100 días de Bre-B: los aprendizajes en ciberseguridad que deja el nuevo sistema de pagos en Colombia
Written by Jose de Jesus Prieto on 13/01/2026
Kaspersky analiza los primeros meses del nuevo sistema de pagos inmediatos del país y toma
la experiencia de PIX en Brasil como referencia para fortalecer la ciberseguridad del
ecosistema financiero.
13 de enero de 2026
Se cumplen cien días del inicio de operaciones de Bre-B, el nuevo sistema de pagos
inmediatos en Colombia, pero la conversación ya no gira solo alrededor de la velocidad y la
adopción. Hoy, el foco empieza a ponerse en la seguridad digital. En este contexto, Kaspersky
analiza los principales aprendizajes que deja esta primera etapa y cómo la experiencia de PIX
en Brasil ofrece claves concretas para fortalecer la protección del ecosistema financiero
colombiano.
La experiencia internacional demuestra que cada vez que se introduce un sistema de pagos
inmediato, el comportamiento de los ciberdelincuentes evoluciona con la misma rapidez que la
tecnología. Brasil vivió este proceso con PIX pues, en paralelo al crecimiento acelerado de las
transacciones, surgieron nuevas modalidades de fraude basadas principalmente en ingeniería
social, suplantación de identidad digital y robo de credenciales. Sin embargo, el país también
enfrentó un punto de inflexión cuando un ciberataque afectó a proveedores de infraestructura
conectados al ecosistema financiero y al sistema de pagos del Banco Central, lo que derivó en
el uso indebido de cuentas de reserva y movimientos no autorizados entre instituciones.
Aunque el ataque no afectó directamente al Banco Central, sí evidenció una realidad clave para
los sistemas de pagos inmediatos. Los riesgos ya no se concentran en una sola entidad: hoy, la
seguridad depende de todo el ecosistema, desde bancos y fintech hasta proveedores
tecnológicos y operadores que conectan al usuario con la infraestructura central.
En Colombia, los primeros 100 días de Bre-B reflejan un patrón similar al observado en Brasil
durante sus etapas iniciales. Desde el análisis de Kaspersky, las amenazas identificadas hasta
ahora confirman que el principal desafío no está en la solidez técnica del sistema, sino en la
forma en que las personas interactúan con él.
Los delincuentes han encontrado en el desconocimiento inicial sobre el uso de llaves digitales,
en la confianza excesiva en mensajes electrónicos y en la urgencia que generan las falsas
alertas, un terreno fértil para desarrollar campañas de fraude. A esto se suma la alta frecuencia
de uso de los pagos digitales en el país. Según el estudio Banca Digital de Kaspersky, el 21%
de los colombianos utiliza estos métodos entre una y tres veces al día, mientras que el 53% lo
hace entre una y tres veces por semana, un contexto que amplía la exposición a este tipo de
amenazas.
En ese contexto, los equipos de investigación de Kaspersky han detectado durante estos
primeros meses una combinación de tácticas que se repiten con frecuencia. Entre ellas,
campañas de phishing que utilizan el nombre de Bre-B para engañar a los usuarios, la creación
de múltiples dominios maliciosos que imitan procesos de registro y transferencia, y el uso de
técnicas como el SIM Swap, mediante las cuales los delincuentes toman control del número
celular de la víctima para interceptar códigos y avanzar con fraudes financieros. Estos
hallazgos muestran que los atacantes están aprovechando esta fase de adopción para mezclar
distintos métodos de engaño y aumentar la probabilidad de éxito.
Por otro lado, la experiencia de PIX mostró que los pagos inmediatos no solo cambian la forma
de mover dinero, sino también la manera de entender la ciberseguridad. Hoy, la protección ya
no se concentra únicamente en los sistemas de los bancos, sino en la identidad digital de las
personas. Números de celular, correos electrónicos y credenciales pasaron de ser datos de
contacto a convertirse en piezas clave del entorno financiero, lo que amplía el espacio de
acción de los delincuentes y obliga a repensar dónde empieza realmente la seguridad.
A esto se suma la velocidad con la que ahora se realizan las transacciones. Cuando el dinero
se mueve en segundos, ya no basta con reaccionar después de un fraude. La experiencia
brasileña mostró que es necesario anticiparse, con monitoreo constante y mayor coordinación
entre instituciones.
“Los primeros meses de un sistema de pagos inmediato son clave para entender cómo se
reconfiguran los riesgos digitales. Lo que vimos en Brasil con PIX fue muy ilustrativo: no solo
crecieron los fraudes basados en ingeniería social, sino que también quedó claro que la
seguridad de estos ecosistemas es sistémica. Un incidente en un proveedor o en un eslabón de
la cadena puede tener impacto en todo el sistema financiero. Con Bre-B estamos en ese mismo
punto de aprendizaje. La gran lección es que la confianza en los pagos digitales no se
construye solo con infraestructura sólida, sino con usuarios informados, coordinación entre
actores y una visión clara de protección de la identidad digital como eje estratégico”, analiza
Fabio Assolini, director del Equipo Global de Investigación y Análisis para América
Latina en Kaspersky.
Para reducir las vulnerabilidades al usar sistemas de pago inmediatos, los expertos de
Kaspersky recomiendan para los usuarios:
Desconfiar de mensajes que generen urgencia. Alertas sobre bloqueos, validaciones
o transferencias pendientes suelen usarse para engañar y robar información.
No hacer registros ni validaciones desde enlaces. Cualquier proceso relacionado
con llaves o pagos debe hacerse solo desde la app oficial del banco o escribiendo la
dirección directamente en el navegador.
Proteger la identidad digital. El número de celular, el correo y las credenciales son
hoy la puerta de entrada a la vida financiera. No compartirlos en formularios dudosos y
activar capas extra de seguridad cuando sea posible.
Mantener los dispositivos protegidos. Contar con una solución de seguridad como
Kaspersky Premium ayuda a bloquear enlaces maliciosos, detectar páginas falsas y
reducir el riesgo de caer en fraudes digitales.
En el caso del ecosistema financiero, la compañía recomienda:
Tratar la identidad digital como infraestructura crítica, reforzando los controles
frente a fraudes como el SIM Swap y la suplantación de identidad.
Pasar de un modelo reactivo a uno preventivo, incorporando análisis de
comportamiento y detección temprana en los flujos de pagos inmediatos.
Fortalecer la ciberresiliencia del ecosistema, apoyándose en soluciones de
inteligencia de amenazas, monitoreo avanzado y respuesta a incidentes como las que
ofrece Kaspersky para bancos, fintech y proveedores tecnológicos.
Para más información sobre cómo proteger la seguridad digital personal y empresarial, visita
nuestro blog .
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda
inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones
y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos en todo el mundo.
El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital de dispositivos
personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune
para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a cerca de
200,000 clientes corporativos a proteger lo que más valoran. Más información en: www.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica
Garrapatudo Radio