Una campaña de mensajes fraudulentos que simuló comunicaciones oficiales de entidades bancarias expuso a usuarios colombianos a la pérdida de información personal y financiera. La suplantación precisa de sitios web incrementó la efectividad del fraude y evidenció brechas críticas en la educación digital.
Imagen: Kaspersky
Colombia enfrentó un incremento en los casos de fraude digital basado en mensajes de texto falsificados. A través de SMS que aparentaban provenir de bancos reconocidos, los ciberdelincuentes desplegaron una campaña masiva de suplantación con el objetivo de obtener datos personales y financieros de las víctimas.
El método consistió en enviar mensajes que advertían sobre la supuesta activación de pólizas bancarias no solicitadas, generando una reacción de alarma en los usuarios. Bajo la promesa de cancelar un servicio no autorizado, los mensajes dirigían a las víctimas a enlaces maliciosos diseñados para capturar información confidencial. Según expertos de Kaspersky, esta modalidad aprovechó dos factores críticos: la ingeniería social para inducir decisiones impulsivas y la baja cultura de ciberseguridad entre los usuarios.
De acuerdo con el estudio Resaca Digital, publicado recientemente por Kaspersky, el 8 % de los colombianos no verificaba la autenticidad de una URL antes de interactuar con ella, y el 15 % no sabía distinguir una dirección web confiable de una fraudulenta. Estos niveles de desconocimiento facilitaron que el fraude tuviera altos índices de éxito, afectando a usuarios de diferentes rangos etarios y niveles de formación.
Una característica distintiva de esta campaña fue que los mensajes parecían provenir de números cortos auténticos —los mismos que utilizan instituciones bancarias para sus notificaciones reales—, lo que disminuyó la capacidad de los usuarios para identificar la amenaza. Además, los sitios de destino replicaron con alta precisión los elementos visuales de las páginas legítimas, incluyendo logotipos, tipografías y estructuras de navegación, aumentando la credibilidad del engaño.
Los ciberdelincuentes solicitaron información como números de identificación, contraseñas, datos de tarjetas bancarias y credenciales de acceso a plataformas de banca en línea. Una vez recolectados, estos datos fueron utilizados para realizar transferencias no autorizadas, realizar compras en línea o vender la información en mercados ilegales.
Desde el punto de vista de ciberseguridad corporativa, la aparición de estas amenazas planteó nuevos retos para los fabricantes de tecnología, mayoristas y canales de servicios digitales. La necesidad de robustecer los sistemas de autenticación, mejorar las capacidades de detección de anomalías en canales de comunicación y educar de forma proactiva a los usuarios finales sobre prácticas de protección de datos se volvió urgente.
Para las organizaciones que operan servicios financieros o soluciones tecnológicas, el incidente subrayó la importancia de implementar estrategias de validación de identidad más allá de los canales tradicionales de comunicación. Asimismo, demostró la relevancia de incorporar soluciones de ciberseguridad adaptativas que permitan detectar patrones de comportamiento anómalos en tiempo real.
El director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, Fabio Assolini, enfatizó que “este tipo de fraudes explota no solo la falta de conocimiento técnico, sino también la respuesta emocional que generan las alertas financieras inesperadas. Por ello, la educación digital y la construcción de hábitos de verificación consciente son herramientas esenciales para mitigar su impacto”.
Como respuesta inmediata a esta ola de fraudes, los especialistas recomendaron:
- No hacer clic en enlaces incluidos en mensajes sospechosos, aunque parezcan provenir de fuentes legítimas.
- Acceder siempre a plataformas bancarias digitando directamente la URL en el navegador o utilizando aplicaciones oficiales.
- Verificar cuidadosamente el remitente del mensaje, el contenido textual y la dirección web antes de interactuar.
- Utilizar soluciones de seguridad confiables, como antivirus y herramientas antiphishing que permitan identificar enlaces maliciosos.
- Reportar los incidentes a las autoridades y a las entidades financieras correspondientes para ayudar a rastrear las campañas fraudulentas.
Además, se instó a las empresas a incorporar políticas de cibereducación dentro de sus estrategias internas de formación, extendiendo programas de concientización a empleados, socios y clientes. Esta necesidad se acentuó aún más para mayoristas y canales que comercializan productos y servicios tecnológicos, quienes deben acompañar sus propuestas de valor con iniciativas de capacitación en ciberseguridad.
El fenómeno también evidenció que las campañas de fraude digital están evolucionando rápidamente hacia modelos que combinan técnicas de phishing, smishing (fraudes por SMS) y vishing (fraudes por llamada telefónica), multiplicando las superficies de ataque para los usuarios y empresas.
Según estimaciones de la Asociación Colombiana de Ingenieros de Sistemas (ACIS), los fraudes cibernéticos en el país crecieron un 18 % en el último año, impulsados principalmente por tácticas de suplantación de identidad. Este dato refuerza la importancia de adoptar mecanismos de protección multicapa y de fortalecer la cooperación entre el sector privado, las autoridades regulatorias y las plataformas de servicios financieros.
El auge de las estafas por SMS falsos en Colombia durante 2025 dejó en evidencia que la ciberseguridad debe ser entendida como una responsabilidad compartida. Para fabricantes, mayoristas y canales tecnológicos, fortalecer las estrategias de prevención y educación digital se convirtió en un componente ineludible para proteger no solo a sus usuarios finales, sino también su reputación y sostenibilidad en un entorno cada vez más vulnerable a las amenazas digitales emergentes.
