Acabo de darme cuenta de lo enorme que es este movimiento de privacidad de M-Pesa para la economía digital de Kenia. El Banco Central finalmente aprobó el enmascaramiento de números para la plataforma, y honestamente, ya era hora.

Piénsalo: cada transacción de M-Pesa ha estado exponiendo los números de teléfono de los usuarios a quien recibe el pago. Eso son 37 millones de personas dejando básicamente una huella de datos con cada compra de combustible, cada viaje en boda, cada pago en supermercado. Esos números terminan siendo recolectados, vendidos o utilizados por estafadores. Ha sido una pesadilla en términos de seguridad.

La nueva función de enmascaramiento de números cambia ese juego. Cuando envías dinero de persona a persona, tu número completo se oculta parcialmente. Si el destinatario quiere verlo, tiene que solicitar acceso—y tú literalmente puedes decir que no. Lo mismo para los comerciantes que usan Till o Paybill. Ya no podrán ver tu nombre completo ni tu número móvil. Es una solución bastante limpia para un problema que ha estado drenando dinero de las cuentas durante años.

¿Por qué importa esto? Porque el fraude ha sido brutal. El año pasado, la DCI desmanteló una banda de estafadores en Mombasa donde los criminales gastaban más de 500,000 KES en aplicaciones de suplantación de identidad solo para hacerse pasar por agentes bancarios. Recopilaban esos números de M-Pesa expuestos en transacciones, llamaban a las víctimas fingiendo ser servicio al cliente y extraían PINs y contraseñas. Juego terminado para la cuenta de la víctima.

El fraude por cambio de SIM (SIM-swap) ha sido aún peor. Los estafadores engañan a los agentes de telecomunicaciones para que muevan el número de la víctima a una nueva SIM, bloqueando al dueño real. Una vez dentro, restablecen los PINs de M-Pesa, interceptan OTPs y vacían las cuentas en minutos. Les ha pasado a miles.

Los reguladores han estado vigilando esto de cerca. La oficina del Comisionado de Protección de Datos vio que las compañías financieras y de seguros representaron el 30% de las determinaciones en 2024, con más de 5,000 quejas presentadas. No es un número pequeño. El CBK y la Autoridad de Comunicaciones han estado impulsando un registro de SIM más estricto y verificaciones más fuertes desde hace tiempo.

Esta aprobación del enmascaramiento de números es básicamente que el regulador dice: las empresas deben minimizar los datos personales que circulan. Es una respuesta directa a cuánto daño se ha causado a través de la exposición de información. Para la economía móvil de Kenia, donde tu número de teléfono ES tu cuenta bancaria en muchos aspectos, esto representa un cambio importante en cómo funciona la privacidad digital.

Interesado en ver qué tan rápido Safaricom implementa esto y si otras plataformas siguen su ejemplo.