Kaspersky alerta que, con la reciente entrada en operación del sistema de pagos Bre-B en Colombia, los delincuentes están usando una técnica llamada SIM Swap —o "robo de línea"— para quedarse con el número de celular de las personas y hacerse pasar por ellas. Esto se vuelve especialmente peligroso porque la mayoría de los usuarios registró su llave de Bre-B con su propio número de celular. Si un delincuente logra quedarse con ese número, obtiene una parte clave de la identidad financiera del usuario y puede avanzar más fácilmente con diferentes tipos de fraude.
El SIM Swap es una técnica en la que los delincuentes engañan al operador celular para que trasladen la línea de la víctima a otro chip que ellos controlan. Esto significa que, de un momento a otro, la persona afectada se queda sin señal en su teléfono, mientras que el delincuente recibe todas las llamadas, mensajes de texto y códigos de verificación.
Una vez que el delincuente toma control del número, puede avanzar con otras estafas que suelen iniciar con mensajes falsos. Hoy circulan numerosos intentos de phishing que utilizan el nombre de Bre-B para pedir a los usuarios que "validen", "reactiven" o "confirmen" su llave digital. Si la víctima cae en estos engaños y comparte información, y además pierde el control de su línea por un SIM Swap, el atacante queda en una posición muy ventajosa: puede recibir códigos de verificación o incluso solicitar transferencias usando la llave vinculada a ese mismo número. También podría cambiar la contraseña de la cuenta bancaria, un riesgo que se incrementa si consideramos que el 9% de los colombianos aún permite que el navegador o el dispositivo almacene sus credenciales, según el estudio Iceberg Digital de Kaspersky.
Los atacantes pueden obtener el número de distintas formas. En algunos casos, llaman al operador haciéndose pasar por el usuario, diciendo que "perdieron el celular" o que "necesitan un nuevo chip urgente". En otros casos, tienen datos de la víctima que obtuvieron por phishing (páginas falsas) o por mensajes engañosos, y usan esa información para convencer al operador. Cuando ya tienen suficiente información, piden que la línea se traslade a un chip nuevo y, lamentablemente, en muchos casos los operadores procesan esta solicitud sin verificar más a fondo. La víctima normalmente se da cuenta tarde, cuando su celular de repente deja de tener señal.
Esta situación se vuelve especialmente crítica ahora que Bre-B depende de llaves digitales. Cuando una de esas llaves es el número de celular, si el delincuente tiene ese número, puede hacerse pasar por la víctima, usando las mismas vías de verificación que usaría el usuario real. Es por esto que el SIM Swap, una estafa conocida desde hace años adquiere un impacto distinto en el contexto actual.
"Cuando una persona pierde el control de su número celular, también pierde un canal clave que muchas veces se usa para confirmar su identidad. En un momento en el que millones de colombianos están usando sus llaves y familiarizándose con Bre-B, los delincuentes están aprovechando esta etapa para mezclar varios métodos de engaño. No es la tecnología la que está en riesgo, sino la confianza de los usuarios ante mensajes falsos que parecen legítimos", explicó Lisandro Ubiedo, Analista de Seguridad Senior del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Y es que antes del inicio oficial de Bre-B, Kaspersky ya había alertado sobre campañas de phishing que usaban el registro de llaves como pretexto para engañar a los usuarios. Desde entonces, se han identificado nuevos dominios maliciosos y mensajes falsos que buscan aprovechar la confusión alrededor del sistema. Frases como "su llave va a expirar", "tiene un registro pendiente", "active su llave ahora" o "su cuenta será bloqueada" siguen siendo enviados a través de enlaces de SMS o correo electrónico en enlaces creados por delincuentes para llevar a las personas a páginas falsas. Si la víctima cae en este tipo de engaños y, además, pierde el control de su número de celular, los atacantes pueden avanzar con la suplantación de manera mucho más rápida y casi imperceptible.
Para evitar caer en este tipo de vulnerabilidades, los expertos de Kaspersky recomiendan:
- Pida a su operador un PIN de seguridad para su línea. Esta clave evita que cualquier persona solicite un cambio de SIM sin su permiso. Es una de las maneras más efectivas de frenar el SIM Swap antes de que ocurra.
- Ignore y elimine mensajes que pidan activar, validar o "desbloquear" su llave Bre-B. Ninguna entidad solicita procesos urgentes por enlace. Si algo genera presión o alarma, es casi seguro que se trata de un intento de fraude.
- Ingrese a Bre-B y a su banco únicamente desde las apps oficiales o escribiendo la dirección en el navegador. Evite abrir enlaces enviados por SMS, WhatsApp o redes sociales, ya que son los canales más usados para llevar a usuarios a páginas falsas.
- Actúe de inmediato si su celular pierde señal sin motivo. Si el teléfono se queda sin servicio repentinamente, podría tratarse de un intento de robo de línea. Llame a su operador desde otro equipo y verifique si alguien solicitó un cambio de SIM.
- Proteja su celular con seguridad avanzada como Kaspersky Premium. Esta solución detecta páginas falsas, bloquea enlaces maliciosos en tiempo real y evita que sus datos terminen en manos de delincuentes, incluso si usted abre accidentalmente un contenido fraudulento.
