Alerta: delincuentes se hacen pasar por Bre-B para robar datos bancarios a través de SMS fraudulento
Si ya cayó en esta estafa aún puede tomar medidas para asegurar su dinero e información, así lo explican expertos.
Alerta: delincuentes se hacen pasar por Bre-B para robar datos bancarios a través de SMS fraudulento
Una sofisticada y peligrosa campaña de phishing se está diseminando masivamente por todo el país a través de mensajes de texto (SMS), poniendo en grave riesgo la información financiera y personal de miles de colombianos. Los ciberdelincuentes están suplantando de manera fraudulenta a la plataforma Bre-B para engañar a los usuarios y sustraer sus ahorros.
Expertos en ciberseguridad de la Universidad Manuela Beltrán (UMB) han emitido una alerta urgente, detallando el modus operandi de esta estafa y advirtiendo sobre las devastadoras consecuencias de un simple clic.
La trampa llega directamente al celular. El mensaje, que simula ser una notificación legítima de Bre B, un servicio asociado comúnmente a transferencias de dinero, reza lo siguiente:
“BRE B: Usted tiene una transferencia pendiente por recibir. Ingrese al siguiente enlace para aprobar el dinero antes de 24 horas, de lo contrario será devuelto: [enlace fraudulento]”.
La urgencia artificial y la promesa de dinero crean una potente combinación psicológica diseñada para anular el sentido de precaución de la víctima.
Así lo pueden estafar a través de mensaje de texto
Tras una investigación detallada, el equipo de ciberseguridad de la Universidad Manuela Beltrán desmanteló la estructura de este ataque, identificando múltiples “falsas banderas” o señales de alerta que delatan la estafa. A simple vista, el enlace puede parecer convincente, pero un análisis más profundo revela su naturaleza maliciosa.
Uno de los hallazgos más críticos se relaciona con el dominio de los enlaces utilizados. “Los dominios de estos enlaces fraudulentos terminan en ‘.de’ y ‘.ly’, extensiones territoriales que corresponden a Alemania y Libia, respectivamente. No existe ninguna relación legítima entre Bre-B, una plataforma utilizada en Colombia, y dominios registrados en esos países”, explican los analistas. Esta es la primera y más clara bandera roja que todo usuario debe identificar.
Además, los investigadores confirmaron que el sitio web al que redirige el enlace no es seguro (no utiliza el protocolo HTTPS de forma genuina) y está programado para solicitar información sensible como el número de documento de identidad, claves de acceso bancarias, códigos de seguridad e incluso contraseñas de tarjetas de crédito. Peor aún, el código fuente de la página fraudulenta está alojado en servidores anónimos ubicados fuera de Colombia, lo que dificulta enormemente el rastreo y la desactivación de la campaña delictiva.
Phishing: el anzuelo digital que vacía cuentas bancarias
Esta modalidad es un ejemplo clásico y agresivo de phishing, una técnica de suplantación de identidad donde los delincuentes “pescan” información confidencial haciéndose pasar por entidades de confianza. Javier Moreno, experto en ciberseguridad de la Universidad Manuela Beltrán, fue enfático en sus advertencias: “Un solo clic puede costarle toda su información. Si el usuario accede a ese enlace, puede estar poniendo en riesgo no solo sus cuentas bancarias y contraseñas, sino toda la información almacenada en su teléfono, computador o cualquier dispositivo desde el cual accedió. Por eso es fundamental la prevención y evitar abrir enlaces sospechosos, sin importar lo convincentes que parezcan”.
Un factor que incrementa significativamente la credibilidad de este mensaje fraudulento es que, en muchos casos, incluye el nombre real del usuario. Esto genera una falsa sensación de seguridad y legitimidad. Sin embargo, el experto Moreno aclara este punto crucial: “Que el mensaje tenga nuestro nombre no significa que sea la plataforma oficial quien lo envía. Los delincuentes obtienen nuestros datos de distintas maneras: filtraciones masivas de bases de datos, información que nosotros mismos exponemos públicamente en redes sociales o a través de la compraventa ilegal de información en la dark web. El uso del nombre es solo una táctica para ganar confianza”.
¿Qué hacer si ya fuiste víctima de la estafa?
Si usted, o alguien que conoce, hizo clic en el enlace e incluso llegó a introducir información personal o financiera, es imperative actuar con celeridad. El tiempo es un factor crítico para mitigar el daño. El experto Javier Moreno recomienda un protocolo de acción inmediata:
- Cierre inmediato: Cierre la pestaña o la aplicación del navegador de inmediato. No pulse ningún botón adicional en el sitio fraudulento.
- Cambio de contraseñas: Cambie de forma inmediata todas las contraseñas de sus servicios críticos, comenzando por su banca en línea, aplicaciones financieras (Nequi, Daviplata) y redes sociales. Utilice contraseñas robustas y únicas para cada servicio.
- Active la verificación en dos pasos (2FA): Este es el paso más importante para proteger sus cuentas. Active la autenticación de dos factores en todos sus servicios bancarios y de correo electrónico. De esta manera, incluso si el atacante obtuvo su contraseña, no podrá acceder, ya que el sistema le pedirá un código de seguridad adicional que llega a su teléfono personal.
- Comuníquese con su banco: Contacte inmediatamente a la línea de servicio al cliente de su entidad bancaria, reporte el incidente y siga sus instrucciones. Ellos pueden monitorear transacciones sospechosas en su cuenta.
- Denuncie: Reporte el número desde el que recibió el SMS y los detalles de la estafa ante las autoridades competentes, como el CAI Virtual de la Policía Nacional. Esto ayuda a rastrear y desarticular estas redes delictivas.
