Cabecera blog ciberseguridad

Nombres de usuario en WhatsApp: Un mecanismo para garantizar la privacidad… ¿y la seguridad?

Los nombres de usuario en WhatsApp van a tener un impacto a nivel de ciberseguridad

Meta ha lanzado una nueva funcionalidad: los nombres de usuario en WhatsApp, para permitir ocultar los números de teléfono de las personas y las empresas

3.000 millones de personas usan WhatsApp, la aplicación de mensajería instantánea de Meta, pera enviar mensajes y hacer videollamadas con familiares, amigos, compañeros de trabajo, clientes, socios, empresas…

La relevancia de WhatsApp en las comunicaciones que mantenemos tanto en el ámbito personal como en el empresarial, nos obliga a poner el foco en dos cuestiones críticas de esta era: la privacidad de nuestros datos personales, como nuestro número de teléfono, y la seguridad frente a fraudes digitales o ciberataques.

Sin ir más lejos, hace unos días se hizo pública una campaña de phishing por WhatsApp en la que los actores maliciosos usaban cuentas de WhatsApp previamente comprometidas para enviar a sus contactos documentos que parecían ser facturas o reportes financieros, pero que al abrirse activaban la descarga de un programa que permitía a los atacantes acceder a los dispositivos de las víctimas.

Este caso no es anecdótico, sino que evidencia la importancia que le dan los actores maliciosos a WhatsApp de cara a desplegar técnicas de ingeniería social.

Pues bien, Meta viene de anunciar la puesta en marcha de dos nuevas funcionalidades para fortalecer la privacidad y la seguridad: los nombres de usuario en WhatsApp y las claves de nombres de usuario.

Mediante los nombres de usuario en WhatsApp, la compañía busca salvaguardar la privacidad de los números de teléfono de los usuarios. Así, en la aplicación, en vez de mostrarse los números, se mostrarán los nombres de usuario.

Mientras que la creación de claves de nombres de usuario tiene como fin establecer un filtro a la hora de recibir mensajes por WhatsApp. De tal forma que para iniciar una conversación con un usuario con clave será necesario no solo saber su nombre de usuario exacto, sino que, además, se deberá contar con la clave.

A continuación, vamos a resolver las principales dudas en torno a los nombres de usuario en WhatsApp y las claves de usuario, dos funcionalidades que la compañía implementará de forma escalonada los próximos meses.

¿Cómo funcionan los nombres de usuario en WhatsApp?

Hasta ahora, si quieres escribirle a alguien por WhatsApp necesitas saber su número de teléfono. Una vez que estén implementados los nombres de usuario en WhatsApp esto dejará de ser así.

Se podrá seguir encontrando a una persona en la aplicación si se dispone de su número, pero, además, se podrá iniciar una conversación con alguien si se conoce su nombre de usuario exacto. Es decir, que a diferencia de, por ejemplo, Telegram, WhatsApp no habilitará un buscador de nombres de usuario en WhatsApp, sino que, para escribirle a un usuario, sea una persona o una empresa, es necesario saber su nombre.

¿Cuál es el objetivo de los nombres de usuario en WhatsApp? Evitar que, por ejemplo, en grupos de WhatsApp estén visibles los números de teléfono de los usuarios. Esta cuestión es relevante ante la expansión de los grupos y el hecho de que se emplean no solo en relaciones personales, sino también en ámbitos profesionales, empresariales, estudiantiles o de ocio.

Igualmente, gracias a la implementación de los nombres de usuario en WhatsApp, una persona puede facilitar su nickname para poder entablar conversaciones con otras personas u organizaciones sin tener que desvelar su número de teléfono.

¿Cómo es el proceso de creación de los nombres de usuario en WhatsApp?

Habida cuenta del enorme volumen de usuarios que tiene WhatsApp, Meta no solo ha anunciado la implementación paulatina de esta nueva funcionalidad, sino que, además, ha abierto la reserva de nombres de usuario en WhatsApp.

Basta con escribir el nombre que se desea reservar y, si no está reservado, WhatsApp permite completar el proceso.

Por lo tanto, ciudadanos y empresas ya pueden reservar sus nombres de usuario y, una vez que esté disponible su uso, WhatsApp les informará de que ya están activos.

¿Se puede usurpar el nombre de usuario de una empresa, organización o figura pública?

Una de las principales dudas que ha generado la puesta en marcha de los nombres de usuario en WhatsApp es la suplantación de la identidad de organizaciones o personas de interés apoderándose de sus nombres de usuario en redes sociales.

Por ejemplo… ¿una persona puede quedarse con el nickname tarlogicsecurity, que es nuestro nombre en Instagram? Desde Meta señalan que no. Aunque alguien reservase ese nombre antes que nosotros, al ser el nickname de nuestra compañía en Instagram, Meta nos lo adjudicaría si lo solicitásemos, aunque fuese a posteriori.

Este mecanismo es clave a la hora de prevenir la suplantación de identidades tanto de compañías e instituciones como de personas.

Además, la compañía también ha indicado que algunos nombres de empresas, gobiernos y figuras públicas ya han sido reservados por defecto y que, por lo tanto, no pueden ser solicitados por otras personas.

Los nombres de usuario en WhatsApp contribuyen a proteger la privacidad de las personas

¿Se podrán enviar WhatsApps a personas o empresas solo conociendo su nickname en Instagram?

La asociación entre los nicknames de las redes sociales y los de WhatsApp tiene una derivada que no podemos obviar: es posible iniciar conversaciones por WhatsApp con empresas u organizaciones sin saber el número de teléfono de sus cuentas, basta con conocer sus nicknames en Instagram.

Esto implica que un profesional independiente que usa WhatsApp con fines empresariales puede recibir mensajes de personas que no son clientes o proveedores. O que una figura pública puede recibir cientos de WhatsApp torpedeando el uso de la aplicación para comunicarse con sus contactos.

¿Qué son las claves de nombres de usuario en WhatsApp y por qué pueden ser fundamentales para prevenir ataques de ingeniería social?

Para prevenir este riesgo, Meta ha desarrollado una funcionalidad asociada a los nombres de usuario en WhatsApp: las claves de nombres.

¿En qué consisten? Si un usuario crea una clave para su nombre, nadie podrá escribirle a menos que tenga:

  1. Su nombre de usuario exacto.
  2. La clave de su nombre de usuario.

Esto implica que, aunque se pueda conocer el nickname de una empresa o de una persona porque es el mismo que tiene públicamente en Instagram, no se le podría escribir, salvo que hubiese facilitado previamente su clave.

Es decir, que las claves de nombres de usuario en WhatsApp permiten establecer una barrera frente a personas desconocidas y, también, frente a las campañas de ingeniería social y los fraudes por WhatsApp.

¿Qué problema podría presentar el uso de claves de usuario? Limita de forma notable las interacciones a través de esta aplicación, lo que puede resultar perjudicial en el ámbito empresarial y profesional.

Por ejemplo, pensemos en un restaurante que gestiona sus reservas a través de WhatsApp. Los clientes potenciales no podrían escribirle salvo que tuviesen su clave. Lo mismo sucedería en un despacho de abogados que tiene habilitado el WhatsApp para captar clientes y recopilar la información sobre sus casos. Los ejemplos son infinitos. En el ámbito empresarial, el uso de claves de usuario en WhatsApp podría dificultar su uso como una herramienta de comunicación y negocio clave.

¿Cómo podrían los actores maliciosos adaptarse al nuevo escenario que abren los nombres de usuario en WhatsApp?

Es evidente que los nombres de usuario en WhatsApp van a permitir salvaguardar la privacidad de nuestros números de teléfono.

Pero ello no va a ser óbice para que los actores maliciosos puedan seguir enviando campañas de phishing por WhatsApp empleando los números de teléfono conseguidos de forma ilegítima en brechas de seguridad o ataques de phishing. Puesto que, aunque una persona cuente con un nombre de usuario, si se dispone de su número de teléfono va a ser posible iniciar una conversación.

Más allá de esto, es importante prestar atención a los nuevos escenarios que se podrían abrir para que los actores maliciosos hagan uso de técnicas de ingeniería social.

Sobre todo, si tenemos en cuenta la vinculación entre el nombre de usuario de una persona en Instagram o Facebook y su nombre de usuario en WhatsApp.

¿Por qué? Por ejemplo, si no se tiene activada la clave de nombre de usuario, cualquiera podría buscar a un usuario en WhatsApp si conoce su usuario de Instagram y escribirle.

Si además tenemos en cuenta que también es posible consultar en Instagram a qué usuarios sigue una persona y quién la sigue a ella, podría suplantarse su identidad creando una cuenta con un nombre de usuario prácticamente idéntico al suyo y una foto de perfil sacada también de su cuenta de IG y emplearla para intentar engañar a sus seguidores.

Los riesgos para las empresas

En el ámbito empresarial, se corre el riesgo de que se suplante la identidad de una compañía y se lancen campañas fraudulentas por WhatsApp a sus seguidores que, en muchos casos, serán también sus clientes.

Por ejemplo, pensemos en una empresa de retail. Los actores maliciosos crean un nombre de usuario en WhatsApp con el nombre de la compañía y añadiéndole el año de su fundación. Nada hace sospechar que no sea real. Luego envían a todos sus seguidores cuyos nombres de usuario en WhatsApp sean iguales a los de Instagram un mensaje con una oferta especial a la que pueden acceder a través de un link.

La página en la que aterrizan parece ser real así que hacen clic en ella y de esta forma descargan un malware o introducen sus credenciales legítimas para acceder al área de cliente de la empresa o, incluso, llegan a realizar pagos fraudulentos creyendo que están comprando productos.

Es evidente que esta clase de amenaza se puede cortar de raíz mediante las claves de nombre de usuario. Sin embargo, como ya apuntamos, también es probable que no pocas personas u organizaciones decidan no crear dichas claves ya que suponen una barrera a la hora de poder recibir WhatsApps de nuevos clientes, socios, compañeros de trabajo y cualquier otra persona con la que aún no se ha interactuado por la aplicación.

Como sucede ante cualquier innovación tecnológica, los actores maliciosos se van a devanar los sesos para desarrollar nuevas técnicas, tácticas y procedimientos adaptadas a la funcionalidad de los nombres de usuario en WhatsApp con el objetivo de seguir realizando ataques de ingeniería social contra personas y empresas.

De ahí que los expertos en ciberinteligencia e ingeniería social vayan a jugar un rol clave en la investigación sobre las campañas que se sigan lanzando en WhatsApp, la lucha contra la suplantación de identidades de empresas y personas de interés y la formación y concienciación de las personas.

Las empresas necesitan incrementar su nivel de protección frente a los fraudes

¿Qué pueden hacer las empresas y las personas de interés frente a la suplantación de su identidad?

La suplantación de la identidad de las organizaciones y las figuras públicas no solo supone una amenaza para las víctimas de las campañas fraudulentas, sino también para las compañías, instituciones y personas cuya identidad es utilizada con fines espurios. Puesto que estas acciones generan un daño notable a la imagen de una marca o una figura pública y menoscaban la confianza de los clientes y ciudadanos.

Pues bien, las compañías, instituciones y figuras públicas pueden recurrir a servicios de investigación y análisis del fraude para que:

  • Lleven a cabo una detección temprana de suplantaciones de identidad tanto en WhatsApp como en otros medios.
  • Neutralicen las acciones de fraude con la máxima celeridad.
  • Pongan en marcha medidas de mitigación de las amenazas.
  • Diseñen medidas de prevención adaptadas a los cambios que se producen en las técnicas, tácticas y procedimientos de los actores maliciosos.
  • Contribuyan a calcular el daño económico y reputacional sufrido por las campañas de fraude.
  • Aporten pruebas para sustentar la estrategia jurídica que ponga en marcha la compañía, institución o figura pública frente a los delincuentes.

¿Cómo se pueden proteger las organizaciones frente a los ataques de ingeniería social por WhatsApp?

Para las empresas no solo es clave combatir la suplantación de su identidad, sino que también es crítico prevenir los ataques de ingeniería social que puedan lanzarse contra ellas, sus directivos y el conjunto de sus plantillas.

Así, de forma sistemática se registran campañas de ingeniería social dirigidas expresamente a profesionales y empresarios. ¿Con qué fin? Conseguir engañarlos para que realicen o autoricen pagos, faciliten sus credenciales de acceso a software corporativo o descarguen archivos infectados con malware.

Por eso, ante el cambio que supone la implementación de los nombres de usuario en WhatsApp es fundamental que las empresas realicen de forma recurrente test de ingeniería social adaptados a las últimas novedades sobre técnicas, tácticas y procedimientos maliciosos.

Esta clase de pruebas simulan ataques de ingeniería social reales para comprobar si una organización es resiliente frente a ellos y formar y concienciar a trabajadores y directivos.

Si un usuario de WhatsApp con un nombre coherente con el de un proveedor y que tiene una imagen de este envía al WhatsApp de una empresa o de su responsable de facturación una factura… ¿Se procedería a descargar y abrir en un ordenador corporativo?

Es fundamental contemplar esta clase de escenarios para prevenir intentos de fraudes e incidentes de seguridad.

En definitiva, la implantación de los nombres de usuario en WhatsApp profundiza en una cuestión clave de esta era: la protección de los datos personales, en este caso, de uno tan sensible como nuestro número de teléfono. Pero también abre un nuevo escenario con respecto a cómo se puede iniciar una conversación con una persona en WhatsApp.

Por un lado, la posibilidad de establecer claves de nombres de usuario permite limitar de forma notable la recepción de mensajes, lo que supone una relevante medida a nivel de seguridad, pero que puede constituir una traba para el establecimiento de comunicaciones en el ámbito empresarial, profesional y personal.

Por otro lado, la asociación entre los nicknames en redes sociales y en WhatsApp dificulta la suplantación de identidades, pero abre la puerta a que, si no se cuenta con una clave de nombre de usuario, cualquiera pueda enviar un WhatsApp a una empresa o una persona sin necesidad de conocer su número de teléfono, solo disponiendo del nickname en Instagram.

Además, como cualquier cambio tecnológico, la adopción de los nombres de usuario en WhatsApp nos exigirá monitorizar cómo modifican los actores maliciosos sus técnicas, tácticas y procedimientos para adaptarse a este nuevo escenario y, así, seguir combatiendo la suplantación de identidades y las campañas fraudulentas por WhatsApp.