El aumento de fraudes digitales y filtraciones en el sector financiero de Colombia

A lo largo de mis siete años de trayectoria profesional auditando infraestructuras tecnológicas y evaluando protocolos de ciberseguridad corporativa, he documentado cómo las tácticas del cibercrimen mutan para evadir las defensas tradicionales. Hoy, Colombia enfrenta un punto crítico en materia de seguridad informática. Con más de 7.100 millones de intentos de ciberataques registrados en el primer semestre de 2025 y un promedio alarmante de 2.803 ataques semanales por organización durante 2026, las cifras nacionales superan ampliamente la media global.

En este ecosistema hostil, el reciente incremento del 22 % en los fraudes digitales expone una transformación estructural en la economía digital: los atacantes ya no apuntan a las bóvedas fortificadas de los bancos, sino a los eslabones más débiles de su cadena de suministro.

La vulnerabilidad en la cadena de suministro tecnológica

La reciente filtración de datos originada en un proveedor externo de cobranza, la cual habría expuesto información de clientes de entidades financieras como BBVA y Nubank, no es un incidente aislado. Es la evidencia técnica de un cambio de paradigma. Aunque las instituciones bancarias confirmaron que los sistemas centrales (core banking) no fueron comprometidos y las claves permanecen seguras, el evento subraya una vulnerabilidad crítica.

Los ciberdelincuentes están concentrando sus recursos en atacar a proveedores externos que poseen acceso legítimo a bases de datos sensibles. Los reportes forenses indican que la información filtrada en estos ataques suele incluir nombres, números de identificación, números telefónicos y datos de alto valor comercial en la red oscura, como montos exactos de deuda, fechas de pago y estados de obligaciones financieras.

El impacto económico y operativo de las brechas

Desde una perspectiva corporativa, las consecuencias de estas vulneraciones son devastadoras. Un incidente de este nivel puede generar pérdidas directas de hasta 6,3 millones de dólares por evento y provocar interrupciones operativas superiores a las 36 horas. En el ámbito regulatorio colombiano, las sanciones por el mal manejo de datos personales pueden alcanzar los 2.000 Salarios Mínimos Mensuales Legales Vigentes (SMMLV), sumado al incalculable daño reputacional que erosiona la confianza del mercado.

Evolución de las amenazas y casos recientes en el país

Para comprender la magnitud de la problemática, es necesario observar el historial reciente. Colombia ha sufrido una escalada de ataques dirigidos a infraestructuras críticas que demuestran la sofisticación de los actores maliciosos:

• Colpensiones (2025): Soportó más de 53 millones de intentos de intrusión en su infraestructura digital, evidenciando el interés por bases de datos poblacionales.
• EPM (2025): Fue víctima de una redirección fraudulenta de pagos que afectó a usuarios legítimos y forzó la suspensión preventiva de sus canales digitales.
• Avianca (2025): Sufrió un ataque de amenaza persistente avanzada (APT) que impactó a 48.000 usuarios, generando pérdidas millonarias.
• Entidades públicas (2025): Experimentaron filtraciones de datos que posteriormente fueron publicadas en la dark web con fines de extorsión.

A pesar de este historial, el entorno empresarial sigue rezagado. Las métricas indican que seis de cada diez organizaciones en Colombia operan sin las medidas criptográficas y de control de acceso adecuadas para proteger los datos personales. Los incidentes reportados superaron los 70.000 casos en 2024, consolidando una tendencia al alza que amenaza la estabilidad de múltiples sectores.

Ingeniería social y fraudes hiperpersonalizados

Oscar Diaz, Chief Commercial Officer de la firma experta en ciberseguridad ERC Colombia, advierte que los proveedores se han convertido en la puerta de entrada más eficiente, permitiendo escalar ataques con menor esfuerzo y mayor impacto. A nivel global, las filtraciones asociadas a terceros representan hasta el 64 % de las brechas de datos recientes.

El robo de datos transaccionales, como montos de deuda y fechas de corte, proporciona el contexto necesario para ejecutar ataques de ingeniería social de alta precisión. Con esta información, los delincuentes despliegan:

• Fraudes hiperpersonalizados con tasas de éxito que alcanzan el 40 %.
• Suplantación de identidad avanzada (Account Takeover).
• Extorsión y perfilamiento financiero exhaustivo de las víctimas.
• Creación de pasarelas y esquemas de pago falsos visualmente idénticos a los legítimos.

Diaz explica que, al contar con información contextual precisa, los atacantes logran construir escenarios telefónicos o digitales totalmente creíbles, rompiendo la barrera de desconfianza del usuario.

Estrategias de mitigación y arquitectura de confianza cero

A nivel de infraestructura, las fallas que permiten estas filtraciones suelen ser recurrentes: configuraciones incorrectas en contenedores de la nube, ausencia de autenticación multifactor (MFA), vulnerabilidades en interfaces de programación de aplicaciones (APIs) mal documentadas y debilidades en la supervisión de privilegios.

Para contener esta amenaza, las entidades financieras y sus proveedores deben abandonar los modelos de seguridad perimetral obsoletos y adoptar arquitecturas de Confianza Cero (Zero Trust). Este modelo exige la verificación continua de cada solicitud de acceso, asumiendo que la red ya está comprometida.

Finalmente, para los usuarios finales, la protección técnica comienza con la higiene digital. Es imperativo desconfiar sistemáticamente de llamadas o mensajes de texto que incluyan información financiera precisa, abstenerse de realizar pagos a través de enlaces acortados enviados por terceros, verificar cualquier irregularidad directamente en las aplicaciones oficiales del banco y, bajo ninguna circunstancia, compartir códigos de seguridad de un solo uso (OTP) dictados por teléfono.