Navega Seguro, Vive Tranquilo

Utiliza la llamada telefónica como herramienta de engaño. Los delincuentes se hacen pasar por empleados de bancos, técnicos de soporte o funcionarios públicos para obtener datos personales o bancarios. Casi tres de cada diez intentos de fraude digital en Colombia se realizan mediante este método de llamadas falsas.

Es la modalidad de ciberdelito más conocida. Consiste en la suplantación de identidad de empresas u organismos mediante correos o sitios web falsos, con el fin de obtener información confidencial como contraseñas o datos bancarios. Los estafadores envían mensajes con enlaces a páginas prácticamente idénticas a las reales, usando tácticas de ingeniería social (engaño psicológico) para que la víctima entregue sus datos. Colombia se ha posicionado como uno de los países más afectados por phishing en la región.

Traslada las estrategias de engaño al teléfono móvil mediante mensajes de texto. El estafador envía un SMS alarmante o tentador con un enlace malicioso o un número de teléfono falso. Suelen apelar al miedo o la urgencia para que el usuario reaccione sin pensar (“¡Alerta bancaria: movimiento inusual en su cuenta!”, “Su paquete no pudo ser entregado, actualice la dirección aquí”). Este método es muy efectivo: según un informe, casi la mitad de personas estafadas en Colombia fueron abordadas inicialmente vía mensajes de texto.

Consiste en hacerse pasar por otra persona (o empresa) para cometer fraudes o delitos a su nombre. Los delincuentes utilizan información personal robada (nombres, cédulas, contraseñas, fotos) para acceder a cuentas ajenas, solicitar créditos, realizar compras o incluso estafar a terceros haciéndose pasar por la víctima. Con frecuencia el phishing u otras filtraciones son la vía para obtener los datos inicialmente. Este delito ha ido en aumento: en la primera mitad de 2024, un 17% de los colombianos reportó haber sufrido algún tipo de robo de identidad digital.

Los estafadores comparten enlaces que prometen ofertas irresistibles o productos a precios extremadamente bajos con el objetivo de engañar a los usuarios. Suelen anunciar ventas de artículos muy deseados (celulares, consolas, electrodomésticos) con descuentos irreales, o regalar cupones y premios a cambio de registrarse en algún sitio. Al hacer clic, la víctima es dirigida a páginas falsas que pueden robar sus datos financieros o instalar malware. Esta modalidad de fraude ha aumentado con el auge del comercio en redes sociales y la confianza de la gente en enlaces compartidos por amigos o contactos. (Reportes indican que estas estafas en redes crecieron significativamente durante 2024).

Los delincuentes toman control de la cuenta de WhatsApp de la víctima usando técnicas de ingeniería social. Comúnmente, se hacen pasar por soporte técnico o conocidos para convencer a la persona de compartir el código de verificación de 6 dígitos que WhatsApp envía por SMS. Una vez obtienen ese código, registran la cuenta de WhatsApp en otro dispositivo, expulsando al legítimo dueño. Con la cuenta clonada, empiezan a contactar a los familiares y amigos de la víctima, pidiéndoles dinero con algún pretexto urgente (por ejemplo, una emergencia o un problema repentino), aprovechando que esos contactos confían en la identidad del remitente. Esta estafa se ha vuelto muy frecuente; el Centro Cibernético Policial (CAI Virtual) reportó más de 3.000 casos entre marzo y julio de 2023 solo en Colombia.

Es un fraude en el que el delincuente logra obtener una tarjeta SIM duplicada con el número de teléfono de la víctima, haciéndose pasar por ella ante la compañía celular. Con la SIM clonada en su poder, el estafador controla el número de teléfono y puede recibir las llamadas, mensajes SMS y códigos de verificación que envían bancos o aplicaciones. Esto le permite burlar autenticaciones de dos pasos que usan mensajes al celular, y así acceder a cuentas bancarias, de correo, redes sociales, etc., resetear contraseñas y realizar transacciones a nombre de la víctima.

Son comunicaciones falsas que suplantan a la DIAN u otra entidad fiscal. Los estafadores envían mensajes alarmantes al contribuyente, indicando supuestos problemas: que “presenta mora en sus obligaciones fiscales”, “tiene un cobro coactivo pendiente” o que será sancionado si no realiza cierta acción. Incluyen un enlace para “solucionar” el problema, el cual lleva a un sitio web muy similar al de la DIAN donde se piden datos de acceso a cuentas bancarias, números de tarjeta o información personal que luego es robada.

Los delincuentes aprovechan la popularidad de Transfiya (mecanismo de transferencias inmediatas entre bancos) para engañar. Envían mensajes o incluso notificaciones push que parecen provenir del banco o de la app, indicando que “tienes un pago por Transfiya, haz clic para aceptarlo” o algo similar. En realidad, puede ser un enlace de phishing que lleva a un portal clonado donde le piden ingresar a su banca en línea, robando esas credenciales. Otra variante es que le envían una solicitud de dinero a través de Transfiya pero la presentan como si fuera un pago entrante, para que el usuario, confundido, la acepte. Al hacerlo, en lugar de recibir dinero, lo está enviando desde su cuenta al estafador.

Con la introducción del sistema de pagos inmediatos Bre-B, los estafadores aprovechan el desconocimiento inicial de los usuarios. Envían mensajes (generalmente SMS o WhatsApp) con enlaces acortados que redirigen a sitios fraudulentos, simulando ser portales bancarios legítimos. Suelen indicar que el usuario tiene “una llave Bre-B pendiente por registrar” o “ha recibido una transferencia a través de Bre-B” y que debe ingresar urgentemente a un enlace para gestionarlo. Esto busca generar apuro y curiosidad. Al entrar, la página clonada imita casi a la perfección el diseño y colores del banco real que la víctima usa, dificultando notar el engaño. Allí le piden ingresar sus credenciales bancarias o códigos, que los atacantes capturan para acceder a sus cuentas.

Los estafadores crean sitios web o publicaciones que simulan ser tiendas legítimas (a veces copian el nombre y logo de comercios reconocidos o inventan tiendas nuevas con ofertas increíbles). El objetivo es obtener los datos de pago de los compradores o su dinero por compras de productos que nunca enviarán. Ofrecen productos muy demandados con precios bajos para atraer a las víctimas. Cuando la persona intenta comprar, el sitio le pide datos de tarjeta de crédito, números de identificación y otros detalles que van directamente a los delincuentes, o a veces solicitan pagos por adelantado vía transferencias a cuentas falsas. Una vez obtienen el dinero o la información, la “tienda” desaparece.

El estafador aborda a la víctima en persona, por lo general de forma casual en la calle o lugares públicos. Con algún pretexto amable (por ejemplo, una “recomendación” o ayuda), le propone instalar una supuesta aplicación innovadora que combina o facilita el uso de sus billeteras digitales (Nequi, Daviplata u otras). En realidad, dicha app es falsa o maliciosa; su propósito es obtener acceso a las cuentas digitales del usuario. Puede ser una APK (app de Android) que no está en las tiendas oficiales, la cual, una vez instalada, pide permisos excesivos o le solicita ingresar las credenciales de sus cuentas bancarias. Todo se hace pasar como algo legítimo ante los ojos de la víctima.

Ocurre cuando los datos de su tarjeta bancaria son obtenidos y utilizados sin su autorización. Puede suceder de forma física (mediante la clonación de la tarjeta en un cajero adulterado o un datáfono manipulado en un comercio) o de forma digital (por filtraciones en comercios en línea, malware en su dispositivo o phishing donde usted mismo proporcionó la información de la tarjeta). Con esos datos –número de tarjeta, fecha de expiración, código CVV, incluso su PIN en casos de débito– los delincuentes realizan compras, avances de efectivo o trasferencias, afectando su dinero. Frecuentemente la víctima conserva su tarjeta física, por lo que no se entera hasta ver cargos extraños en sus extractos.

Son fraudes financieros donde se invita a las personas a “invertir” dinero con la promesa de rendimientos extraordinarios en poco tiempo (duplicar o triplicar el capital, ganar un porcentaje fijo mensual muy alto, etc.). Al principio, quienes ingresan pueden recibir algún pago para ganar confianza, pero ese dinero realmente proviene de la entrada de nuevos participantes, no de ganancias reales. Es un esquema insostenible: cuando no entran suficientes personas nuevas, colapsa y los organizadores huyen con el dinero. En Colombia han resurgido con frecuencia, disfrazados de supuestas plataformas de trading, criptomonedas, forex, inversiones en oro, etc. Las autoridades estiman que existen miles de estas “pirámides” operando en el país en la actualidad.

Afecta principalmente a los conductores o repartidores que utilizan estas aplicaciones. Los delincuentes, en muchos casos operando desde cárceles, piden un servicio (un viaje o un domicilio) y luego, durante la comunicación con el trabajador, intentan engañarlo para que realice pagos no convencionales. Una táctica reportada es solicitar al repartidor que haga una consignación por adelantado de dinero con la promesa de reembolsárselo al concluir el servicio. Argumentan supuestas necesidades logísticas o de pago de un convenio. En realidad, una vez obtienen ese dinero adelantado, cancelan el servicio y desaparecen, dejando al trabajador sin el pago y con la pérdida del dinero adelantado.

En esta modalidad, los delincuentes contactan a la víctima fingiendo ser clientes interesados en sus servicios profesionales o en contratar un trabajo. Pueden hallar a la víctima por anuncios clasificados, redes sociales o páginas amarillas. Tras hacerle una oferta atractiva (por ejemplo, un viaje de transporte bien pago, un servicio de construcción, un pedido voluminoso de mercancía), pactan una cita o desplazamiento a un lugar para supuestamente realizar el trabajo. Todo es una trampa planificada: al llegar al sitio indicado (que suele ser apartado o en las afueras de la ciudad), la víctima es abordada por delincuentes armados que la retienen (secuestro extorsivo). Luego exigen dinero a sus familiares o conocidos a cambio de liberarla, o le roban sus pertenencias costosas (herramientas, vehículo, mercancía). En algunos casos, ni siquiera llega al encuentro: durante la coordinación le piden un pago “adelantado para materiales” o información confidencial, resultando igualmente en fraude.

Es una variante sofisticada de vishing donde el estafador utiliza tecnología para capturar las teclas que la víctima digita en su teléfono. El delincuente llama haciéndose pasar, por ejemplo, por funcionario del banco, e induce a la víctima a que realice una llamada a un supuesto número oficial o se quede en línea para “verificar datos”. En ese proceso, activa una grabación o sistema falso que suena igual que el menú telefónico del banco (con opciones, tonos y voz pregrabada). Le pide al usuario que ingrese su número de cédula, número de cuenta o tarjeta y hasta su clave personal, supuestamente para validar su identidad o “desbloquear” algo. La víctima, al marcar esos dígitos en su teléfono, realmente se los está entregando al estafador: una aplicación especial decodifica los tonos DTMF de las teclas y registra exactamente los números ingresados. En cuestión de minutos obtienen toda la información necesaria para acceder a su cuenta bancaria.

Esta técnica combina el uso de QR con estrategias de phishing. Los estafadores imprimen códigos QR que, al ser escaneados, llevan a la víctima a páginas web diseñadas para robar información o dinero. Suplantan con frecuencia QR legítimos (por ejemplo, los de menús de restaurantes, pagos en tiendas o información de WiFi público) pegando su propio código encima del original. También pueden enviarlo por redes sociales o correo diciendo “escanea este QR para reclamar un premio/pago”. Cuando la persona escanea el código con la cámara de su celular, es dirigida a un sitio que puede pedirle datos personales, credenciales bancarias o hacer que descargue una aplicación maliciosa. Dado que mucha gente ve los QR como atajos convenientes, bajan la guardia al usarlos. Ha habido un aumento de esta modalidad en Colombia conforme los códigos QR se han vuelto comunes para pagos y menús digitales.

Es un ataque de phishing selectivo y sofisticado. A diferencia del phishing masivo, aquí el ciberdelincuente investiga a su víctima para confeccionar un mensaje prácticamente “a la medida”. Puede incluir información real (nombre de compañeros de trabajo, puestos, proyectos actuales) para ganar confianza. El correo puede parecer enviado por un superior, un proveedor conocido o un colega, solicitando algo que en apariencia es legítimo (datos de acceso, transferencia de fondos, abrir un documento). Al estar bien contextualizado, la probabilidad de engaño es mayor. Este método suele emplearse para robar credenciales de sistemas críticos o desviar pagos empresariales (lo que se conoce también como BEC - Business Email Compromise).

Son extorsiones que mezclan aspectos íntimos o personales de la víctima con medios digitales. Incluye la sextorsión, donde amenazan con difundir fotos o videos íntimos de la persona si no paga cierta suma o realiza algo; también extorsiones relacionadas a deudas de préstamos ilegales en línea (por ejemplo, aplicaciones “gota a gota” que piden acceso a sus contactos y luego amenazan con exponer su situación a todos) y amenazas de exparejas o conocidos difundidas por redes. El delincuente suele obtener material privado ya sea hackeando dispositivos, engañando a la víctima para que lo comparta (por confianza que luego traicionan) o incluso montando imágenes falsas, y luego lo utiliza para coaccionar. Hay un fuerte componente emocional: vergüenza, miedo al daño reputacional, miedo a represalias físicas, etc., que les permite manipular a la víctima.

El ransomware es un tipo de malware que cifra (encripta) los archivos de su dispositivo o sistema, de modo que usted ya no puede abrirlos ni usarlos. Tras el ataque, el programa malicioso muestra un mensaje informándole que sus datos han sido “secuestrados” y exigiendo un rescate –usualmente dinero en criptomonedas como Bitcoin– para proporcionar la clave que descifrará los archivos. A menudo incluyen una cuenta regresiva o amenazas adicionales, como borrar todo o publicar información sensible, para presionar el pago. Este tipo de ataque puede afectar desde computadoras personales (fotos, documentos familiares cifrados) hasta redes enteras de organizaciones (empresas, hospitales, entidades gubernamentales), generando graves impactos económicos y operativos.

Malware es cualquier programa o código informático diseñado con intenciones maliciosas. Engloba virus, gusanos, troyanos, spyware (software espía que registra todo lo que hace, como pulsaciones de teclado o capturas de pantalla) e infostealers (programas especializados en robar información sensible como contraseñas, datos bancarios, conversaciones, etc.). El malware puede infiltrarse de distintas formas: adjuntos de correo que parecen documentos legítimos, instaladores de programas “gratuitos” descargados de sitios no oficiales, actualizaciones falsas, o incluso aplicaciones móviles adulteradas. Una vez dentro de su dispositivo, puede desde mostrar anuncios y ralentizar el equipo, hasta abrir una “puerta trasera” para que un atacante tome control remoto, o robar datos privados sin que usted lo note.

Un ataque DDoS (Denegación de Servicio Distribuido) busca agotar los recursos de un sistema para que deje de prestar servicio. Los atacantes utilizan muchos dispositivos a la vez (a menudo computadores infectados formando una “botnet”) para enviar una enorme cantidad de solicitudes o datos basura a la página o servidor objetivo. Esto provoca que el servidor se ralentice muchísimo o se caiga, dejando a los usuarios legítimos sin poder acceder. Es como si miles de personas trataran de entrar simultáneamente en una tienda pequeña: la tienda colapsa por la multitud aunque en realidad ninguna esté comprando. Estos ataques no roban información en sí mismos, pero causan perjuicios operativos y económicos por la interrupción del servicio. Suelen estar motivados por extorsión (exigiendo dinero para detenerlo), competencia desleal, hacktivismo o simplemente vandalismo digital.

Utiliza mensajes de texto, correos electrónicos o llamadas para hacer creer a la víctima que un paquete está detenido y que necesita pagar una tarifa o proporcionar datos personales para liberarlo. Los estafadores se hacen pasar por empresas de paquetería o aduanas y suelen usar tácticas de urgencia o amenaza para obtener información y dinero.

Los delincuentes contactan a una tienda o un negocio de servicios (ej. tienda de mascotas, supermercado) para solicitar un pedido o servicio a domicilio, atrayendo al domiciliario a una zona rural, campestre o muy alejada donde la señal celular es escasa o nula. Una vez el empleado está en camino, los delincuentas lo abordan validan si esta incomunicado, es interceptado o intimidado para que apague su celular si tiene señal. El estafador llama a los familiares o a la empresa exigiendo dinero bajo la falsa premisa de que el empleado fue secuestrado o sufrió un accidente.

Los delincuentes se hacen pasar por un familiar en una situación crítica (accidente, secuestro, problema legal) para generar pánico y exigir un pago inmediato. Usan información obtenida de redes sociales para hacer la historia más creíble, e incluso IA para clonar voces.