September 11, 2025

KYC a la telefonia al Brasil: com frenar el frau (SIM swap i més)

#network

#Identity

Què és el SIM swap i per què creix al Brasil Per què falla la verificació d’identitat tradicional en telco?Què diu la normativa al Brasil (resum pràctic)Estratègia de KYC per a operadores de telefonia al Brasil (2025)Com ajuda Didit les operadores a reduir el frau d’identitat Preguntes freqüents

Key takeaways

El SIM swap i el “Mão Fantasma” són avui els principals vectors de frau mòbil al Brasil; les telcos, com a primer eslabó, pateixen pèrdues, sancions i pèrdua de confiança si no protegeixen el número i els fluxos crítics.
La verificació tradicional falla per dependència de dades estàtiques exposades, OTP per SMS en canals compromesos i processos humans vulnerables; la portabilitat i el duplicat de SIM són els punts més crítics i requereixen identitat forta, senyals de la línia, confirmació per canal alternatiu i períodes de refredament.
Normativa: Anatel exigeix confirmació per SMS en portabilitat (amb finestra de resposta); l’RGST i l’RGC actualitzats reforcen transparència i traçabilitat. L’SMS és obligatori però insuficient com a autenticació forta en escenaris d’alt risc.
Estratègia eficaç i paper de Didit: KYC en temps real (document, selfie i liveness), biometria i MFA en fluxos d’alt impacte, decisions informades per senyals de la línia; una plataforma automatitzada i flexible redueix la dependència de la revisió manual, millora la detecció i facilita integració i preus clars.

El Brasil viu un pic de delictes digitals on la línia mòbil és l’anella clau: el SIM swap permet als atacants prendre el control del número i interceptar les OTP (one-time password) per SMS i accedir a comptes bancaris i altres aplicacions financeres sensibles. El resultat? R$ 10,1 mil milions en pèrdues bancàries el 2024, segons FEBRABAN (Federação Brasileira de Bancos).

Però les organitzacions financeres no són les úniques afectades. Les operadores de telecomunicacions, sovint el primer esglaó de la cadena, també veuen com el frau d’identitat comporta pèrdues directes, sancions regulatòries i erosió de la confiança del client.

El que sí sembla clar és el modus operandi dels estafadors. Mitjançant enginyeria social, aprofiten processos febles de les operadores i es verifiquen amb dades filtrades (o robades) a la dark web. Tot i que no és l’única acció que preocupa usuaris i institucions: Mão Fantasma s’ha convertit en un altre frau a tenir en compte. Consisteix a induir la víctima a instal·lar una app d’accés remot; a partir d’aquí, els criminals prenen el control del telèfon sense que la persona ho percebi i dirigeixen operacions bancàries fraudulentes. La banca i FEBRABAN recomanen no instal·lar aplicacions per indicació telefònica ni concedir accés remot a tercers.

Què és el SIM swap i per què creix al Brasil

El SIM swap és una de les amenaces més grans per al sector al Brasil. Aquest tipus de frau consisteix que un criminal convenç l’operadora per emetre una nova SIM amb el número de la víctima, barrejant enginyeria social i dades filtrades a la dark web.

Un cop té el control del número, l’atacant captura les OTP per SMS que rep el client legítim (per a accés o recuperació de comptes), produint el que es coneix com a robatori de comptes o account takeover.

El SIM swap és un problema creixent, amb taxes d’èxit significatives reportades pel sector, cosa que el manté com a prioritat per als equips de frau i seguretat.

Per què falla la verificació d’identitat tradicional en telco?

El Brasil ha d’afrontar un dels entorns de ciberdelinqüència més intensos del món. Cada dos segons hi ha un intent de frau d’identitat i, en molts casos, les empreses són incapaces de detectar-lo, combatre’l i aturar-lo a temps.

Tot i que no hi ha xifres oficials sobre el nombre exacte d’accions fraudulentes per SIM swap, s’estima que desenes de milers d’usuaris poden veure’s afectats cada any.

El focus, per tant, s’ha de posar en la debilitat de les eines i processos actuals. Solucions esteses al Brasil han demostrat ser insuficients per la seva dependència de validacions estàtiques, revisions manuals i processos poc flexibles. Tanmateix, no són les úniques responsables: fallen els enfocaments.

Dades exposades i vulnerabilitat de les operadores

L’exposició massiva de dades a la dark web implica que, amb dades estàtiques (com el CPF o la data de naixement), un atacant pot superar controls inicials molt bàsics. Quan aquestes dades ja són públiques, la verificació basada en “el que saps” deixa d’acreditar identitat.

A més, molts processos interns en telco continuen sobrecarregats de validacions humanes (en botiga física o call center) i allunyats de l’anàlisi de senyals de risc en temps real.

El resultat és un ecosistema on:

El client legítim pateix fricció que no sempre bloqueja l’atacant.
Els delinqüents aprofiten informació filtrada per duplicar SIM, recuperar comptes o forçar portabilitats.
Les decisions es prenen amb proves febles (dades estàtiques) en lloc de proves fortes (biometria amb prova de vida, senyals de la línia, reputació del dispositiu).

Filtracions i portabilitat: el punt cec

La portabilitat entre operadores i el duplicat de SIM concentren el risc operatiu més alt. Són esdeveniments d’alt impacte: si l’atacant els supera, pren el control del número i, amb ell, la resta d’autenticacions.

Per combatre-ho, les operadores han d’adoptar estàndards d’alta prova:

Identitat forta en la sol·licitud (document + selfie + liveness) tant a l’app/web com al call center o botiga.
Senyals del número abans de decidir el canal d’autenticació (tipus de línia, antiguitat de la SIM, indicis d’un swap recent).
Confirmació per canal alternatiu (push o correu verificat) i períodes de refredament en canvis sensibles.

Què diu la normativa al Brasil (resum pràctic)

Anatel (Agência Nacional de Telecomunicações) exigeix que la portabilitat de número mòbil es confirmi per SMS a la línia actual de l’usuari. El titular té fins a 6 hores per respondre; si no respon o respon “no”, la sol·licitud es cancel·la automàticament. Aquestes mesures no substitueixen l’autenticació forta en escenaris d’alt risc, però són un mínim regulatori que tota telco ha de complir.

A més, l’Agència va aprovar el Regulamento Geral dos Serviços de Telecomunicações (RGST), que consolida i actualitza les regles del sector de la telefonia.

Per la seva banda, el Regulamento Geral de Direitos do Consumidor va ser actualitzat i consolidat recentment (setembre de 2025), enfortint les obligacions de transparència, qualitat i reversibilitat en la relació amb l’usuari. Això impacta la manera com s’informen i s’executen portabilitats, reposicions de SIM i canvis de dades, així com la traçabilitat per a disputes.

Estratègia de KYC per a operadores de telefonia al Brasil (2025)

Amb eines i processos adequats, les operadores poden reduir sensiblement el frau d’identitat.

Verificació KYC en temps real durant l’alta. Verificació de document, Face Match 1:1 i liveness detection per evitar altes amb identitats sintètiques o suplantades.
Biometria facial i MFA en duplicats de SIM i portabilitats. Integrar autenticació biomètrica com a part de la MFA en processos crítics eleva la barrera davant l’enginyeria social.
Treball amb indicadors de risc. Abans d’enviar una OTP per SMS, avaluar el risc: tipus de línia, antiguitat de la SIM, indicis d’un swap recent. Si el risc és alt, ruta alternativa (biometria, push/correu verificat); si és baix, continuar amb el flux.
IA i anàlisi de comportament. Horaris, ubicacions i cadència de sol·licituds ajuden a detectar anomalies i bloquejar proactivament operacions fora de patró.

Com ajuda Didit les operadores a reduir el frau d’identitat

El Brasil afronta un volum de frau excepcional i, per als operadors, la prioritat número u és reduir les pèrdues per SIM swap, portabilitat fraudulenta i canvis de dades sensibles. Didit és una plataforma de verificació d’identitat dissenyada amb aquest objectiu com a eix central.

Com es tradueix en resultats operatius?

Menys dependència de la supervisió manual. Didit redueix la dependència de revisions manuals i millora la detecció en escenaris d’alt volum, mantenint control i traçabilitat per a auditories.
Coneixement global del frau. Opera amb una base mundial de milers de casos: reconeix patrons i actua en conseqüència.
Connexió amb fonts governamentals. Integra bases de dades governamentals per a comprovacions necessàries contra el frau.
Automatització end-to-end. Evita colls d’ampolla per revisions manuals i accelera onboarding/servicing sense sacrificar control.
Workflows flexibles i personalitzables. Canvis de regles sense tickets; passos addicionals per risc quan el procés ho requereixi.
Transparència i facilitat d’integració. API i mòduls no-code per llançar fluxos en poc temps, amb preus clars.

Per què Didit supera les limitacions habituals del mercat

En un entorn en què els proveïdors tradicionals es basen en validacions estàtiques, revisions manuals i processos poc flexibles, Didit aporta una capa automatitzada i orquestrable, connectada a fonts governamentals, que redueix la dependència de la revisió manual, millora la detecció i manté l’experiència sota control. Combina verificació d’identitat completa amb una base global de patrons de frau per decidir en temps real com tractar noves altes, portabilitats i duplicats de SIM.

KYC per a telcos al Brasil: atura el SIM swap amb poca fricció

Compleix amb Anatel i talla el frau en portabilitat i reposició de SIM amb verificació d'identitat en temps real, biometria i orquestració per risc. Amb Didit, pots començar gratis, llançar fluxos personalitzats i anticipar-te al SIM swap.

Parla amb el nostre equip → Comença gratis pel teu compte

Preguntes freqüents - KYC a la Telco Brasil

Preguntes freqüents

KYC en telefonia al Brasil: dubtes habituals i respostes ràpides

Podem usar només l'SMS de portabilitat com a verificació?

No. L'SMS és una exigència regulatòria d'Anatel per confirmar la portabilitat, però no és una autenticació forta. En alt risc, s'ha de complementar amb biometria, senyals de la línia i confirmació per un canal alternatiu (push o correu verificat).

Quines operacions s'han de tractar com d'“alt impacte” a la telco?

Portabilitat, reposició o duplicat de SIM i canvis de dades sensibles. Requereixen identitat forta amb document, selfie i liveness i, si hi ha senyals de risc, un període de refredament abans d'executar.

Què és acceptable afirmar sobre Mão Fantasma en un blog corporatiu?

És un engany d'accés remot per enginyeria social: l'atacant indueix a instal·lar una aplicació i pren el control del dispositiu. La recomanació del sector és no instal·lar aplicacions per telèfon ni compartir codis.

Com compatibilitzar regulació i experiència d'usuari?

Mantenir l'SMS com a confirmació obligatòria de la portabilitat i aplicar autenticació forta addicional només quan el risc ho requereixi. Així es dosifica la fricció i es compleix amb Anatel.

Què ha de registrar un equip de compliance?

Traçabilitat completa: regles invocades, senyals de la línia consultades, evidència biomètrica i resultats. Això facilita auditories i la resolució de disputes.

Com evitar falsos positius sense sacrificar seguretat en MVNO o eSIM?

Orquestrar passos adaptatius: en risc baix, flux mínim; en risc alt, biometria més canal alternatiu i, si escau, un període de refredament.

Per què no n'hi ha prou amb dades estàtiques (CPF, data de naixement)?

Perquè estan àmpliament exposades; la verificació basada en el que saps no acredita identitat quan aquestes dades són públiques.

Què hem de comunicar al client final per endurir el canal?

Missatges clars: no instal·lar aplicacions per indicació telefònica, no compartir codis i activar MFA als serveis.