Como muchos otros, hace poco decidí abandonar la plataforma X (antes Twitter) y unirme a Bluesky. Durante la transición, comencé a seguir a muchas de las personas que ya seguía en X. El Día de Acción de Gracias, me sorprendió recibir un mensaje privado de Will Knight, colega periodista especializado en IA de Wired. O eso pensé. Empecé a dudar cuando esta persona mencionó ser de Miami, cuando en realidad Knight es del Reino Unido. El nombre de la cuenta era casi idéntico al del verdadero Will Knight, y el perfil utilizaba su misma foto.

Entonces empezaron a llegar más mensajes. Paris Marx, un conocido crítico tecnológico, me envió un mensaje directo para preguntarme cómo me iba. "Por aquí, las cosas van espléndidamente", me respondió. Pero pronto volvió a parecer extraño. "¿Cómo van tus operaciones?", preguntó el falso Marx. Esta cuenta era mucho más elaborada que la de Knight: había replicado meticulosamente cada uno de los tuits y retuits de la cuenta real de Marx en las últimas semanas.

Ambas cuentas fueron finalmente eliminadas, pero no antes de intentar convencerme de crear una cartera de criptomonedas y una cuenta en un "pool de minería en la nube". Knight y Marx me confirmaron que esas cuentas no eran suyas y que llevaban semanas lidiando con perfiles falsos que suplantaban su identidad.

No son casos aislados. Sheera Frankel, periodista tecnológica del New York Times, y Molly White, investigadora y crítica del mundo de las criptomonedas, también han sido víctimas de suplantación de identidad en Bluesky, probablemente con fines de estafa. Este patrón coincide con los hallazgos de Alexios Mantzarlis, director de la Iniciativa de Seguridad y Confianza de Cornell Tech, quien revisó manualmente las 500 cuentas con más seguidores en Bluesky. De las 305 que pertenecían a personas identificables, al menos 74 habían sido suplantadas por una o más cuentas falsas.

En los últimos meses, la plataforma ha tenido que adaptarse a una avalancha de millones de nuevos usuarios, muchos de ellos llegados tras abandonar X en protesta por la gestión de Elon Musk. Desde septiembre, la base de usuarios de Bluesky se ha duplicado, pasando de 10 a más de 20 millones. Esta rápida oleada —y la llegada inevitable de estafadores— ha hecho que Bluesky aún esté intentando ponerse al día.

"Estas cuentas me bloquean tan pronto como se crean, así que al principio no me doy cuenta de que existen", comenta Marx. Tanto él como White describen un patrón frustrante: cada vez que una cuenta es eliminada, surge otra. Además, la investigadora asegura haber vivido una situación similar en X y TikTok.

Un mecanismo que ayudara a verificar que las personas son realmente quienes dicen ser sería muy útil. Antes de que Musk asumiera el control de la plataforma, los empleados de X verificaban los periodistas y políticos con un tic azul junto a sus nombres. De esta forma, los usuarios podían identificar qué fuentes de noticias eran confiables. Sin embargo, cuando Musk tomó las riendas, eliminó el antiguo sistema de verificación y ofreció el tic azul a todos los suscriptores de pago. 

Las constantes estafas relacionadas con criptomonedas han llevado a muchos a pedir que Bluesky implemente un sistema de verificación similar al que existía en Twitter. Algunos usuarios, como el periodista de investigación Hunter Walker, han iniciado sus propias iniciativas para verificar a los periodistas. Sin embargo, las opciones de autoverificación en la plataforma son limitadas. Por defecto, los nombres de usuario en Bluesky terminan con el sufijo bsky.social. La plataforma recomienda que las organizaciones de noticias y las personas reconocidas verifiquen su identidad utilizando sus propios sitios web como nombre de usuario. Por ejemplo, algunos senadores de EE UU han verificado sus cuentas usando el sufijo senate.gov. Sin embargo, este método no es infalible, ya que solo confirma la afiliación a un sitio web, pero no la identidad real de la persona.

Bluesky no ha respondido a la petición de entrevista de MIT Technology Review, pero su equipo de seguridad publicó una actualización sobre su política contra la suplantación de identidad. En ella, la plataforma explicó que adoptará un enfoque más firme para eliminar las cuentas falsas y aquellas que se dedican al handle-squatting. Es decir, ocupar nombres de usuario populares sin derecho a ello. También aseguró que ha cuadruplicado su equipo de moderación para actuar más rápidamente ante los casos de suplantación. A pesar de esto, parece que aún le cuesta mantener el ritmo para realizar una gestión adecuada. "Seguimos teniendo un gran retraso en los informes de moderación debido al aumento de nuevos usuarios, como mencionamos antes, aunque estamos avanzando", señaló la empresa.

La naturaleza descentralizada de Bluesky hace que expulsar a los suplantadores de identidad sea un problema más difícil de resolver. Competidores como X y Threads dependen de equipos centralizados dentro de la empresa que moderan los contenidos y estos comportamientos indeseados. Sin embargo, Bluesky se basa en el protocolo AT, una tecnología descentralizada de código abierto que permite a los usuarios controlar el tipo de contenido que ven y crear comunidades en torno a un tema concreto. La mayoría de la gente se registra en Bluesky Social, la red social principal, cuyas directrices comunitarias prohíben la suplantación de identidad. Sin embargo, Bluesky Social es sólo uno de los servicios o "clientes" que la gente puede utilizar, y otros servicios tienen sus propias prácticas y condiciones de moderación. 

Este enfoque ha permitido que, hasta ahora, Bluesky no necesite un gran número de moderadores de contenido para eliminar comportamientos indeseados, ya que se apoya en un modelo impulsado por la comunidad. Sin embargo, según Wayne Chang, fundador y CEO de SpruceID, una empresa especializada en identidad digital, esto podría cambiar en el futuro: "Para que estas aplicaciones funcionen, se requiere cierto grado de centralización". A pesar de las directrices comunitarias, resulta complicado evitar que los usuarios creen cuentas falsas. Por eso, al intentar eliminar las cuentas sospechosas, Bluesky se encuentra atrapada en un juego de gato y ratón. 

Tomar medidas firmes contra la suplantación de identidad es esencial, ya que pone en riesgo la credibilidad de Bluesky. "Es completamente legítimo que los usuarios digan: ‘Oye, estos estafadores me están acosando’. ¿De verdad quieres que tu marca se vea afectada por esto? ¿No hay nada que podamos hacer al respecto?", explica Chang.

Según Francesco Pierri, profesor adjunto en el Politécnico de Milán e investigador de Bluesky, es urgente encontrar una solución para evitar que los atacantes exploten el código abierto de la plataforma y lancen campañas de spam o desinformación a gran escala. Su equipo descubrió que, desde que Bluesky se abrió al público a principios de este año, ha incrementado el número de cuentas fraudulentas.

Bluesky admite que sus mecanismos actuales no son suficientes. En una publicación, la reconoce haber recibido comentarios de usuarios que solicitan más vías de verificar su identidad, más allá de la validación de dominios, y asegura que está "explorando opciones adicionales para mejorar la verificación de cuentas".

Además, en una transmisión en vivo a finales de noviembre, Jay Graber, CEO de Bluesky, comentó que la plataforma estaba evaluando la posibilidad de convertirse en un proveedor de verificación. Sin embargo, debido a su enfoque descentralizado, también permitiría que otros ofrecieran sus propios servicios de verificación de usuarios. "Los usuarios podrán decidir si confían en nosotros, en la verificación del equipo de Bluesky, o si prefieren optar por una verificación propia", explicó Graber.

No obstante, según Molly White, al menos Bluesky parece "tener voluntad de moderar el contenido de su plataforma". "Me gustaría ver un enfoque más proactivo que no me obligara a hacer todos estos informes", añade la investigadora

Por su parte, Marx expresa su preocupación: "Solo espero que nadie caiga realmente en la trampa ni sea víctima de estafas relacionadas con criptomonedas".