Bre-B y el desafío del fraude digital: qué deben saber los colombianos para blindarse

El sistema del Banco de la República ya suma más de 35 millones de llaves y más de
14 millones de usuarios. Su curva de adopción recuerda al éxito de PIX en Brasil,
aunque enfrenta retos de seguridad similares. La experiencia mexicana con CoDi
ofrece un contraste de lo que puede salir mal.

Un sistema para transformar los pagos en Colombia
El lanzamiento de Bre-B en julio de 2025 marca un antes y un después en el sistema
financiero colombiano. Se trata de un sistema de pagos inmediatos interoperables,
administrado por el Banco de la República, que permite transferencias en cuestión de
segundos, disponibles las 24 horas del día, los siete días de la semana.
El objetivo es ambicioso: reducir el uso del efectivo, mejorar la inclusión financiera
y ofrecer a los ciudadanos y comercios un medio de pago más ágil, económico y
seguro. Con Bre-B, los usuarios pueden registrar “llaves” como su número de celular,
cédula, correo electrónico o un código alfanumérico, que se convierten en
identificadores únicos para enviar y recibir dinero.

Una adopción que sorprende
Las cifras hablan por sí solas:
 Más de 35 millones de llaves registradas.
 14,5 millones de usuarios activos en menos de tres meses de operación.
 Participación de más de 170 entidades financieras entre bancos, cooperativas y
fintechs.
 Promedio de 2,4 llaves por usuario.
El crecimiento ha sido tan veloz que especialistas ya lo comparan con el caso
brasileño. En Brasil, PIX—lanzado en 2020— superó los 160 millones de usuarios y
hoy procesa más operaciones que tarjetas de débito y crédito juntas.

Bre-B, Pix y CoDi: lecciones de la región
Pix: el caso de éxito
En Brasil, Pix se convirtió en un fenómeno social y económico. Su éxito se explica por
la simplicidad de uso, la gratuidad para personas, la fuerte campaña educativa del
Banco Central y, sobre todo, la obligatoriedad de integración para todos los bancos.
En pocos años, se consolidó como el medio de pago más usado del país y un motor de
digitalización financiera.
CoDi: un fracaso por falta de tracción
El caso de México es muy distinto. CoDi, lanzado en 2019, no logró masificarse:
 Los bancos no priorizaron su integración.
 Los comercios no encontraron incentivos claros para adoptarlo.
 Hubo escasa comunicación con los usuarios, lo que generó confusión y
desconfianza.
Hoy, CoDi existe, pero con una participación marginal en el ecosistema de pagos
mexicano.
Bre-B: un camino intermedio
Colombia parece haber aprendido de ambas experiencias. Por un lado, adoptó las
mejores prácticas de Pix: simplicidad, interoperabilidad y gratuidad en los primeros
años. Por otro, busca evitar los errores de CoDi mediante campañas educativas y una
implementación más gradual, que permita a las entidades adaptarse.

El lado oscuro: fraudes y lavado de dinero
El rápido crecimiento de Bre-B también ha encendido las alarmas. La inmediatez y
simplicidad de los pagos atraen a las redes criminales, que buscan explotar
vulnerabilidades tecnológicas y humanas.
En Colombia, los tipos de fraude más comunes reportados en medios y por
autoridades son:
 Phishing y smishing: mensajes falsos por SMS o WhatsApp que simulan ser
notificaciones de Bre-B para robar contraseñas.

 Páginas y aplicaciones fraudulentas: sitios que prometen registrar llaves pero
en realidad capturan datos sensibles.
 Duplicidad de llaves: intentos de registrar un número de celular o cédula de
otra persona para recibir pagos ilegítimos.
 Apps apócrifas: descargas falsas en tiendas no oficiales que suplantan apps
bancarias.
 Cuentas mula: personas reclutadas para prestar sus cuentas y mover dinero
ilícito.

Bre-B vs. Pix: fraudes en espejo
El espejo brasileño ofrece un anticipo de lo que podría ocurrir en Colombia:
 En Brasil, el famoso “golpe do Pix” derivó en secuestros exprés y extorsiones
en los que delincuentes obligaban a transferencias inmediatas.
 También proliferaron redes de mulas digitales, donde miles de cuentas eran
usadas para blanquear dinero en segundos.
 El phishing bancario masivo explotó el desconocimiento inicial de los usuarios
sobre las llaves Pix.
Colombia ya muestra patrones similares en sus primeras semanas de operación, con
campañas de smishing y phishing que imitan al sistema.
La diferencia estará en qué tan rápido se fortalezcan los mecanismos de prevención. El
Banco de la República ha advertido sobre estos riesgos y ha publicado
recomendaciones claras: no hacer clic en enlaces recibidos por mensajería, registrar
llaves solo en canales oficiales y activar notificaciones en las cuentas.
Cómo blindarse ante el fraude: recomendaciones para
usuarios y empresas
Para los ciudadanos
Riesgos por tipo de llave en Bre-B
Una de las decisiones más importantes al usar Bre-B es qué tipo de llave registrar.
Cada opción —cédula, número de celular, correo electrónico o llave aleatoria— tiene
ventajas y vulnerabilidades distintas.

Comprenderlas ayuda a los usuarios a proteger su identidad y sus fondos.
�� Cédula de ciudadanía
Ventajas: es fácil de recordar y garantiza que la cuenta esté asociada directamente a
su titular.
Riesgos: es un dato altamente sensible y ampliamente utilizado para trámites públicos
y privados. Si se expone, puede ser usado para suplantaciones o apertura de
cuentas fraudulentas. Además, los delincuentes pueden enviar mensajes
personalizados con su número real de cédula para generar confianza.
Recomendación: úsela solo con personas o empresas de total confianza; no la
publique ni la comparta en redes.

�� Número de celular
Ventajas: práctico y rápido de usar; la mayoría de los usuarios ya lo asocia a sus
contactos.
Riesgos: aunque no permite ingresar directamente al banco, el número es público y
fácil de obtener, lo que lo convierte en un punto débil para phishing y smishing
(mensajes falsos). También existe el riesgo de clonación o portabilidad fraudulenta
del número (SIM swapping), que puede permitir a delincuentes recibir códigos de
validación o intentar registrar la llave en otro dispositivo. Además, los números inactivos
pueden ser reasignados por los operadores, exponiendo pagos dirigidos al antiguo
titular.
Recomendación: ideal para transferencias entre familiares o contactos conocidos.
Para pagos con desconocidos o comercios, prefiera una llave aleatoria.

�� Correo electrónico
Ventajas: ofrece cierta privacidad y es fácil de usar en contextos digitales o
comerciales.
Riesgos: si el correo se ve comprometido (phishing, contraseñas débiles o uso del
mismo correo en múltiples servicios), los atacantes pueden acceder a información
sensible, interceptar notificaciones o incluso registrar llaves falsas.
Recomendación: utilice un correo exclusivo para operaciones financieras y active
siempre la autenticación de dos factores (2FA).

�� Llave aleatoria
Ventajas: es la opción más segura y privada, ya que no contiene ningún dato
personal ni puede adivinarse. Reduce drásticamente el riesgo de ingeniería social y
exposición de información.
Riesgos: su único inconveniente es la dificultad para recordarla, aunque puede
guardarse fácilmente en la aplicación bancaria.
Recomendación: úsela para recibir pagos de personas o comercios que no conoce,
ventas por internet o cualquier operación donde desee proteger su identidad.

�� En síntesis
 Cédula: máxima identificación, mínima privacidad.
 Celular: conveniente pero expuesto.
 Correo: intermedio, depende de la seguridad del email.
 Llave aleatoria: máxima privacidad y seguridad.
“La mejor llave no siempre es la más fácil de recordar, sino la que menos datos
personales expone.”
Para operaciones cotidianas entre conocidos, el celular o el correo pueden ser útiles.
Para pagos con terceros o clientes, la llave aleatoria es la mejor defensa contra el
fraude.

1. Registre sus llaves solo en canales oficiales. Desconfíe de mensajes o
enlaces que prometan activaciones o beneficios rápidos.
2. Verifique el nombre del destinatario antes de confirmar. Si no coincide con el
esperado, detenga la transacción.
3. Active notificaciones automáticas y revise periódicamente su historial de
movimientos.
4. Proteja su celular con biometría y contraseña segura. No realice operaciones
en redes Wi-Fi públicas.
5. Nunca preste su cuenta bancaria. Ser “cuenta mula” implica responsabilidad
penal.
6. Desconfíe de la urgencia. Los estafadores usan el apremio emocional como
arma.

Para la banca y las fintech
1. Monitoreo transaccional en tiempo real con analítica de riesgo contextual:
ubicación, dispositivo, frecuencia y monto.
2. Autenticación multifactor avanzada (biometría facial activa y conductual).
3. Bloqueo temporal de operaciones sospechosas, con confirmación posterior
del usuario.
4. Cooperar en la detección y bloqueo de cuentas muleto.
5. Educación personalizada: mensajes según el perfil del cliente, no campañas
genéricas.
6. Simulaciones de ingeniería social internas, para entrenar equipos frente a
nuevas modalidades.
7. Uso ético y auditable de la inteligencia artificial para prevenir sesgos y
mantener la confianza.

El futuro de Bre-B
Bre-B tiene el potencial de convertirse en el motor de la inclusión financiera en
Colombia. Pero su sostenibilidad dependerá de un elemento que no se construye con
software: la confianza.
El éxito de Pix demostró que la tecnología es solo la mitad de la ecuación; la otra mitad
es una ciudadanía informada y consciente de los riesgos.
Si Colombia logra ese equilibrio entre rapidez y seguridad, Bre-B no solo transformará
la forma de pagar, sino también la manera de proteger el dinero en la era digital.