El nuevo sistema para pagos interbancarios Bre-B promete transferencias en segundos y un menor tiempo de espera entre transacciones, pero la masiva inscripción de “llaves” ya está siendo aprovechada por ciberdelincuentes para campañas de phishing vía mensajes SMS y páginas web clonadas, con las que capturan credenciales y vacían cuentas, según alertas del propio Banco de la República y especialistas en seguridad digital.

Investigadores documentaron ya campañas activas que explotan la novedad. Desde el laboratorio de ciberseguridad Kaspersky informaron que han detectado más de diez dominios vinculados a esquemas de suplantación visual: mensajes con enlaces cortos que redirigen a páginas que replican la interfaz de bancos reales y solicitan credenciales o códigos de verificación.

La técnica de phishing con páginas clonadas no es novedosa, pero sí su adaptación al contexto de Bre-B. Paula Rojas, Sales Director para la empresa de telecomunicaciones Infobip Latam, explica que los delincuentes han “reconfigurado” el engaño para aprovechar la confusión que genera la masiva campaña de registro de llaves.

“A los usuarios les dicen que deben autorizar una transferencia, pero eso ya no es necesario en Bre-B. Solo deben recibir la notificación; ahí es donde están cayendo”, dice.

Entidades financieras y el Banco de la República han elevado la alerta pública y desplazado recursos a la detección y bloqueo. El regulador subrayó que no es necesario aceptar ni autorizar transacciones por llave a través de SMS, WhatsApp, correo u otros canales externos, y reiteró que Bre-B no tiene aplicación propia ni cuentas oficiales en redes sociales.

Impacto en usuarios y cómo proteger su plata

Desde Infobip Latam comentan que en redes y foros de usuarios circulan relatos de víctimas que describen haber ingresado en sitios falsos tras recibir un SMS y haber perdido fondos, lo grave en estos casos es que las posibilidades de reverso y recuperación dependen en buena medida de la velocidad con que el usuario notifique el incidente y aporte pruebas.

Lo cierto es que, de acuerdo con especialistas, la arquitectura de Bre-B no presenta hasta ahora fallas estructurales que permitan el fraude por diseño. En realidad, la vulnerabilidad radica en la cadena humana y el uso de canales externos que redirigen a páginas clonadas.

Para contrarrestar estos riesgos hay una serie de medidas prácticas y urgentes que todos los usuarios deberían seguir:

1-No haga clic en enlaces recibidos por SMS, WhatsApp o redes sociales. Si recibe un aviso sospechoso, cierre la conversación y abra la app oficial de su banco o escriba la URL en el navegador.

2-No autorice ni confirme nada que le pidan por mensajería. Con Bre-B el receptor no necesita aprobar transferencias; cualquier solicitud de “aceptación” es señal de fraude.

3-Registre llaves solo desde la app o la web del banco. El proceso es gratuito y no se realiza por terceros ni por llamada telefónica.

4-Active métodos de autenticación robustos. Use biometría o tokens si su banco los ofrece.

5-Proteja su dispositivo. Es clave mantener el sistema operativo actualizado y usar soluciones de seguridad que detecten enlaces maliciosos.

6-Desconfíe de mensajes que exijan acción inmediata. La urgencia es la técnica clásica de la ingeniería social.

Por otro lado, si sospecha que fue víctima también hay una serie de pasos a seguir:

1-Contacte a su banco por los canales oficiales y solicite bloqueo de operaciones.

2-Corte el acceso del dispositivo si sospecha malware y cambie contraseñas.

3-Recoja pruebas (capturas, mensajes) y denuncie ante la autoridad competente.

4-Solicite reversos y seguimiento a la entidad bancaria; cuanto antes actúe, mayores posibilidades de mitigación.

Tomado de: https://www.elcolombiano.com/tecnologia/ojo-delincuentes-ya-usan-bre-b-y-llaves-virtuales-para-robar-siga-estas-claves-para-no-caer-LB29289938