El nuevo sistema para pagos interbancarios Bre-B promete transferencias en segundos y un menor tiempo de espera entre transacciones, pero la masiva inscripción de “llaves” ya está siendo aprovechada por ciberdelincuentes para campañas de phishing vía mensajes SMS y páginas web clonadas, con las que capturan credenciales y vacían cuentas, según alertas del propio Banco de la República y especialistas en seguridad digital.
Bre-B es el modelo de interoperabilidad de pagos inmediatos impulsado por el Banco de la República para que cualquier persona o comercio en Colombia pueda enviar y recibir dinero en segundos entre diferentes entidades financieras y billeteras.
El regulador ha precisado que las llamadas “llaves” (identificadores como correo electrónico, número telefónico, número de documento o un código alfanumérico) sirven para localizar una cuenta y no son, en ningún caso, la contraseña de acceso a la banca. Según un comunicado de la entidad financiera, el registro de llaves es gratuito y debe hacerse únicamente desde la aplicación o la página web de la entidad financiera.
Pese a esas garantías institucionales, investigadores documentan ya campañas activas que explotan la novedad. Desde el laboratorio de ciberseguridad Kaspersky informaron a EL COLOMBIANO que han detectado más de diez dominios vinculados a esquemas de suplantación visual: mensajes con enlaces cortos que redirigen a páginas que replican la interfaz de bancos reales y solicitan credenciales o códigos de verificación.
“Se reproduce la suplantación visual y se obliga a la víctima a ingresar credenciales o códigos”, dijo Leandro Cuozzo, analista de Kaspersky para América Latina. La empresa añadió que los atacantes aplican filtros de geolocalización para que la estafa funcione principalmente desde dispositivos móviles en Colombia.
La técnica de phishing con páginas clonadas no es novedosa, pero sí su adaptación al contexto de Bre-B. Paula Rojas, Sales Director para la empresa de telecomunicaciones Infobip Latam, explica que los delincuentes han “reconfigurado” el engaño para aprovechar la confusión que genera la masiva campaña de registro de llaves.
“A los usuarios les dicen que deben autorizar una transferencia, pero eso ya no es necesario en Bre-B. Solo deben recibir la notificación; ahí es donde están cayendo”, dice.
Entidades financieras y el Banco de la República han elevado la alerta pública y desplazado recursos a la detección y bloqueo. El regulador subrayó que no es necesario aceptar ni autorizar transacciones por llave a través de SMS, WhatsApp, correo u otros canales externos, y reiteró que Bre-B no tiene aplicación propia ni cuentas oficiales en redes sociales.
Actores de ciberseguridad ya trabajan sobre la infraestructura del ataque. Kaspersky y equipos de seguridad internos de entidades financieras han venido reportando dominios fraudulentos a registradores y proveedores de alojamiento con el objetivo de derribar páginas clonadas y limitar la ventana de exposición. No obstante, investigadores advierten que, mientras el ciclo de detección y bloqueo no sea inmediato, los atacantes podrán rotar dominios y mantener ese esquema durante varias semanas.
Impacto en usuarios y cómo proteger su plata
Desde Infobip Latam comentan que en redes y foros de usuarios circulan relatos de víctimas que describen haber ingresado en sitios falsos tras recibir un SMS y haber perdido fondos, lo grave en estos casos es que las posibilidades de reverso y recuperación dependen en buena medida de la velocidad con que el usuario notifique el incidente y aporte pruebas.
Lo cierto es que, de acuerdo a especialistas, la arquitectura de Bre-B no presenta hasta ahora fallas estructurales que permitan el fraude por diseño. En realidad, la vulnerabilidad radica en la cadena humana y el uso de canales externos que redirigen a páginas clonadas.
Para contrarrestar estos riesgos hay una serie de medidas prácticas y urgentes que todos los usuarios deberían seguir:
1-No haga clic en enlaces recibidos por SMS, WhatsApp o redes sociales. Si recibe un aviso sospechoso, cierre la conversación y abra la app oficial de su banco o escriba la URL en el navegador.
2-No autorice ni confirme nada que le pidan por mensajería. Con Bre-B el receptor no necesita aprobar transferencias; cualquier solicitud de “aceptación” es señal de fraude.
3-Registre llaves solo desde la app o la web del banco. El proceso es gratuito y no se realiza por terceros ni por llamada telefónica.
4-Active métodos de autenticación robustos. Use biometría o tokens si su banco los ofrece.
5-Proteja su dispositivo. Es clave mantener el sistema operativo actualizado y usar soluciones de seguridad que detecten enlaces maliciosos.
6-Desconfíe de mensajes que exijan acción inmediata. La urgencia es la técnica clásica de la ingeniería social.
Por otro lado, si sospecha que fue víctima también hay una serie de pasos a seguir:
1-Contacte a su banco por los canales oficiales y solicite bloqueo de operaciones.
2-Corte el acceso del dispositivo si sospecha malware y cambie contraseñas.
3-Recoja pruebas (capturas, mensajes) y denuncie ante la autoridad competente.
4-Solicite reversos y seguimiento a la entidad bancaria; cuanto antes actúe, mayores posibilidades de mitigación.
Regístrate al newsletter