Compartir
ESTAFAS BANCARIAS

Estafa Bre-B y Nequi: el SMS de "recibiste una transferencia, autoriza aquí"

Con la llegada de Bre-B, el nuevo sistema de pagos inmediatos del Banco de la República, los estafadores en Colombia están enviando mensajes que dicen que recibiste plata y que debes "autorizar" o "reclamar" la transferencia. La regla que lo desmonta todo: recibir dinero por Bre-B o Nequi es automático y nunca se autoriza.

SafeBrowz Threat Research Investigación de seguridad17 de junio de 20269 min de lectura

En pocas palabras

Veredicto: estafa. Si te llega un SMS, WhatsApp o correo que dice "recibiste $655.000 por Bre-B, autoriza aquí" o "tienes una transferencia de Nequi pendiente, reclámala en este enlace", no toques el enlace. Recibir dinero por Bre-B o por Nequi es automático: la plata entra sola, sin que tengas que autorizar, confirmar ni reclamar nada. El enlace lleva a una página clonada de tu banco o billetera que roba tu clave y tu código de seguridad (OTP). La app real de Nequi solo se descarga desde la tienda oficial de tu celular. Ningún enlace es necesario para recibir dinero. Verifica abriendo tú mismo la app oficial, nunca el enlace del mensaje.

Por qué esta estafa está apareciendo justo ahora

A finales de 2025, el Banco de la República puso en marcha Bre-B, el sistema de pagos inmediatos interoperable que permite transferir plata entre bancos y billeteras en segundos usando una "llave" (tu número de celular, cédula o un código). Es un avance real y útil. Pero cada vez que llega un sistema de pago nuevo, los estafadores aprovechan que la gente todavía no conoce bien cómo funciona, y ahí montan el engaño.

La mecánica es sencilla y por eso es efectiva. Como Bre-B es novedoso, mucha gente no sabe que recibir una transferencia es automático y no requiere ningún paso de tu parte. El estafador explota justo ese vacío: te dice que "tienes una transferencia retenida" o que "debes autorizar el abono", inventando un trámite que no existe. La cobertura de Infobae del 27 de mayo de 2026, junto con las alertas de la Alcaldía de Bogotá y de bancolombia.com, advirtió sobre esta ola de smishing relacionada con Bre-B. En paralelo, desde febrero y marzo de 2026, medios como El Heraldo e Infobae reportaron la otra cara del problema: aplicaciones y sitios falsos de Nequi que clonan la marca para robar credenciales.

Son dos hilos del mismo nudo. El primero usa el nombre de Bre-B; el segundo, el de Nequi. Ambos terminan en lo mismo: una página que parece tu banco o tu billetera y un formulario que te pide datos que ninguna entidad real te pediría por un enlace.

Cómo se ve el mensaje y a dónde te lleva

El primer hilo es el del falso abono por Bre-B. Llega un SMS o un WhatsApp que dice algo como: "Recibiste $655.000 por Bre-B. Para acreditar el dinero a tu cuenta, autoriza la transacción aquí: [enlace]." A veces la cifra es alta para emocionarte; a veces es un mensaje de "tienes un pago pendiente por reclamar". El enlace abre una página clonada con el logo de tu banco o de tu billetera, que te pide ingresar tu usuario, tu clave y, lo más peligroso, el código de seguridad (OTP) que te llega por SMS. Con esos tres datos, el estafador entra a tu cuenta real y saca tu plata.

El segundo hilo es el del falso Nequi. Por mensaje o por anuncios falsos circulan aplicaciones imitación, a veces con nombres como "NequiDZ", y páginas web que copian la pantalla de inicio de sesión de Nequi. Estas producen comprobantes de pago falsos que se ven idénticos a los reales, para convencerte de que un supuesto comprador "ya te pagó" cuando en realidad no entró nada a tu cuenta. Y la app falsa, una vez instalada, captura tu número y tu clave para vaciar la cuenta verdadera.

Los siguientes enlaces son imitaciones ilustrativas, no servicios reales, del tipo que circula en estas campañas. Fíjate que todas viven en alojamiento gratuito, nunca en el dominio oficial del banco. Pega cualquiera en el verificador para ver cómo lo lee un análisis en vivo:

  • bre-b-nequi.vercel.app
  • nequi-cobro-co.pages.dev
  • bancolombia-breb.netlify.app

Compáralas con las direcciones reales: Nequi vive en nequi.com.co, Bancolombia en bancolombia.com y el Banco de la República en banrep.gov.co. Una palabra de marca ("nequi", "bancolombia", "breb") pegada delante de un sufijo de alojamiento gratuito como vercel.app, pages.dev o netlify.app es la señal más clara de fraude. Ningún banco ni billetera regulada en Colombia sirve su inicio de sesión desde un subdominio gratuito.

🛡 VERIFICACIÓN EN VIVO

Analiza el enlace antes de tocarlo

¿Te llegó un enlace por un supuesto pago de Bre-B o Nequi? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

La regla de oro: recibir es automático, nunca se autoriza

Esta es la idea que necesitas grabarte, porque desmonta toda la estafa de un solo golpe. Cuando alguien te transfiere dinero por Bre-B o por Nequi, la plata entra sola a tu cuenta. No hay un paso en el que tú "autorices recibir", no hay un trámite para "acreditar el abono", no hay un enlace para "reclamar" lo que ya te enviaron. Autorizar es algo que hace quien envía el dinero, no quien lo recibe.

Por eso, cualquier mensaje que te pida hacer algo para recibir una transferencia es, por definición, falso. El estafador inventa ese paso inexistente precisamente para llevarte a una página donde entregues tu clave y tu OTP. La pregunta que lo resuelve todo es: "¿Tengo que hacer algo para que me entre plata que ya me mandaron?" La respuesta siempre es no.

Señales de alarma que marcan esto como fraude

No necesitas ser experto en banca para detectarlo. La estructura del mensaje es la pista.

  • Te piden "autorizar", "confirmar" o "reclamar" una transferencia que recibiste. Recibir por Bre-B o Nequi es automático. Cualquier paso para "acreditar" plata que ya te enviaron es inventado.
  • El mensaje trae un enlace para entrar a tu cuenta. Tu banco y tu billetera no te mandan enlaces de inicio de sesión por SMS o WhatsApp. Abre siempre la app tú mismo desde el ícono de tu celular.
  • El dominio del enlace no es el oficial. Si la dirección termina en vercel.app, pages.dev, netlify.app o cualquier sufijo de alojamiento gratuito, no es Nequi ni Bancolombia, por más que tenga el logo.
  • Te piden el código de seguridad (OTP) que te llegó por SMS. Ese código es la llave de tu cuenta. Nadie legítimo te lo pide nunca, ni por teléfono, ni por chat, ni en una página.
  • Te invitan a descargar una app de Nequi por un enlace. La app real de Nequi solo está en Google Play y en la App Store. Nombres como "NequiDZ" o descargas por fuera de las tiendas oficiales son falsos.
  • Un "comprador" te muestra un comprobante de pago pero la plata no aparece. Los comprobantes falsos se ven idénticos a los reales. Verifica solo dentro de tu app oficial; si no entró el dinero, no entregues nada.
  • Urgencia y presión. "Autoriza antes de que el abono se devuelva", "tienes 10 minutos para reclamar". La prisa es para que no pares a pensar ni preguntes.

Por qué atrapar el enlace es lo que rompe la cadena

Toda esta estafa se sostiene sobre una pieza: el enlace a la página clonada. El SMS por sí solo no roba nada; el robo ocurre cuando tocas el enlace, llegas al sitio falso y entregas tu clave y tu OTP. Esa página es una URL, y una URL se puede inspeccionar antes de que cargue el formulario.

Ahí es donde la detección del lado del navegador se gana su lugar. Cuando tocas un enlace de un supuesto pago de Bre-B o Nequi, una extensión puede reconocer una suplantación de un banco o billetera colombiana alojada en un dominio joven o gratuito, y advertirte antes de que escribas un solo dato, sin importar quién te lo envió. Los filtros de SMS ayudan, pero el estafador rota números y plantillas todo el tiempo. La capa del navegador actúa sobre el destino, que la estafa no puede cambiar: para robarte, tiene que aterrizarte en su página.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas específicas de marcas (incluidas variantes homógrafas en cirílico y Punycode) + lista blanca/negra de la comunidad, todo corriendo directamente en la extensión antes de que la página se renderice. Atrapa al instante palabras de marca de bancos y billeteras en subdominios de alojamiento gratuito.
  • Capa 2 - Verificaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser, más la consulta de antigüedad del dominio (la mayoría de los sitios clonados tienen días de vida) y más de 30 TLD de estafa.
  • Capa 3 - Análisis profundo con IA: el análisis de suplantación de marca con conciencia de contenido en más de 100 idiomas atrapa una página clonada de Nequi o Bancolombia recién creada que ninguna lista negra ha visto todavía.

Las firmas de detección se derivan de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación de cada usuario.

Para quienes no quieren instalar nada, el mismo motor impulsa el verificador de URL público gratuito. Pega cualquier enlace de "pago de Bre-B" o "transferencia de Nequi" y obtén un veredicto en segundos.

Qué hacer ahora mismo

Si te llegó uno de estos mensajes, o sospechas que diste tus datos, esta es la respuesta correcta.

  1. No toques el enlace. No "autorices", no "reclames" ni "confirmes" nada. Recibir dinero es automático; ese paso no existe.
  2. Verifica abriendo tú mismo la app oficial. Entra a Nequi o a tu banco desde el ícono de tu celular, no desde el enlace. Si de verdad te entró plata, lo verás ahí sin hacer ningún trámite.
  3. Nunca entregues tu clave ni tu código OTP. Ese código que te llega por SMS es la llave de tu cuenta. Ninguna entidad real te lo pide.
  4. Si ya ingresaste tus datos, actúa rápido. Llama de inmediato a la línea oficial de tu entidad: Nequi al 300 600 0100 desde tu celular o por su app, y Bancolombia a su línea oficial impresa al respaldo de tu tarjeta. Bloquea la cuenta, cambia la clave y reporta el movimiento.
  5. Descarga apps solo desde las tiendas oficiales. Borra cualquier app de Nequi que hayas instalado por fuera de Google Play o la App Store, como las del tipo "NequiDZ".
  6. Denúncialo. Reporta el caso ante el CAI Virtual de la Policía Nacional en caivirtual.policia.gov.co y ante el Centro Cibernético Policial en caivirtual.policia.gov.co/cibernetico. Incluye el enlace, el número desde el que te escribieron y cualquier captura. Reporta también el fraude a la línea oficial de Nequi (300 600 0100) o de Bancolombia.

Si lees esto pensando en un familiar mayor o en alguien que apenas está aprendiendo a usar Bre-B o Nequi, dale una sola regla fácil de recordar: la plata que te mandan entra sola, así que ningún mensaje que pida "autorizar" para recibir es real. Esa frase corta vence a la página falsa más convincente.

Preguntas frecuentes

¿Tengo que autorizar o reclamar una transferencia que recibí por Bre-B?

No. Recibir dinero por Bre-B es automático: la plata entra sola a tu cuenta sin que hagas nada. No existe ningún paso para "autorizar el abono" ni un enlace para "reclamar" lo que ya te enviaron. Quien autoriza es la persona que envía el dinero, no quien lo recibe. Cualquier mensaje que te pida hacer algo para recibir una transferencia es una estafa.

Me llegó un SMS que dice "recibiste $655.000 por Bre-B, autoriza aquí". ¿Es real?

No. Es smishing. El enlace lleva a una página clonada de tu banco o billetera que roba tu usuario, tu clave y tu código de seguridad (OTP). Como recibir por Bre-B es automático, no hay nada que autorizar. No toques el enlace. Si quieres verificar si te entró dinero, abre tú mismo la app oficial desde el ícono de tu celular.

¿Cómo sé si una app o una página de Nequi es falsa?

La app real de Nequi solo se descarga desde Google Play o la App Store, y su sitio oficial es nequi.com.co. Apps con nombres como "NequiDZ" o descargas por enlaces son falsas. Una página cuya dirección termina en vercel.app, pages.dev o netlify.app no es Nequi, por más que tenga el logo. Verifica el dominio antes de escribir cualquier dato y, ante la duda, pega el enlace en un verificador de URL.

Un comprador me mostró un comprobante de pago de Nequi pero no veo la plata. ¿Qué hago?

No entregues nada. Los comprobantes falsos se ven idénticos a los reales y son una herramienta común de estafa. La única confirmación válida es ver el dinero dentro de tu app oficial de Nequi. Si no aparece el abono en tu app, no entró ningún pago, sin importar lo que muestre la imagen que te enviaron.

Di mi clave y mi código OTP en una de estas páginas. ¿Qué hago?

Actúa de inmediato. Entra a tu app oficial y cambia la clave, y llama a la línea oficial de tu entidad: Nequi al 300 600 0100 desde tu celular o por su app, y Bancolombia a la línea impresa al respaldo de tu tarjeta. Pide bloquear la cuenta y reportar cualquier movimiento. Denuncia el caso ante el CAI Virtual de la Policía Nacional en caivirtual.policia.gov.co. Cuanto antes reportes, mayor la posibilidad de frenar el fraude.

¿Dónde denuncio este tipo de estafa en Colombia?

Reporta ante el CAI Virtual de la Policía Nacional en caivirtual.policia.gov.co y ante el Centro Cibernético Policial. Reporta el fraude también a la línea oficial de tu entidad: Nequi al 300 600 0100 o Bancolombia a su línea oficial. Incluye el enlace que recibiste, el número o cuenta desde la que te contactaron y cualquier captura de pantalla del mensaje y de la página falsa.

Instala SafeBrowz gratis

Agrega la extensión de navegador que analiza cada enlace, incluido el "pago de Bre-B" o la "transferencia de Nequi" que un desconocido te envía, antes de que la página se renderice. Gratis para siempre.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Lecturas relacionadas