KYC en telefonía en Brasil: cómo frenar el fraude (SIM swap y más)
Key takeaways
El SIM swap y el “Mão Fantasma” son hoy los vectores principales de fraude móvil en Brasil; las telcos, como primer eslabón, sufren pérdidas, sanciones y pérdida de confianza si no protegen el número y los flujos críticos.
La verificación tradicional falla por dependencia de datos estáticos expuestos, OTP por SMS en canales comprometidos y procesos humanos vulnerables; portabilidad y duplicado de SIM son los puntos más críticos y requieren identidad fuerte, señales del número, confirmación por canal alternativo y periodos de enfriamiento.
Normativa: Anatel exige confirmación por SMS en portabilidad (con ventana de respuesta), el RGST y el RGC actualizados refuerzan transparencia y trazabilidad; el SMS es obligatorio pero insuficiente como autenticación fuerte en escenarios de alto riesgo.
Estrategia eficaz y rol de Didit: KYC en tiempo real (documento, selfie y liveness), biometría y MFA en flujos de alto impacto, decisiones informadas por señales del número; una plataforma automatizada y flexible reduce la dependencia de revisión manual, mejora la detección y facilita integración y precios claros.
Brasil vive un pico de delitos digitales donde la línea móvil es el eslabón clave: el SIM swap permite a los atacantes tomar el control del número, interceptar las claves OTP (one-time password) por SMS y entrar en cuentas bancarias y otras aplicaciones financieras sensibles. ¿El resultado? Pérdidas bancarias de R$ 10,1 bilhões en 2024, según FEBRABAN (Federação Brasileira de Bancos).
Pero las organizaciones financieras no son las únicas afectadas por estos delitos. Las empresas de telecomunicaciones, muchas veces el primer eslabón de la cadena, también ven cómo el fraude de identidad conlleva pérdidas directas, sanciones regulatorias y erosión de la confianza del cliente.
Lo que sí parece estar claro es el modus operandi de los estafadores. Mediante ingeniería social, aprovechan los procesos débiles de las operadoras y consiguen verificarse con datos filtrados (o robados) en la dark web. Aunque no es la única acción que preocupa a usuarios e instituciones: Mão Fantasma se ha convertido en otro fraude a tener en cuenta. Consiste en inducir a la víctima a instalar una app de acceso remoto; a partir de ahí, los criminales toman control del teléfono sin que la persona lo perciba y guían operaciones bancarias fraudulentas. La banca y FEBRABAN recomiendan no instalar aplicaciones por indicación telefónica ni conceder acceso remoto a terceros.
Qué es el SIM swap y por qué crece en Brasil
El SIM swap es una de las mayores amenazas para el sector en Brasil. Este tipo de fraude consiste en que un criminal convence a la operadora para emitir una nueva SIM con el número de la víctima, mezclando ingeniería social y datos filtrados en la dark web.
Una vez tiene el control del número, el atacante captura las OTP por SMS que recibe el cliente legítimo (para acceso o recuperación de cuentas), produciendo lo que se conoce como robo de cuentas o account takeover.
El SIM swap es un problema creciente, con tasas de éxito significativas reportadas por el sector, lo que lo mantiene como prioridad para equipos de fraude y seguridad.
¿Por qué falla la verificación de identidad tradicional en telco?
Brasil debe hacer frente a uno de los mayores entornos de ciberdelincuencia del mundo. Cada dos segundos ocurre un intento de fraude de identidad y, en muchos casos, las empresas son incapaces de detectar, combatir y frenar estos hechos.
Si bien no hay cifras oficiales sobre el número exacto de acciones fraudulentas por SIM swap, se estima que decenas de miles de usuarios pueden verse afectados cada año.
El foco, por tanto, debe ponerse en la debilidad de las herramientas y procesos actuales. Soluciones extendidas en Brasil han demostrado ser insuficientes por su dependencia de validaciones estáticas, revisiones manuales y procesos poco flexibles. No obstante, no son las únicas responsables: fallan los enfoques.
Datos expuestos y vulnerabilidad de las operadoras
La exposición masiva de datos en la dark web implica que, con datos estáticos (como CPF o fecha de nacimiento), un atacante puede superar controles iniciales muy básicos. Cuando esos datos ya son públicos, la verificación basada en “lo que sabes” deja de acreditar identidad.
Además, muchos procesos internos en telco siguen sobrecargados de validaciones humanas (ocurre en tienda física o call center) y alejados del análisis de señales de riesgo en tiempo real.
El resultado es un ecosistema donde:
- El cliente legítimo sufre fricción que no siempre bloquea al atacante.
- Los delincuentes aprovechan información filtrada para duplicar SIM, recuperar cuentas o forzar portabilidades.
- Las decisiones se toman con pruebas débiles (datos estáticos) en vez de pruebas fuertes (biometría con prueba de vida, señales de la línea, reputación del dispositivo).
Filtraciones y portabilidad: el punto ciego
La portabilidad entre operadoras y el duplicado de SIM concentran el mayor riesgo operativo. Son eventos de alto impacto: si el atacante los supera, toma el control del número y, con él, el resto de autenticaciones.
Para combatirlo, las operadoras deben adoptar estándares de alta prueba:
- Identidad fuerte en la solicitud (documento + selfie + liveness) tanto en app/web como en call center o tienda.
- Señales del número antes de decidir el canal de autenticación (tipo de línea, antigüedad de la SIM, indicios de swap reciente).
- Confirmación por canal alternativo (push o e-mail verificado) y periodos de enfriamiento en cambios sensibles.
Qué dice la normativa en Brasil (resumen práctico)
Anatel (Agência Nacional de Telecomunicações) exige que la portabilidad de número móvil se confirme por SMS en la línea actual del usuario. El titular debe responder en hasta 6 horas; si no responde o responde “no”, la solicitud se cancela automáticamente. Estas medidas no sustituyen la autenticación fuerte en escenarios de alto riesgo, pero son un mínimo regulatorio que toda telco debe cumplir.
Además, la Agencia aprobó el Regulamento Geral dos Serviços de Telecomunicações (RGST), que consolida y actualiza las reglas del sector de la telefonía.
Por su parte, el Regulamento Geral de Direitos do Consumidor fue actualizado y consolidado recientemente (septiembre de 2025), reforzando obligaciones de transparencia, calidad y reversibilidad en la relación con el usuario. Esto impacta la forma en que se informan y ejecutan portabilidades, reposiciones de SIM y cambios de datos, así como la trazabilidad para disputas.
Estrategia de KYC para operadoras de telefonía en Brasil (2025)
Con herramientas y procesos adecuados, las operadoras pueden reducir sensiblemente el fraude de identidad.
- Verificación KYC en tiempo real durante el onboarding. Verificación de documento, Face Match 1:1 y liveness detection para evitar altas con identidades sintéticas o suplantadas.
- Biometría facial y MFA en duplicados de SIM y portabilidades. Integrar autenticación biométrica como parte de la MFA en procesos críticos eleva la barrera frente a la ingeniería social.
- Trabajo con indicadores de riesgo. Antes de enviar un OTP por SMS, evaluar el riesgo: tipo de línea, antigüedad de SIM, indicios de swap reciente. Si el riesgo es alto, ruta alternativa (biometría, push/e-mail verificado); si es bajo, continuar con el flujo.
- IA y análisis de comportamiento. Horarios, ubicaciones y cadencia de solicitudes ayudan a detectar anomalías y bloquear proactivamente operaciones fuera de patrón.
Cómo ayuda Didit a las operadoras a reducir el fraude de identidad
Brasil afronta un volumen de fraude excepcional y, para los operadores, la prioridad número uno es reducir las pérdidas por SIM swap, portabilidad fraudulenta y cambios de datos sensibles. Didit es una plataforma de verificación de identidad diseñada con ese objetivo como eje central.
¿Cómo se traduce en resultados operativos?
- Menos dependencia de la supervisión manual. Didit reduce la dependencia de revisiones manuales y mejora la detección en escenarios de alto volumen, manteniendo control y trazabilidad para auditorías.
- Conocimiento global del fraude. Opera con una base mundial de miles de casos: reconoce patrones y actúa en consecuencia.
- Conexión con fuentes gubernamentales. Integra bases de datos gubernamentales para comprobaciones necesarias contra fraude.
- Automatización end-to-end. Evita cuellos de botella por revisiones manuales y acelera onboarding/servicing sin sacrificar control.
- Workflows flexibles y personalizables. Cambios de reglas sin tickets; pasos adicionales por riesgo cuando el proceso lo requiera.
- Transparencia y facilidad de integración. APIs y módulos no-code para lanzar flujos en poco tiempo, con precios claros.
Por qué Didit supera las limitaciones habituales del mercado
En un entorno en el que los proveedores tradicionales se apoyan en validaciones estáticas, revisiones manuales y procesos poco flexibles, Didit aporta una capa automatizada y orquestable, conectada a fuentes gubernamentales, que reduce la dependencia de la revisión manual, mejora la detección y mantiene la experiencia bajo control. Combina verificación de identidad completa con una base global de patrones de fraude para decidir en tiempo real cómo tratar nuevas altas, portabilidades y duplicados de SIM.