Cómo la nueva función de enmascaramiento de números de M-Pesa podría detener miles de estafas

Desde el inicio de la plataforma de dinero móvil M-Pesa de Safaricom en 2007, cada vez que un usuario envía dinero, paga combustible, comestibles o un viaje en boda boda, deja su número de teléfono, que aparece en la notificación de transacción enviada al receptor o comerciante. Ese número podría ser guardado, compartido o vendido a actores maliciosos involucrados en fraude de intercambio de SIM.

Para los más de 37 millones de kenianos que usan la plataforma, es un posible eslabón en una cadena que, en algunos casos, ha terminado en clientes perdiendo sus fondos ante estafadores.

El viernes, el Banco Central de Kenia (CBK) aprobó la tan esperada solicitud de Safaricom de ocultar los números de teléfono de los usuarios cada vez que realizan pagos. 

La decisión marca un cambio significativo en la privacidad digital para los usuarios de la plataforma y una intervención directa en una amenaza de fraude que ha alimentado miles de estafas en el país.

"Esto es para informarle que el CBK ha revisado su solicitud y presentaciones en apoyo de la solución y aprueba su solicitud para implementar la minimización de datos para transacciones entre pares," dijo el CBK en su carta a Safaricom.

Bajo el nuevo sistema, los números de teléfono serán parcialmente enmascarados en transferencias entre pares. Si un destinatario quiere ver el número completo, tendrá que solicitarlo—y el remitente puede consentir o rechazar.

La función también evitará que los comerciantes vean el nombre completo o número móvil del pagador al liquidar facturas o comprar bienes a través de los números Till o Paybill de la plataforma, reduciendo la visibilidad de información personal, que ha sido un punto de preocupación para millones de usuarios.

Crecientes amenazas de fraude 

Las consecuencias de los números de teléfono fáciles de encontrar han sido evidentes. En 2025, la Dirección de Investigaciones Criminales (DCI) arrestó a seis sospechosos de cibercrimen en Mombasa que operaban una red de estafas en la ciudad costera. Según el DCI, los estafadores usaron aplicaciones de suplantación de identidad—pagadas con más de KES 500.000 ($3.875)—para hacerse pasar por agentes de servicio al cliente de bancos y telecomunicaciones.

Usando números de teléfono obtenidos de transacciones legítimas, podían convencer a las víctimas de que estaban hablando con un oficial de confianza, obteniendo PINs y contraseñas.

El fraude de intercambio de SIM también se ha convertido en uno de los crímenes más dañinos en la economía móvil de Kenia, explotando el hecho de que un número de teléfono funciona como nombre de usuario bancario y cuenta de dinero móvil.  Los estafadores engañan o sobornan a agentes de telecomunicaciones para transferir el número de una víctima a una nueva tarjeta SIM, bloqueando al propietario legítimo de su línea.

Una vez hecho esto, restablecen los PINs de banca móvil y M-Pesa, interceptan contraseñas de un solo uso y vacían cuentas en minutos. La escala de la amenaza ha generado repetidas advertencias de la Autoridad de Comunicaciones de Kenia y el Banco Central de Kenia, así como reglas más estrictas de registro de SIM y requisitos más fuertes de verificación de clientes.

El Tribunal Superior de Kenia también ha otorgado daños a consumidores por contacto no autorizado y spam de empresas privadas. Por ejemplo, es común que negocios locales envíen mensajes promocionales a clientes que pagan vía dinero móvil.

Los reguladores ahora están ajustando las expectativas sobre cómo los servicios financieros digitales manejan datos personales. En 2024, las empresas financieras y de seguros representaron aproximadamente el 30% de las determinaciones emitidas por la Oficina del Comisionado de Protección de Datos (ODPC), con más de 5.000 quejas presentadas.