Colombia avanza en un entorno económico retador, marcado por tensiones globales, impacto arancelario y un panorama fiscal complejo. Sin embargo, el mayor punto de alerta para el sector financiero está en la rápida digitalización de las transacciones y el riesgo asociado a nuevos sistemas de pago inmediato como Bre-B. Así lo advirtió Alejandro Vera, vicepresidente Técnico de Asobancaria, quien señaló El 82% de las operaciones financieras en Colombia ya se realizan por canales digitales, frente al 68% en 2019. Ese crecimiento, aunque positivo, trae riesgos relevantes.

La preocupación de Asobancaria se basa en lo ocurrido en mercados que ya avanzaron hacia esquemas de pagos inmediatos. "Como ocurrió en Brasil, un aumento en la digitalización puede venir acompañado de un incremento en el fraude", indicó Vera.

El caso PIX: el mayor ataque cibernético de la historia financiera de Brasil

La preocupación de Asobancaria se basa en lo ocurrido en mercados que ya avanzaron hacia esquemas de pagos inmediatos. Brasil es el mejor ejemplo con PIX —el sistema en el que se inspira Bre-B—, pues la acelerada digitalización abrió la puerta a riesgos de otra escala. En julio de 2025, Brasil enfrentó el mayor ataque cibernético de su sector financiero, que resultó en el desvío de cientos de millones de reales. El blanco fue un proveedor integrador del sistema PIX, pieza clave que conecta a bancos y fintech con el Banco Central. Según medio de ese país, un operador de TI de un socio tecnológico permitió el acceso indebido a los ciberdelincuentes, quienes usaron credenciales legítimas compradas en el mercado negro. El objetivo final fueron las cuentas de reserva de múltiples entidades financieras, una decisión que evidenció conocimiento profundo del sistema. El monto sustraído ascendió a 130 millones de dólares, convertido con rapidez a criptomonedas para dificultar el rastreo, fragmentar los fondos entre múltiples billeteras y facilitar la salida internacional del dinero. El ataque paralizó temporalmente operaciones PIX en bancos grandes, regionales, fintechs y proveedores de pago, demostrando la vulnerabilidad que genera depender de un solo punto de interconexión.

Lecciones para Colombia: vulnerabilidades que podrían replicarse con Bre-B

Rafael Felipe Gómez, especialista en derecho comercial, explicó que la adopción de sistemas de pago inmediato basados en "llaves", como Bre-B, abre nuevas oportunidades para el fraude. Entre los riesgos destacan: Suplantación y robo de credenciales: delincuentes pueden obtener datos mediante phishing, ingeniería social o malware para autorizar transferencias sin consentimiento del titular. Fraudes inducidos por engaño: las víctimas son convencidas de realizar transferencias, generalmente irreversibles, tras recibir mensajes o llamadas que aparentan provenir del banco. Registro indebido de "llaves": terceros pueden inscribir cédulas, correos o números telefónicos que no les pertenecen, o manipularlos con caracteres especiales para confundir a los usuarios. SIM swapping: duplicación de tarjetas SIM para interceptar mensajes de verificación y ejecutar transferencias fraudulentas. Vulnerabilidades del ecosistema: como mostró Brasil, basta una falla en un proveedor, un empleado comprometido o una brecha operativa para desviar fondos masivamente. Un entorno propicio para el delito: la acelerada digitalización en Latinoamérica, sumada al uso intensivo de apps y banca móvil, crea condiciones ideales para el fraude si los sistemas de prevención no avanzan al mismo ritmo.

El método de estafa más común: envío de enlaces falsos

Según el Banco de la República, la modalidad más frecuente de fraude es el envío de un enlace por mensaje de texto, por lo que recordó que no es necesario aceptar ninguna transacción realizada con llaves a través de SMS, correos electrónicos, WhatsApp o cualquier otro medio. El usuario únicamente recibirá una confirmación automática de la transferencia, sin necesidad de ejecutar acciones adicionales. No debe responder mensajes ni abrir enlaces enviados por terceros. Asimismo, Bre-B opera dentro de la aplicación móvil de cada entidad financiera, por lo que el sistema no tiene una app propia. El Emisor también recordó que Bre-B no tiene presencia en redes sociales. Ni el sistema ni las llaves cuentan con perfiles en plataformas como Instagram, X o TikTok, y tampoco existe una página web propia. Toda la información oficial está disponible únicamente en el sitio del Banco de la República y en las páginas de las entidades financieras que participan en el ecosistema.

El llamado de Asobancaria: seguridad, estándares unificados y educación al usuario