Minutos después su verdadera excuñada subió un estado a WhatsApp donde advertía que su cuenta de Facebook había sido robada y que estaban pidiendo dinero a su nombre. La estafa ya estaba hecha. Mariana había sido víctima de catfishing, una suplantación de identidad que explota la confianza.

Este no es un caso aislado. Y diciembre —con compras, envíos, publicidad agresiva y más actividad digital— es terreno fértil para los delitos informáticos.

¿Te suenan los términos catfishing (identidad falsa para engañar emocional o financieramente) o pishing (pesca de datos y engaño mediante correos, llamadas o mensajes de texto para robar datos o dinero)?

Un estudio reciente de Reality Check muestra que el 70 % de millennials no verifica la identidad de las personas con quienes interactúan en Internet. En otras palabras: siete de cada diez están expuestos a estafas como el pishing. El mismo informe revela que el 60 % de los encuestados ha sido víctima de algún tipo de fraude digital, incluidos los fraudes financieros.

Estafas más comunes en Colombia (y cómo operan)

Este problema es grave porque involucra diferentes tipos de estafa. Según El Colombiano, las más comunes en el país son:

  1. Phishing. Del inglés to fish: pescar datos. Suplanta la identidad de una entidad legítima.
  2. Sitios web fraudulentos (clonando de manera idéntica al original) donde se ofrece el seguro obligatorio del SOAT. Aplica el uso de IA para crear logotipos y sitios web falsos que son indetectables a simple vista.
  3. Trámites públicos falsos, igual que con el SOAT, sitios como el del Sisbén o el del Pico y Placa Solidario piden pagos a cuentas particulares como Nequi.
  4. Falsas ofertas en tiendas virtuales que desaparecen tras la realización del pago, hay que dudar de precios muy bajos.
  5.  Alteración de códigos QR en algunos comercios. 

Como ves, son varias las modalidades de estafa, la sofisticación de estas prácticas como el fraude de la identidad y la suplantación siguen siendo un riesgo. Mantente alerta y actúa de forma segura. Otras de las más comunes son:

  • Vishing. Este tipo de fraude es realizado a través del teléfono. El engaño consiste en robar información confidencial como contraseñas, código de WhatsApp (es común que llamen haciéndose pasar por un trabajador de operadores telefónicos que dicen que deben asegurarse de la identidad del o la propietaria del número, así pueden robar el número de WhatsApp para avanzar en las estafas). También buscan tener acceso a las finanzas o identidades de las víctimas. Esta modalidad se consolidó como la más denunciada en Colombia, en 2024 se registraron más de 9.700 millones de llamadas de spam en el país (un incremento del 30 %) según Forbes
  • Smishing. Una combinación entre SMS y phishing. Se utilizan mensajes de texto (SMS) con el fin de engañar a las personas para compartir datos personales, contraseñas, generar tráfico a links falsos, etc. 
  • Deepfakes con el fin de suplantar la identidad. Esta “falsedad profunda” se cimenta en las inteligencias artificiales generativas para suplantar las voces. y como mencionamos anteriormente, es un caso de suplantación a través del uso de IA para crear. 
  • Catfishing. Crean una identidad falsa, usualmente en redes sociales o apps de citas. En esta modalidad se engaña de manera emocional o financieramente a la víctima.
  • Verificación falsa (captcha falso). A través de anuncios engañosos se dirige a las víctimas a páginas web fraudulentas que simulan verificaciones de Captcha para descargar malware y robar información. En esta infografía del CAI Virtual puedes encontrar algunas cifras sobre cibercriminalidad.
  • Aplicaciones bancarias maliciosas: troyanos que están ocultos en app aparentemente inofensivas de préstamos. Según el portal Cinco Días, “través de un ataque spyloan, te pueden vaciar la cuenta bancaria”.

Se acercan las fiestas decembrinas y aumentan también las compras, las prisas… y los intentos de fraude. Estas recomendaciones pueden ayudarte a proteger tus finanzas, tu información y tu tranquilidad:

1. Verifica siempre la identidad.
Desconfía de mensajes urgentes, videollamadas inesperadas o solicitudes de dinero “para ya”. Las ofertas demasiado buenas para ser reales casi nunca lo son.

2. No compartas datos sensibles.
Ningún banco, operador o entidad oficial pide contraseñas, códigos de verificación, claves de WhatsApp o CVV por correo, SMS o llamada. Si te los piden, es fraude.

3. Denuncia y guarda evidencia.
Toma capturas de pantalla, guarda números y reporta de inmediato a la Policía y a tu entidad financiera. También puedes denunciar URLs o cuentas sospechosas en redes sociales.

4. Usa contraseñas seguras y únicas.
Mezcla letras, números y símbolos. Evita datos personales y cámbialas con regularidad.

5. Llega a la fuente oficial.
Escribe tú mismo la URL en el navegador y revisa que no tenga variaciones sospechosas (letras cambiadas, dominios extraños).

6. Activa la autenticación en dos pasos.
Una capa extra de seguridad puede evitar que accedan a tus cuentas incluso si roban tu contraseña.

7. Mantén tus dispositivos al día.
Actualiza el sistema operativo, activa el antivirus y evita instalar aplicaciones de fuentes desconocidas.

8. Acuerda una palabra clave con tu familia.
Sirve para confirmar si un mensaje o llamada realmente proviene de la persona que dice ser.

  • Urgencia sospechosa: “actúe ahora”, “última oportunidad”, “evite el bloqueo”. La presión es un clásico de la ingeniería social.
  • Solicitud de datos personales o bancarios: nadie serio te pedirá contraseñas o códigos por mensaje o llamada.
  • Direcciones web alteradas: URL con letras cambiadas (banc0.com, go0gle), enlaces acortados sin contexto o dominios extraños.
  • Mensajes con errores: faltas ortográficas, logos con baja calidad o redacción incoherente.

Haz una pausa y pregúntate:

  • ¿No reconozco a quien envía el mensaje?
  • ¿Me piden datos sensibles?
  • ¿Hay presión, urgencia o amenaza?
  • ¿La URL coincide EXACTAMENTE con la del sitio oficial?
  • ¿Hay algo —aunque sea mínimo— que me haga dudar?

Si la respuesta es sí, no abras el enlace, no respondas y no envíes información.

Recursos para el aula

Glosauriux Ingeniería social

Glosauriux Ingeniería social

Es la técnica más antigua —y más efectiva— de las estafas digitales. No necesita software dañino ni trucos informáticos: funciona manipulando emociones humanas como la confianza, el miedo o la urgencia. Quien estafa no “hackea” computadores, sino a las personas: envía un mensaje que parece legítimo, se hace pasar por un familiar, presiona para que actúes rápido o inventa una historia creíble para que entregues datos, dinero o accesos. Modalidades como el phishing, el smishing, las llamadas falsas o incluso los deep fakes parten del mismo principio: lograr que respondas antes de detenerte a pensar.