Alerta roja: Colombia enfrenta una ola de fraudes digitales que combina correos falsos, voces clonadas con IA y líneas telefónicas secuestradas. En 2025, los ciberdelincuentes ya no hackean sistemas: convencen a sus víctimas para que lo hagan por ellos.
Una alerta reciente de la empresa de ciberseguridad ESET reveló el aumento de correos fraudulentos que suplantan plataformas como Booking.com durante la temporada de vacaciones. Estos mensajes, que simulan problemas con reservas o reembolsos, incluyen enlaces maliciosos que activan una técnica llamada ClickFix.
El mecanismo comienza con un correo que replica la estética de Booking.com. Al hacer clic en el enlace, el usuario es redirigido a un sitio falso que muestra un supuesto error crítico del sistema. Al intentar recargar, aparece una pantalla azul de Windows falsa con instrucciones para ejecutar comandos en PowerShell.
«Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos», explicó Martina López, especialista en Seguridad Informática de ESET Latinoamérica. Al seguir las instrucciones, la víctima descarga un troyano de acceso remoto, desactiva Windows Defender y permite la persistencia del malware en su dispositivo.
El informe ESET Threat Report 2025 confirmó que esta técnica creció más del 500 % en detecciones durante el primer trimestre, convirtiéndose en el segundo vector de ataque más frecuente después del phishing.
Fraude como servicio: el mercado negro digital
En Colombia, los ciberdelitos evolucionaron hacia un modelo de «fraude como servicio». Delitos que antes requerían semanas de preparación hoy se compran en foros clandestinos, incluyendo clonación de voz, videollamadas falsas de directivos e identidades sintéticas.
«Lo que antes era un fraude aislado hoy puede adquirirse en foros clandestinos como un servicio a bajo costo», señaló Edwin Sabogal Rojas, Cyber Regional Manager para Latinoamérica en AON. Según datos del Ministerio de las TIC, Colombia registró 36.000 millones de intentos de ciberataque en el último año.
La Global Risk Management Survey 2025 de AON reveló que los ciberataques son el principal riesgo empresarial en América Latina, con un crecimiento anual del 25 % en la última década. Colombia concentra el 8 % de los ataques regionales, solo detrás de Brasil y México.
Los deepfakes encontraron terreno fértil en sectores con alta madurez digital: instituciones financieras, transporte y pymes. «El efecto real está en la confianza», advirtió Sabogal. Las consecuencias incluyen interrupciones operativas, sanciones regulatorias y afectaciones reputacionales.
«Cuando una organización sospecha que fue víctima de un deepfake, cada minuto cuenta», enfatizó el especialista. Recomendó actuar en tres frentes: contención, preservación de evidencia y activación de protocolos de notificación.
Voces clonadas: la estafa que engaña al cerebro
La clonación de voz con inteligencia artificial se consolidó como una de las modalidades de fraude con mayor crecimiento. Un informe de la Universidad de San Buenaventura reveló que estas estafas aumentaron un 30 % en diciembre de 2024.
«La voz genera confianza inmediata y por eso es tan atractiva para los estafadores», explicó Marcelo Herrera, docente de Ingeniería de Sonido de la USB. Los delincuentes extraen fragmentos de audio de redes sociales o grabaciones antiguas para entrenar modelos de IA que replican timbre y ritmo con alta fidelidad.
El Fall 2025 Threat Report de Ironscales indicó que el 85 % de las empresas sufrió al menos un incidente con deepfakes en el último año. Gartner reportó que el 62 % enfrentó intentos similares, mientras McAfee señaló que una de cada diez personas fue blanco directo de estafas con voz clonada.
En Colombia, la Policía Nacional reportó 64 denuncias por extorsión en Bolívar durante diciembre, de las cuales 24 estuvieron asociadas a modalidades digitales con voces clonadas. El GAULA registró 36 capturas relacionadas con estos casos.
«El delincuente sabe que el cerebro reacciona distinto cuando cree escuchar a alguien cercano en peligro», detalló Herrera. Óscar Acosta, también docente de la USB, explicó que con unos segundos de audio se pueden entrenar modelos de IA en portales especializados.
Acosta identificó señales para detectar audios falsos: sonido demasiado limpio, voz metálica o robótica, falta de emociones naturales y pronunciación no natural. «Hoy día, con los teléfonos móviles, estamos todo el tiempo generando datos que sirven como base para estos fraudes», advirtió.
Brushing y SIM Swap: estafas que llegan sin aviso
ESET alertó sobre el aumento del brushing en Colombia, una modalidad donde los consumidores reciben paquetes que no solicitaron. «El objetivo no es regalar productos, sino inflar reseñas y validar datos personales», explicó Martina López.
En versiones más peligrosas, los paquetes incluyen códigos QR que redirigen a sitios de phishing o malware. Paralelamente, el fraude por SIM Swap se disparó con el despliegue de Bre-B, el sistema de pagos inmediatos en Colombia.
Fabio Assolini, director del Equipo Global de Investigación de Kaspersky, fue víctima de este ataque. «El criminal activa tu número con otra SIM card y empieza a recibir todos tus SMS. Lo que le interesa no son las llamadas, sino los códigos», detalló.
Assolini explicó que los códigos OTP por SMS son inseguros pero se siguen usando por su bajo costo. «El criminal registra el número en una cuenta controlada por una mula de lavado y confirma el cambio con el código recibido por SMS», señaló.
El valor de los datos robados
La información personal se convirtió en uno de los botines más codiciados. ESET advirtió que los datos robados se venden en foros clandestinos para suplantación de identidad, fraude financiero y extorsión.
En el ecosistema móvil, los riesgos se amplifican. ESET identificó tres familias de malware dominantes en Android:
- Trojan.Android/Exploit.CVE-2012-6636: vulnerabilidad que persiste en dispositivos modernos cuando las aplicaciones usan WebView con versiones antiguas.
- Trojan.Android/Exploit.Lotoor: exploits de escalamiento de privilegios que desactivan protecciones.
- Trojan.Android/Pandora: variante vinculada a Mirai que convierte dispositivos Android TV en parte de botnets.
«La vigencia de estas amenazas se explica por dispositivos desactualizados e instalación de APK fuera de tiendas oficiales», explicó López. Truecaller identificó modalidades frecuentes como suplantación de identidad, fraudes por inversiones falsas y llamadas con urgencia emocional.
El mapa del fraude en Colombia es diverso y difícil de combatir. «Correos falsos, audios clonados, paquetes inesperados y líneas secuestradas forman parte de una misma lógica que nos expone a todos», concluyó López.
