En Colombia, el fraude digital dejó de ser algo aislado para convertirse en un sistema en expansión que se adapta con rapidez a los cambios tecnológicos y culturales, y que golpea a miles de personas a diario.
El inicio de este año coincide con un escenario propicio: temporada de viajes, aumento del comercio electrónico, mayor uso de pagos inmediatos y una dependencia creciente del celular como llave de acceso a servicios financieros, laborales y personales. En ese entorno, las nuevas modalidades de fraudes y robos no buscan romper sistemas, buscan convencer a las víctimas.
Una alerta reciente de la empresa de ciberseguridad ESET resume ese giro. En plena temporada de vacaciones de inicio de año, la compañía advirtió sobre el aumento de correos falsos que suplantan a plataformas de alojamiento como Booking.com. Los mensajes alertan sobre supuestos problemas con reservas o reembolsos pendientes e incluyen enlaces maliciosos que conducen a una cadena de engaños cuyo objetivo final es que la propia víctima instale un malware de robo de información. La campaña fue analizada por el equipo de Securonix y se apoya en una técnica conocida como ClickFix.
El mecanismo es preciso. El correo fraudulento utiliza la estética y el lenguaje de Booking.com, lo que lo hace difícil de distinguir de uno legítimo. Ante la urgencia de resolver un inconveniente con una reserva, el usuario hace clic en el enlace incluido en el mensaje y es redirigido a un sitio falso que imita a la plataforma original. Allí, el navegador muestra un mensaje que simula un error crítico del sistema. Al presionar el botón de recarga, el navegador pasa a pantalla completa y despliega una falsa pantalla azul de Windows.
A diferencia de una pantalla real, esta incluye instrucciones para que el usuario ejecute comandos en PowerShell o en la ventana Ejecutar de Windows, con la excusa de solucionar el supuesto problema técnico. Al seguirlas, la víctima desencadena una cadena de acciones maliciosas que incluyen la descarga de un proyecto .NET, la instalación de un troyano de acceso remoto, la desactivación de defensas como Windows Defender y la obtención de persistencia en el sistema.
“Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix muestran que la educación y la atención frente a mensajes urgentes siguen siendo una de las principales barreras de protección”, explica Martina López, especialista en Seguridad Informática de ESET Latinoamérica.
El último ESET Threat Report refuerza la advertencia. Durante el primer trimestre de 2025, esta técnica creció más del 500 % en detecciones, convirtiéndose en el segundo vector de ataque más frecuente después del phishing. El dato ilustra una tendencia estructural: el fraude escala cuando logra mimetizarse con procesos cotidianos.
El fraude como servicio
Ese cambio no se limita a los correos electrónicos. En Colombia, los fraudes que antes requerían semanas de preparación, actores humanos y cadenas de ingeniería social hoy se compran como un servicio en foros clandestinos. Allí se ofrecen clonación de voz para autorizar pagos, videollamadas falsas de directivos e identidades sintéticas capaces de engañar procesos de validación digital.
“Lo que antes era un fraude aislado hoy puede adquirirse en foros clandestinos como un servicio a bajo costo”, advierte Edwin Sabogal Rojas, Cyber Regional Manager para Latinoamérica en AON, firma especializada en gestión de riesgos cibernéticos.
Las cifras dimensionan la magnitud del fenómeno. Según datos del MinTIC, en 2024 Colombia registró cerca de 36.000 millones de intentos de ciberataque. La Global Risk Management Survey 2025 de Aon confirma que los ciberataques y las filtraciones de datos ya son el principal riesgo empresarial del presente y del futuro inmediato. En América Latina, los incidentes crecieron en promedio un 25 % anual durante la última década y Colombia concentra el 8 % de los ataques de la región, solo por detrás de Brasil y México.
En ese contexto, los deepfakes encontraron terreno fértil para expandirse. Los sectores más apetecidos por los atacantes son los mismos que reportan mayor madurez digital: instituciones financieras, transporte, servicios profesionales y comercio minorista. El volumen de transacciones los convierte en blancos atractivos.
El impacto de estas estafas no se limita a las pérdidas directas. “El efecto real está en la confianza”, explica Sabogal. Las consecuencias incluyen interrupciones operativas, sanciones regulatorias, demandas y afectaciones reputacionales que pueden traducirse en fuga de clientes y cancelación de contratos.
Cuando una organización sospecha que fue víctima de un deepfake, la reacción debe ser inmediata. “Cuando una organización sospecha que fue víctima de un deepfake, cada minuto cuenta”, señala el especialista. Por eso recomienda actuar en tres frentes: contención, preservación de evidencia y activación de protocolos de notificación, que incluyen suspender transacciones, bloquear accesos comprometidos y alertar a equipos financieros y legales.
Voces clonadas: de la ciencia ficción a la realidad
La clonación de voz con inteligencia artificial se consolidó como una de las modalidades de fraude con mayor crecimiento. Un informe del programa de Ingeniería de Sonido de la Universidad de San Buenaventura, sede Bogotá, advierte que estas estafas crecieron 30 % en diciembre y entrega pautas prácticas para protegerse.
“La voz genera confianza inmediata y por eso es tan atractiva para los estafadores”, explica Marcelo Herrera, docente de Ingeniería de Sonido de la USB.
Las cifras internacionales refuerzan la alerta. El Fall 2025 Threat Report de Ironscales reveló que el 85 % de las empresas sufrió al menos un incidente con deepfakes en el último año. Gartner informó que el 62 % de las compañías enfrentó intentos similares y McAfee señaló que una de cada diez personas fue blanco directo de una estafa con voz clonada.
En Colombia, los datos empiezan a reflejar el impacto. A diciembre de 2025, la Policía Nacional reportó 64 denuncias por extorsión en Bolívar, de las cuales 24 están asociadas a modalidades digitales que incluyen voces clonadas. En ese mismo periodo, el GAULA registró 36 capturas relacionadas con estos casos. La Estrategia Nacional de Seguridad Digital advierte que el país concentró el 17 % de los intentos de afectación regionales en 2025.
Los estafadores siguen un patrón. Comienzan con un mensaje corto que imita la voz de un familiar o un superior, usando fragmentos extraídos de redes sociales, estados de WhatsApp o grabaciones antiguas. Con apenas unos segundos de audio entrenan modelos capaces de replicar timbre y ritmo con sorprendente fidelidad.
“El delincuente sabe que el cerebro reacciona distinto cuando cree escuchar a alguien cercano en peligro; por eso construyen historias breves y presionadas”, explica Herrera.
Óscar Acosta, docente de Ingeniería de Sonido de la Universidad de San Buenaventura, detalla por qué estas estafas se volvieron comunes. “Hoy día, con en el caso del audio, principalmente, con unos cuantos segundos que tú tengas de alguna grabación de una persona, lo puedes subir a portales web, en los cuales se puede entrenar fácilmente un algoritmo, una de estas redes, y así se hace aquella clonación de voces”.
El experto identifica señales para detectar un audio falso. “Uno de los temas importantes para detectar es cuando el sonido suena muy limpio, con poco ruido de fondo”, explica. También menciona que “el sonido suene suele parecer de forma metálica, un poco robótica” y que “es difícil plasmar sentimientos de emoción, alegría, tristeza”. A eso se suma “una prosodia no natural”, otro síntoma de alerta.
Acosta subraya un factor cultural que amplifica el riesgo en Colombia. “Hoy día, con los teléfonos móviles, computadores y demás elementos electrónicos, estamos todo el tiempo generando datos, fotografías, documentos y, por supuesto, audios”. En un país donde la nota de voz reemplazó a la llamada telefónica, esa abundancia se convierte en una base involuntaria para el fraude.
Compras que no se hicieron y líneas secuestradas
No todas las estafas llegan por correo o audio. ESET alertó sobre el aumento del brushing, una modalidad en la que los consumidores reciben paquetes que no solicitaron. “Las estafas de brushing son un tipo de fraude en el comercio electrónico en el que un vendedor envía un paquete a la dirección de una persona aparentemente al azar”, explica Martina López.
El objetivo no es regalar productos, es inflar reseñas y validar datos personales. “La preocupación por recibir productos gratis por correo recae en el posible hecho de ser el objetivo de una estafa de brushing, lo que podría indicar que hay datos personales que se están compartiendo en el mundo del ciberdelito”, advierte López. En versiones más peligrosas, los paquetes incluyen códigos QR que redirigen a sitios de phishing o malware.
En paralelo, el celular se consolidó como la principal llave digital. El despliegue de Bre-B, el sistema de pagos inmediatos en Colombia, reactivó un riesgo conocido en otros países: el fraude por SIM Swap. La técnica permite a delincuentes secuestrar líneas telefónicas y recibir códigos de verificación.
Fabio Assolini, director del Equipo Global de Investigación y Análisis de Kaspersky, fue víctima directa de este ataque. “Hoy es algo ya conocido. El criminal activa tu número con otra SIM card y empieza a recibir todos tus SMS. Lo que le interesa no son las llamadas, sino los códigos”, explicó.
El problema se apoya en una debilidad estructural. “Los códigos OTP que llegan por SMS son inseguros, pero se siguen usando porque el SMS es barato y llega a cualquier dispositivo, incluso sin internet”, señaló Assolini. En América Latina, el ataque suele comenzar con sobornos a empleados de telecomunicaciones o con el compromiso de la infraestructura de las operadoras.
“El criminal registra el número en una cuenta controlada por una mula de lavado y confirma el cambio con el código recibido por SMS. Desde ahí, todos los pagos llegan al delincuente”, agregó. Para el experto, eliminar el SMS como factor de autenticación sería la solución ideal, aunque reconoce las barreras. “Al final, no es culpa del usuario. La mayor responsabilidad recae en las operadoras”.
¿Cuánto valen los datos robados?
El objetivo final del fraude no siempre es inmediato. ESET advierte que la información personal se convirtió en uno de los botines más codiciados por los actores maliciosos. Una vez obtenida, se vende en foros clandestinos, se usa para suplantación de identidad, fraude financiero, phishing personalizado y extorsión.
La información permite crear perfiles falsos creíbles y presionar a las víctimas. En el ámbito empresarial, una contraseña robada puede abrir la puerta al espionaje y al sabotaje. Por eso, las recomendaciones insisten en reducir la exposición, activar autenticación multifactor y mantener dispositivos actualizados.
En el ecosistema móvil, el riesgo se amplifica. ESET advierte que exploits antiguos y troyanos adaptados siguen dominando Android en América Latina, impulsados por dispositivos desactualizados y canales de distribución inseguros. “Ese ecosistema facilita tanto la circulación de familias conocidas como la aparición constante de variantes nuevas”, explica Martina López.
Las estafas telefónicas y digitales continúan evolucionando. Truecaller identifica modalidades frecuentes como la suplantación de identidad, los fraudes por inversiones falsas, el phishing y las llamadas con urgencia emocional. La recomendación central se repite: desconfiar, verificar y no actuar bajo presión.
El mapa del fraude en Colombia muestra que la amenaza no proviene de un solo frente. Correos falsos, audios clonados, paquetes inesperados y líneas secuestradas forman parte de una misma lógica. El ataque busca explotar la confianza, la rutina y la urgencia. Frente a ese escenario, la defensa más efectiva sigue siendo una combinación de tecnología, educación y pausa.
Regístrate al newsletter