El despliegue de Bre-B en Colombia, el sistema de pagos inmediatos que permite transferencias en tiempo real usando “llaves”, llegó este año con la promesa de aumentar la inclusión financiera. Pero también reactiva un riesgo que ya mostró sus consecuencias en otros países: el fraude por SIM Swap, una técnica que permite a delincuentes secuestrar líneas telefónicas y, con ellas, el control de cuentas bancarias y billeteras digitales.
La advertencia la hace Fabio Assolini, director del Equipo Global de Investigación y Análisis de la empresa rusa de seguridad informática Kaspersky. Según contó a EL COLOMBIANO, él mismo fue víctima directa de ese tipo de ataque en 2019. “Hoy es algo ya conocido. El criminal activa tu número con otra SIM card y empieza a recibir todos tus SMS. Lo que le interesa no son las llamadas, sino los códigos”, explicó.
Ese mecanismo aprovecha una debilidad estructural: los mensajes de texto, o SMS, fueron concebidos en los años setenta y puestos en funcionamiento a mediados de los 90, por lo que no fueron diseñados con criterios modernos de ciberseguridad. Pese a ello, sigue siendo uno de los principales canales de comunicación y autenticación para servicios financieros en Colombia.
“Los códigos OTP (Contraseñas de un Solo Uso) que llegan por SMS son inseguros, pero se siguen usando porque el SMS es barato y llega a cualquier dispositivo, incluso sin internet”, señaló el experto.
¿Cómo se dan estos ataques?
El ataque comienza cuando el criminal logra que una empresa de telefonía active el número de la víctima en una nueva tarjeta SIM, lo cual puede darse de dos formas: la más común en América Latina es el “soborno a empleados de empresas de telecomunicaciones”, según el vocero de Kaspersky.
La segunda, más grave, consiste en comprometer directamente la infraestructura de la operadora mediante malware instalado en los equipos de sus trabajadores. “Una vez que el criminal tiene acceso al sistema, puede hacer los cambios él mismo. Y ese acceso se vende como servicio en foros clandestinos”.
Con la línea secuestrada, el atacante recibe los códigos de verificación enviados por bancos o plataformas de pago. En sistemas como Pix, en Brasil (similar al Bre-B que se usa en Colombia), muchos usuarios registran su número de celular como llave, lo que permite trasladar ese código único a otra cuenta. “El criminal registra el número en una cuenta controlada por una mula de lavado y confirma el cambio con el código recibido por SMS. Desde ahí, todos los pagos llegan al delincuente”, agregó Assolini.
Además de Brasil, otros países han vivido este problema. En África, los pagos móviles llevan años operando y hoy los usuarios enfrentan olas de SIM Swap. En Mozambique, según relató el especialista, la solución llegó con una acción coordinada entre bancos y operadoras: “Adoptaron controles adicionales y los casos bajaron hasta cero. No fue magia, fue coordinación”.
Lea también: ¿Cómo protegerse del mercado del cibercrimen? Alerta por deepfakes y llamadas falsas que se comercializan en Colombia
En Colombia, el riesgo sería especialmente alto porque Bre-B se lanza en un ecosistema donde el celular es la principal llave digital. Para Assolini, la solución ideal sería eliminar el SMS como factor de autenticación, aunque reconoce las barreras. “La banca lo usa porque es universal y barato. Pero hay alternativas, como combinar SMS con otro canal, por ejemplo los correos electrónicos, para crear un doble factor real”.
El experto es claro en señalar responsabilidades. “Al final, no es culpa del usuario. La mayor responsabilidad recae en las operadoras. En 2025 no es aceptable que no sepan qué empleado hizo un cambio en el sistema”, dijo al llamar la atención sobre el riesgo latente en la región ante la falta de ajustes de seguridad, lo que puede convertirse en una puerta abierta al delito.
Regístrate al newsletter