13 de julio de 2026
Implementada esta semana por la empresa Meta, el juez Bionda analiza que " una primera impresión pareciera que con esta funcionalidad se mejora la privacidad del usuario". Pero, advierte, "desde la perspectiva de la ciberseguridad, amplía la superficie de ataque basada en identidad, reputación y engaño". Los aspectos que los usuarios deben tener en cuenta.
Por Rodrigo E. Bionda (*)
Especial para El Tiempo
Sin dudas, WhatsApp es el servicio de mensajería instantánea que cuenta con la mayor cantidad de usuarios en el mundo y esta semana ha lanzado una nueva función. Utilizando el argumento de la privacidad, la función promocionada por Meta -la empresa detrás del servicio de mensajería instantánea- permite reservar un @nombredeusuario para que otros usuarios puedan contactarte sin que deban conocer necesariamente tu número telefónico.
Según lo explicó la plataforma, la función se activa desde:
a)Ajustes ? b) Cuenta ? c) Nombre de Usuario y -como opción- d) Contactarme por nombre de usuario ? e) Personas que conocen mi clave ? e) Guardar clave.
Desde Meta se informa que no habrá un directorio público disponible ni sugerencias y el usuario que quiera contactarte deberá conocer la denominación exacta que has adoptado; además, se ha anunciado una "username key" opcional para controlar primeros contactos. En otras palabras, si optas por esa variante, quien te contacte por primera vez necesitara conocer tu nombre de usuario y contar con un pin de cuatro dígitos que generaste y guardaste en tu dispositivo activando la referida función.
Si bien en una primera impresión pareciera que con esta funcionalidad se mejora la privacidad del usuario, desde la perspectiva de la ciberseguridad amplía la superficie de ataque basada en identidad, reputación y engaño; a la vez que introduce una modificación esencial en la arquitectura del reconocido sistema de mensajería instantánea.
La historia oficial
Desde la narrativa, Meta sostiene que el objetivo principal consiste en reducir la exposición de privacidad del usuario, habida cuenta que hasta ahora cualquiera que tuviera tu número puede iniciar una conversación. Con la nueva funcionalidad, sólo te pude contactar aquél que cuenta con tu número de usuario exacto, sin necesidad de revelar el número telefónico y añade controles como una clave opcional de cuatro dígitos para validar los primeros contactos.
Esos argumentos, desde un punto de vista técnico, son consistentes y resuelven un problema real. Pero probablemente no sea la historia completa.
Esa narrativa, de alguna manera, procura maquillar una de las modificaciones más importantes que Meta ha introducido en la arquitectura de la plataforma: WhatsApp deja de ser un servicio basado en números telefónicos, comenzando a construir y uniformar el emporio Meta en torno a la identidad del usuario.
En efecto, durante más de quince años la identidad en WhatsApp estuvo ligada de esta manera Número telefónico ? Persona. Con los @nombresdeusuario el paradigma pasa a ser: Identidad digital ? Persona.
Pareciera un cambio menor, pero no lo es. Es probablemente el cambio arquitectónico más importante que ha sufrido WhatsApp desde la incorporación del cifrado extremo a extremo.
La verdad detrás
Esta trascendental modificación genera una gran ventaja para Meta, ya que desacopla la identidad del usuario de la gestión del operador del servicio de telefonía móvil. Hasta ahora Meta dependía de tres factores, para la prestación del servicio de mensajería instantánea. Las operadoras telefónicas; debiendo recurrir al sistema de numeración E.164 y la necesidad de que el dispositivo del usuario cuente con una tarjeta SIM, ya que cada alta estaba ligada a un número telefónico.
De algún modo, con la nueva funcionalidad de @nombredeusuario, el número comienza a convertirse en un atributo secundario y eso tiene enormes implicancias; ya que Meta pasa a controlar mucho más directamente la identidad digital del usuario. En términos de arquitectura e identidad digital, el teléfono deja de ser el identificador visible y el identificador digital del usuario pasa a ser propiedad de Meta.
Otro ladrillo en la pared: construcción de una identidad transversal
Para dimensionar adecuadamente esta modificación arquitectura digital de la plataforma, debe observarse que ocurre dentro del emporio Meta:
Facebook ? @username
Instagram ? @username
Threads ? @username
Messenger ? @username
WhatsApp ? ahora también @username
¿Será casualidad? De ninguna manera. Meta está convergiendo hacia una identidad única dentro de todo su emporio. Incluso ha anunciado que usuarios y organizaciones podrán reclamar en WhatsApp el mismo nombre que ya utilizan en Instagram o Facebook cuando corresponda. Desde la perspectiva de la inteligencia de amenazas esto significa que existe la posibilidad de construir un grafo de identidad mucho más consistente, trazando todos tus vínculos.
No implica necesariamente que Meta combine todos esos datos para publicidad en WhatsApp, pero sí que la arquitectura facilita una identidad más uniforme entre servicios.
Sin lugar a dudas, el emporio Meta comenzó a preparar el terreno para la economía digital que se viene, ya que está invirtiendo miles de millones de dólares en inteligencia artificial, agentes conversacionales, plataformas de comercio electrónico, sistemas de pagos y cuentas empresariales. Para que un emporio digital de esa naturaleza funcione a gran escala se necesitan identificadores permanentes y no solamente números telefónicos.
En efecto, un @nombredeusuario puede representar a una persona, una empresa, un chatbot, un agente de IA, una tienda, un organismo público y con esta reforma, la infraestructura queda preparada para esos casos de uso.
Por otra parte, permite profundizar la inteligencia sobre relaciones. Si bien en principio, los mensajes continúan cifrados; los metadatos siguen existiendo y están disponibles. Un @nombredeusuario agrega nuevos elementos de análisis, permitiendo establecer qué usuarios interactúan, con qué frecuencia, dejando en claro la creación, las modificaciones, los intentos de contacto y un panorama completo de las relaciones entre cuentas.
Desde la inteligencia de amenazas es sabido que los metadatos pueden ser extremadamente valiosos, incluso cuando el contenido permanece cifrado.
Desde luego que esta modificación también añade valor para la inteligencia comercial. Si bien no hay evidencias objetivas de que Meta vaya a usar los @nombresdeusuario para ampliar el perfilado publicitario de WhatsApp y aprovechar las ventajas de la publicidad microdirigida, desde un punto de vista estratégico, disponer de un identificador persistente ofrece ventajas potenciales para la continuidad de la identidad del usuario, la interacción con empresas, la reputación cuentas, la prevención de fraude y la integración entre productos.
En definitiva, la incorporación de @nombredeusuario constituye una modificación estructural del modelo de identidad de WhatsApp. El cambio reduce la dependencia del número telefónico como identificador primario y habilita una infraestructura de identidad digital persistente, interoperable y escalable dentro del emporio Meta.
Esta transformación mejora la privacidad frente a terceros, pero simultáneamente incrementa la capacidad de gestionar identidades digitales de forma coherente en todos los servicios del grupo.
En otras palabras, para el usuario, aumenta la privacidad al resguardar su número telefónico. Para Meta, aumenta el control sobre la capa de identidad digital, por haber desplazado el centro de gravedad de la identidad desde el operador de telecomunicaciones hacia su propia plataforma. Los @nombredeusuarios no son el objetivo final, sino la infraestructura necesaria para la siguiente etapa de WhatsApp donde probablemente combine identidades digitales persistentes, asistentes de IA personalizados, comercio conversacional, infraestructura de pagos digitales, cuentas verificadas para personas y organizaciones y una mayor interoperabilidad con el resto del emporio Meta: Facebook, Instagram, Threads y Messenger.
Principales riesgos para el usuario
Tal vez el mayor riesgo al que se encuentra expuesto el usuario es la suplantación de identidad. Puesto que existe un peligro cierto de que terceros registren nombres similares a personas, empresas, bancos, organismos públicos, comercios o familiares con variantes visuales: @BancoNac1on, @Banc0Nacion o similares, suplantando la identidad de los verdaderos sujetos o empresas.
La nueva funcionalidad, genera una falsa sensación de privacidad. Ocultar el número no equivale a anonimato. El nombre elegido puede revelar identidad, profesión, ciudad, empresa, redes sociales o hábitos. Si el usuario reutiliza el mismo handle de Instagram, X, LinkedIn o correo electrónico, facilita la correlación entre perfiles y brinda mucha información para ciberataques que se perpetren mediante ingeniería social.
Es probable que posibilite el desarrollo de técnicas de ingeniería social más eficaces. Un atacante con un usuario creíble puede iniciar conversaciones simulando ser soporte técnico, una entidad financiera, un cliente, un colega o un familiar y -con ello- perpetrar ciberataques.
Se producirá una disputa de "username squatting". Se lanzará una carrera por reservar nombres valiosos, ya que, si el usuario no reserva su identificador, otro podría tomarlo y explotarlo reputacionalmente.
Aumentará el riesgo de sufrir fraudes dirigidos. Pensemos en el otorgamiento de turnos falsos, cobros apócrifos, pedidos de documentación, envío de enlaces maliciosos o captación de datos personales, como vectores de ciberataque.
Genera una mayor exposición al spam y contacto no deseado. Aunque no exista directorio público, un nombre simple o predecible puede ser adivinado, con solo anteponer la arroba e ir probando diferentes combinaciones por fuerza bruta.
Facilita que el servicio de mensajería instántanea sea utilizado como vector de ataque de phishing y malware perpetrados por enlaces. El atacante no necesita vulnerar WhatsApp, sólo debe convencer al usuario de abrir un enlace, descargar un archivo, compartir un código o hacer una transferencia.
¿Como gestionar estos riesgos?
Resulta oportuno sugerir una matriz de gestión de riesgo que se estructure con base en funciones elementales como Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar, que sirva para priorizar y comunicar riesgos de ciberseguridad aplicado al usuario.
-Gobernar: el usuario debería definir y establecer una regla personal: "WhatsApp nunca será canal suficiente para validar identidad, pagos, claves, códigos o documentación sensible".
-Identificar: elegir e identificar cuidadosamente qué datos revela el usuario en el @nombredeusuario elegido, evitando nombre real, profesión, ciudad, empresa, marca personal o cualquier otro dato que permita identificarlo.
-Proteger: activar la función "username key", verificación en dos pasos, clave de usuario, privacidad reforzada y bloqueo biométrico.
-Detectar: sospechar de cambios de usuario, urgencias, pedidos de dinero, enlaces, archivos, códigos o mensajes fuera de contexto.
-Responder: ante la primera duda, cortar la conversación y validar por canal alternativo, mediante una llamada, mensaje al contacto guardado, sitio oficial o mediante la presencialidad.
-Recuperar: si hubo algún intento de fraude, guardar capturas, reportar la cuenta, avisar contactos, cambiar credenciales y denunciar.
Algunas recomendaciones de ciberhigiene
Las siguientes son algunas recomendaciones de ciberhigiene para aquel usuario que por decisión o necesidad vaya a usar esta nueva funcionalidad. Sería conveniente reservar tu nombre cuanto antes, aunque no lo publiques. No uses un identificador que revele DNI, fecha de nacimiento, ciudad exacta, matrícula, cargo, profesión, empresa, región en la que vives o información sensible.
Evitá reutilizar exactamente el mismo usuario de todas tus redes, salvo que seas una marca o profesional y puedas gestionar ese riesgo.
Activá la verificación en dos pasos de WhatsApp y utiliza la "username key" si está disponible.
Configurá adecuadamente la privacidad para permitir que tu imagen de perfil, última vez, estado y grupos solo esté disponible para tus contactos.
No aceptes como auténtico a nadie solo por el nombre de usuario.
Nunca compartas códigos de verificación, claves, tokens, documentos o datos bancarios por una conversación iniciada por @nombredeusaurio.
Verificá pagos, turnos, pedidos profesionales o instrucciones sensibles por otro canal alternativo.
Tiempo de descuento
En las vísperas de lo que puede ser una fiesta total o un páramo de desazón, gestado, causado y amplificado por ese artefacto cultural convertido en sagrado deporte global que es el fútbol; la conclusión que emerge de estas deshilvanadas líneas consiste en que nos encontramos ante una nueva batalla por la privacidad, cuyo eje se centra en tomar decisiones para elegir herramientas tecnológicas con base en las respuestas a cuatro preguntas: ¿Puedo usarlo sin revelar quién soy? ¿Cuánto sabe sobre mí y mis relaciones? ¿Puede construir mi grafo social? ¿Cuánto me expone?
En la antesala de una nueva misa llena de mística futbolera, las respuestas inteligentes a dichos interrogantes definirán si en el ciberespacio nos defendemos con la pelota, atacamos y pasamos o nos embocan y a las duchas.
(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Titular de las Cátedras "Dimensión jurídica de la blockchain y los activos digitales", "Aspectos legales de las Ciberseguridad" y Miembro del Consejo Consultivo del Centro de Estudios de Derecho Digital "Palermo E-Law" de la Universidad de Palermo en Argentina. Director del "Cyber Quantum Law Lab" de Aranzadi La Ley de España. Investigador. Autor de obras individuales y coautor en obras colectivas, publicadas en Argentina, Latinoamérica y Europa. Miembro admitido por la Asamblea General de Naciones Unidas en el Comité Ad Hoc para la elaboración de una "Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos" de la ONU. Integrante de la "Digital Assets Round Table Experts (D.A.R.T.E.)" conformada por el International Institute for the Unification of Private Las (UNIDROIT) y la Unión Europea. Miembro del Comité Público del Instituto de Defensa Cibernética Do Brasil. Profesor invitado en universidades de Panamá, Perú, Chile, Colombia, México, Ecuador y España, entre otros. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Analista en Ciberseguridad.
COMPARTE TU OPINION | DEJANOS UN COMENTARIO
Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales.
El próximo sábado 25 de julio, la institución azuleña recibirá una fecha del Circuito Internacional "Golf por los Caminos del Vino", una competencia que reúne a jugadores de doce países y que otorgará a los ganadores de cada categoría la clasificación a la Gran Final Latinoamericana. El club, que este año celebró su 40° aniversario, volverá a posicionarse como escenario de un evento de jerarquía internacional.
13 de julio de 2026
13 de julio de 2026
Un análisis sobre el impacto del mobbing y el ciberacoso en los ámbitos público y privado, las herramientas del Convenio 190 de la OIT para demostrar el maltrato mediante pruebas digitales y las normativas vigentes para sancionar los abusos y proteger la integridad del empleado.
13 de julio de 2026
13 de julio de 2026
12 de julio de 2026
12 de julio de 2026
12 de julio de 2026
12 de julio de 2026
12 de julio de 2026
11 de julio de 2026
11 de julio de 2026
11 de julio de 2026
10 de julio de 2026
9 de julio de 2026