cibernéticos.

India exige pausar el lanzamiento

Apenas dos días después del lanzamiento, el gobierno de India, el mercado más grande para la app de mensajería, exigió a la empresa pausar el lanzamiento en ese país por temor a que la función facilite fraudes, phishing y suplantación de identidad. El Ministerio de Electrónica y Tecnología de la Información (MeitY) envió un aviso formal a Meta el 1 de julio, exigiendo explicar por qué no debería iniciarse una acción regulatoria bajo la ley de Tecnología de la Información del país y ordenándole no lanzar la función hasta que concluyan las consultas con el gobierno.

Según el aviso, citado por medios especializados como MediaNama y The Register, la función "puede aumentar de manera material la incidencia de fraude en línea, phishing, estafas de 'arresto digital' y ataques de suplantación", al permitir que actores maliciosos contacten a los usuarios sin exponer su número. El ministerio también advirtió que nombres de usuario que se asemejen a los de individuos, autoridades públicas, instituciones financieras o agencias de gobierno podrían facilitar la suplantación de identidad.

Banner ancho de Pickt — app de listas de compras colaborativas para Telegram

Pruebas revelan nombres sensibles disponibles

Pruebas de medios internacionales encontraron, durante la ventana de prueba, nombres de usuario disponibles para reservar que imitaban al primer ministro Narendra Modi, actores de Bollywood y al Banco de la Reserva de India. Aunque la función es nueva en WhatsApp, el uso de nombres de usuario no lo es en la industria. Telegram, por ejemplo, permite desde hace años que los usuarios se comuniquen mediante un identificador precedido por el símbolo @, sin necesidad de compartir su número telefónico.

Esa característica ha permitido que la plataforma se utilice para contactar personas sin revelar ese dato personal, aunque también ha obligado al servicio a desarrollar mecanismos para reportar cuentas falsas y combatir la suplantación de identidad. La diferencia es que WhatsApp nació con un modelo basado en el número telefónico como principal forma de identificación. La incorporación de nombres de usuario representa uno de los mayores cambios en la historia de la aplicación porque modifica la manera en que las personas podrán iniciar conversaciones.

El debate entre privacidad y riesgo

Mientras la empresa sostiene que la medida fortalece la privacidad al evitar que los usuarios expongan su número, especialistas y reguladores advierten que también podría facilitar que delincuentes creen identidades que aparenten pertenecer a empresas, figuras públicas o personas conocidas para ganar la confianza de sus víctimas. Gabriel Zurdo, fundador y director general de BTR Consulting, describe el problema de la ciberseguridad como un "triángulo": la pulsión tecnológica del usuario, la falta de políticas públicas articuladas y la autonomía de las plataformas que, afirma, toman decisiones sobre la vida digital de las personas priorizando sus objetivos de negocio.

En ese contexto, el especialista cita la incorporación de nombres de usuario en WhatsApp como un ejemplo del tercer vértice del triángulo. Advierte que la función podría abrir una nueva ventana para la suplantación de identidad si un tercero registra antes el identificador que normalmente asociarían con otra persona. "¿Tienes en mente el problema que va a haber a futuro cuando, por ejemplo, alguien haya reservado tu nombre y tú no puedas usarlo y se haga pasar por ti? Entonces, muchas plataformas terminan de decidir sobre la vida digital de los usuarios. No importa en qué país estén ni en qué condición, pero con un objetivo que es el de su negocio", dice Zurdo.

Banner post-artículo de Pickt — app de listas de compras colaborativas con ilustración familiar

Cifras alarmantes sobre exposición de datos

Para el especialista, el problema no radica únicamente en la tecnología, sino en la combinación entre funciones cada vez más sofisticadas y usuarios que comparten información personal con facilidad. Durante la entrevista señaló que 66% de las personas publica su número telefónico en redes sociales; 30% revela dónde trabaja; 22%, dónde vive; y 20% incluso comparte cuándo saldrá de viaje y cuándo regresará, datos que alimentan esquemas de fraude y suplantación de identidad.

El resultado es un pulso apenas comenzando pero que gobiernos y firmas de ciberseguridad ya observan como una nueva superficie potencial para el fraude, en un contexto donde, según Zurdo, el cibercrimen opera cada vez más como una industria organizada. WhatsApp ya es una de las plataformas donde ese tipo de datos personales se explota activamente.

Antecedentes de fraude en la plataforma

Según Kaspersky, la compañía eliminó 6.8 millones de cuentas fraudulentas en la aplicación solo durante el primer semestre de 2025, luego de que ciberdelincuentes usaran inteligencia artificial para automatizar mensajes de falsas ofertas de empleo, inversiones en criptomonedas y cobros fraudulentos de paquetería. La firma de ciberseguridad identificó más de 50 sitios falsos que imitan a empresas de mensajería legítimas para robar datos bancarios, y describe un patrón recurrente: el primer contacto ocurre en redes sociales, apps de citas o SMS, y de ahí se traslada a WhatsApp, donde el atacante aprovecha la confianza que los usuarios depositan en la plataforma para consumar el fraude.

En México, WhatsApp tiene una penetración de alrededor de 93% entre los usuarios de internet del país, según datos de We Are Social y DataReportal, lo que la convierte en la aplicación de mensajería dominante y, en consecuencia, en una superficie expuesta para este tipo de esquemas.

La respuesta de WhatsApp

Alice Newton-Rex, vicepresidenta de producto de WhatsApp, explicó en una rueda de prensa virtual con medios latinoamericanos a la que Expansión tuvo acceso que la función responde a una petición de larga data de los usuarios que querían poder contactar a otras personas sin revelar su número telefónico. Según la ejecutiva, el objetivo es dar a los usuarios mayor control sobre quién puede conocer ese dato personal. Para ello, aclaró, la compañía diseñó el sistema de forma que no exista un directorio público de nombres de usuario ni sugerencias automáticas.

Quien quiera escribirle a alguien por primera vez deberá conocer exactamente el nombre de usuario elegido por esa persona. Además, los usuarios podrán activar una "clave de usuario", una capa adicional de privacidad que el remitente tendrá que introducir antes de iniciar una conversación. La función es completamente opcional y quienes no quieran utilizarla podrán seguir usando WhatsApp únicamente con su número telefónico, como hasta ahora.

La decisión de ocultar el número telefónico también busca limitar la exposición de uno de los datos más sensibles para la seguridad digital. El número suele utilizarse como mecanismo de recuperación de cuentas y de autenticación en distintos servicios, por lo que su difusión puede facilitar ataques de ingeniería social, intentos de fraude o esquemas como el SIM swapping, en los que un delincuente consigue transferir el número de la víctima a otra tarjeta SIM para interceptar códigos de verificación.

Medidas de protección implementadas

Ante las preocupaciones sobre la suplantación de identidad, Newton-Rex aseguró que WhatsApp reservó de manera permanente los nombres de usuario considerados de alto valor, como los de cuentas verificadas de Instagram, celebridades, figuras públicas y funcionarios con mayor riesgo de ser impersonados. Para el resto de los usuarios, durante el periodo inicial de reservas también existe la posibilidad de reclamar el mismo nombre de usuario que ya utilizan en Facebook o Instagram.

La empresa también implementó límites para impedir que un usuario cambie constantemente de nombre de usuario, una medida que, según la directiva, busca dificultar el comportamiento de spammers y estafadores, aunque evitó revelar con qué frecuencia podrá modificarse para no ofrecer información útil a actores maliciosos.