El Ministerio de Electrónica y Tecnología de la Información (MeitY, por sus siglas en inglés) envió un aviso formal a Meta el 1 de julio, exigiendo explicar por qué no debería iniciarse una acción regulatoria bajo la ley de Tecnología de la Información del país y ordenándole no lanzar la función hasta que concluyan las consultas con el gobierno.
Según el aviso, citado por medios especializados como MediaNama y The Register, la función "puede aumentar de manera material la incidencia de fraude en línea, phishing, estafas de 'arresto digital' y ataques de suplantación", al permitir que actores maliciosos contacten a los usuarios sin exponer su número. El ministerio también advirtió que nombres de usuario que se asemejen a los de individuos, autoridades públicas, instituciones financieras o agencias de gobierno podrían facilitar la suplantación de identidad. Pruebas de medios internacionales encontraron, durante la ventana de prueba, nombres de usuario disponibles para reservar que imitaban al primer ministro Narendra Modi, actores de Bollywood y al Banco de la Reserva de India.
Aunque la función es nueva en WhatsApp, el uso de nombres de usuario no lo es en la industria, Telegram, por ejemplo, permite desde hace años que los usuarios se comuniquen mediante un identificador precedido por el símbolo @, sin necesidad de compartir su número telefónico. Esa característica ha permitido que la plataforma se utilice para contactar personas sin revelar ese dato personal, aunque también ha obligado al servicio a desarrollar mecanismos para reportar cuentas falsas y combatir la suplantación de identidad.
La diferencia es que WhatsApp nació con un modelo basado en el número telefónico como principal forma de identificación. La incorporación de nombres de usuario representa uno de los mayores cambios en la historia de la aplicación porque modifica la manera en que las personas podrán iniciar conversaciones. Mientras la empresa sostiene que la medida fortalece la privacidad al evitar que los usuarios expongan su número, especialistas y reguladores advierten que también podría facilitar que delincuentes creen identidades que aparenten pertenecer a empresas, figuras públicas o personas conocidas para ganar la confianza de sus víctimas.
La advertencia más allá de India
Gabriel Zurdo, fundador y director general de BTR Consulting, describe el problema de la ciberseguridad como un "triángulo": la pulsión tecnológica del usuario (que consume servicios digitales sin que nadie lo obligue), la falta de políticas públicas articuladas y la autonomía de las plataformas que, afirma, toman decisiones sobre la vida digital de las personas priorizando sus objetivos de negocio.
En ese contexto, el especialista cita la incorporación de nombres de usuario en WhatsApp como un ejemplo del tercer vértice del triángulo. Advierte que la función podría abrir una nueva ventana para la suplantación de identidad si un tercero registra antes el identificador que normalmente asociarían con otra persona.
"¿Tienes en mente el problema que va a haber a futuro cuando, por ejemplo, alguien haya reservado tu nombre y tú no puedas usarlo y se haga pasar por ti? Entonces, muchas plataformas terminan de decidir sobre la vida digital de los usuarios. No importa en qué país estén ni en qué condición, pero con un objetivo que es el de su negocio", dice Zurdo.
Para el especialista, el problema no radica únicamente en la tecnología, sino en la combinación entre funciones cada vez más sofisticadas y usuarios que comparten información personal con facilidad. Durante la entrevista señaló que 66% de las personas publica su número telefónico en redes sociales; 30% revela dónde trabaja; 22%, dónde vive; y 20% incluso comparte cuándo saldrá de viaje y cuándo regresará, datos que alimentan esquemas de fraude y suplantación de identidad.
El resultado es un pulso apenas comenzando pero que gobiernos y firmas de ciberseguridad ya observan como una nueva superficie potencial para el fraude, en un contexto donde, según Zurdo, el cibercrimen opera cada vez más como una industria organizada.
WhatsApp ya es una de las plataformas donde ese tipo de datos personales se explota activamente. Según Kaspersky, la compañía eliminó 6.8 millones de cuentas fraudulentas en la aplicación solo durante el primer semestre de 2025, luego de que ciberdelincuentes usaran inteligencia artificial para automatizar mensajes de falsas ofertas de empleo, inversiones en criptomonedas y cobros fraudulentos de paquetería. La firma de ciberseguridad identificó más de 50 sitios falsos que imitan a empresas de mensajería legítimas para robar datos bancarios, y describe un patrón recurrente: el primer contacto ocurre en redes sociales, apps de citas o SMS, y de ahí se traslada a WhatsApp, donde el atacante aprovecha la confianza que los usuarios depositan en la plataforma para consumar el fraude.
En México, WhatsApp tiene una penetración de alrededor de 93% entre los usuarios de internet del país, según datos de We Are Social y DataReportal, lo que la convierte en la aplicación de mensajería dominante y, en consecuencia, en una superficie expuesta para este tipo de esquemas.