Lecciones del ciberataque a PIX de Brasil para la seguridad de Bre-B

En días pasados, el sistema de pagos inmediatos más importante de la región, el brasileño PIX, fue víctima de un ataque que dejó 148 millones de dólares en pérdidas. ¿Qué ocurrió y qué enseñanzas puede dejar a los sistemas similares en la región?

A escasos días de la entrada oficial en funcionamiento del sistema de transferencias inmediatas Bre-B de Colombia, el sistema financiero latinoamericano se sorprendió con una noticia: el mayor robo en la historia de PIX, el referente brasileño. El ataque dejó 148 millones de dólares en pérdidas. ¿Qué podemos aprender de este incidente?

Comencemos con las cifras. PIX es un caso de éxito resonante en la región, una plataforma electrónica del Banco Central de Brasil, creada en 2020. En solo cuatro años, logró registrar hasta 280 millones de transacciones en un periodo de 24 horas (en diciembre de 2024). Sin embargo, seis meses después, recibió el peor ataque de su historia.

Se trató de un delito complejo que evidenció vulnerabilidades críticas en el ecosistema financiero. Los atacantes explotaron una falla en el software de un proveedor externo, C&M, y utilizaron credenciales vendidas por un empleado de TI para desviar fondos. El dinero fue rápidamente convertido en criptomonedas, lo que dificulta su rastreo.

¿Por qué es importante esta noticia?

El sistema de transferencias inmediatas de Brasil, PIX, es un caso de éxito resonante que ha impulsado iniciativas similares en diferentes países de la región, desde el Sistema Nacional de Pagos Electrónicos (SINPE) de Costa Rica hasta el Bre-B de Colombia, entre otros. Sin embargo, PIX no es perfecto. Si algo demostró el ataque, es que la seguridad de un ecosistema interconectado es tan fuerte como su eslabón más débil.

Estas enseñanzas son más útiles que nunca para Colombia, una nación que se prepara para el lanzamiento oficial de Bre-B el 22 de septiembre, un sistema inspirado en PIX que busca transacciones 24/7, interoperabilidad y seguridad. Bre-B se construirá sobre la infraestructura financiera existente de Colombia, conectando a actores como Transfiya y EntreCuentas con nuevas soluciones.

Bre-B funcionará con un Directorio Centralizado (DICE) para mapear alias a cuentas y un Mecanismo Operacional de Liquidación (MOL), administrados por el Banco de la República, para la liquidación en tiempo real de los activos. La experiencia de PIX ofrece una oportunidad para que Bre-B mejore las medidas de seguridad incluyéndolas desde su diseño.

¿Cómo proteger a Bre-B?

Para mitigar los riesgos, Bre-B debe adoptar una estrategia de defensa proactiva y de múltiples capas. Esto incluye, por parte de la banca, la implementación de tecnologías de ciberseguridad avanzadas como la detección de fraude impulsada por inteligencia artificial (IA) y  aprendizaje automático (ML).

También se recomienda una autenticación multifactor robusta y el cifrado de extremo a extremo. Además, se necesitarán prácticas operacionales rigurosas, como la gestión de riesgos de terceros, la capacitación del personal y planes de respuesta a incidentes. La alineación con estándares internacionales como NIST, ISO 27001 y CPMI-IOSCO será un factor clave.

La naturaleza instantánea de Bre-B exige un cambio de la detección de fraude reactiva a la prevención proactiva en tiempo real. Esto implica detener el fraude antes de que el dinero salga de la cuenta del remitente. Bre-B y sus instituciones participantes deberán invertir en monitoreo en tiempo real y análisis de comportamiento impulsados por IA/ML para evaluar el riesgo en milisegundos.

¿Cómo proteger a los usuarios?

Aunque apenas está comenzando la implementación de Bre-B en Colombia, los criminales ya están haciendo de las suyas usando técnicas de ingeniería social y mensajes SMS. Y es que la seguridad de los usuarios puede ser un poco más compleja por su inmensa diversidad. Por eso, lo primero debe comenzar por la educación.

En este marco, el mismo Banco de la República ha comenzado una campaña compartiendo consejos y buenas prácticas, como son:

• No es necesario aceptar ninguna transacción ni responder mensajes o ingresar a enlaces sospechosos.
• El registro y uso de «Llaves» es gratuito y debe hacerse solo a través de la aplicación o página web oficial de la entidad financiera, no por terceros ni llamadas telefónicas.
• La «Llave» no es la clave de autenticación ante entidades financieras.
• Bre-B no tiene aplicación propia ni redes sociales oficiales; la información oficial está en la página del Banco de la República y las entidades financieras autorizadas.
• En caso de dudas o problemas, se debe contactar directamente con la entidad financiera.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a impulsar la transformación de tu negocio y a hacerlo de manera sostenible ingresa aquí.

Foto de Freepik