Una cédula que parece auténtica, un rostro que respira al otro lado de la cámara, un número de WhatsApp con el logo de su banco, una firma digital que llega justo cuando esperaba un contrato. Nada de eso garantiza ya que del otro lado haya una persona real. Y esa es, hoy, la versión más peligrosa del fraude en Colombia.
Las cifras del primer semestre de 2025 trazan la magnitud del fenómeno. Asobancaria reportó 218.031 reclamaciones por fraude en el sistema bancario, de las cuales 309.158 corresponden específicamente a fraude digital relacionado con pagos y compras —el 80 por ciento del total—, según Alejandro Vera, vicepresidente técnico del gremio. Eso equivale a más de 1.700 fraudes digitales al día.
Del lado del usuario, el estudio Fraude en Colombia 2025 de DataCrédito Experian muestra que el 36,6 por ciento de los colombianos afirma haber sido víctima directa de fraude en el último año, mientras que el 97,7 por ciento percibe el problema como frecuente. Y hay una cifra que oscurece todas las demás: el 69 por ciento de las víctimas no denuncia, principalmente por la complejidad de los trámites o la falta de acompañamiento institucional. Los casos registrados son, en otras palabras, apenas la punta del iceberg.
Las modalidades más reportadas por las víctimas son las estafas en compras en línea (34,5 por ciento), el fraude digital mediante hackeos o enlaces maliciosos (26,7 por ciento), el uso indebido de tarjetas de crédito (14 por ciento), la suplantación de identidad (12,6 por ciento) y los préstamos solicitados a nombre de la víctima (8,5 por ciento). Detrás de esos números hay un cambio de modelo: los delincuentes dejaron de improvisar y ahora construyen identidades completas, imprimen documentos con tecnología profesional y usan inteligencia artificial para generar caras que nunca existieron.
Un informe de la compañía tecnológica AUCO, especializada en verificación de identidad, advierte que el cambio de fondo es de naturaleza criminal: ya no se trata de robar datos sueltos, sino de fabricar una versión creíble de una persona para engañar a bancos, fintechs, inmobiliarias, comercios, empresas de mensajería y plataformas de firma digital.
«Los delincuentes cada vez son más sofisticados. Hoy usan inteligencia artificial a su favor e incluso han fabricado máquinas de impresión de documentos» — Santiago Montoya, CEO de AUCO
Estos son los cinco fraudes que más han evolucionado en el último año y las señales para detectarlos antes de que sea tarde.
1. Identidad sintética: la cédula real con la cara falsa
Es el fraude más difícil de detectar porque mezcla información verdadera con elementos falsos. El delincuente toma una cédula real —obtenida en filtraciones, compras de bases de datos o robos físicos— y la asocia a un rostro creado por inteligencia artificial, a la foto de otra persona o a la suya propia.
Cómo detectarlo: desconfíe de cualquier proceso que acepte selfies tomadas de la galería del celular. Una verificación seria exige foto en tiempo real con prueba de vida (parpadear, girar la cabeza, sonreír).
2. WhatsApp empresarial suplantado
Los delincuentes crean cuentas con nombre, logo y apariencia corporativa de bancos, tiendas o empresas de mensajería. Desde ahí piden datos bancarios, envían enlaces de pago falsos o solicitan códigos de verificación.
Cómo detectarlo: revise siempre el número real, no solo el nombre que muestra el chat. Las empresas oficiales tienen cuenta verificada (chulo verde). Y la regla de oro: ningún banco, jamás, pide claves o códigos por WhatsApp.
3. Documentos falsificados de nueva generación
El fraude ya no depende de fotocopias mal hechas. Según AUCO, hoy circulan cédulas con hologramas, datos válidos, fotos bien montadas y códigos de barras editados que pasan la inspección visual.
Cómo detectarlo: la responsabilidad de detección recae en la plataforma que recibe el documento. Si un servicio le permite firmar con un garabato o no cruza el documento con bases oficiales, suspenda el trámite.
4. Ataques contra la biometría facial
Algunos delincuentes intentan engañar los sistemas de reconocimiento facial con fotos de alta resolución impresas, pantallas mostrando imágenes o «fotos de fotos». En créditos, arriendos, contratos laborales y autorizaciones digitales, este es uno de los puntos más vulnerables.
Cómo detectarlo: si la plataforma le pide solo una selfie y no exige prueba de vida en movimiento, no está protegida. Exíjale a su banco o entidad que use sistemas biométricos con detección de vivacidad.
5. Firmas hechas desde lugares imposibles
Es la modalidad más reciente y la menos conocida. Los delincuentes manipulan la ubicación de sus dispositivos para que parezca que firman desde lugares legítimos, cuando en realidad pueden estar firmando desde una cárcel, desde fuera del país o desde geolocalizaciones bloqueadas.
Cómo detectarlo: las plataformas confiables registran y validan la ubicación real del firmante y rechazan procesos hechos desde sitios incoherentes. Si está contratando una firma digital, pregunte expresamente si valida geolocalización.
La lista rápida: cinco preguntas antes de firmar, pagar o entregar datos
Antes de avanzar en cualquier trámite digital, hágase estas cinco preguntas. Si responde «no» a alguna, deténgase.
¿La foto que estoy enviando fue tomada en tiempo real, con mi rostro en vivo?
¿Sé exactamente desde qué ubicación se está firmando este documento?
¿Verifiqué que los datos del documento de identidad coinciden con la persona?
¿Confirmé que el número de celular pertenece realmente al titular?
¿Yo inicié este proceso, o me llegó de la nada con sensación de urgencia?
Qué hacer si ya fue víctima
Si usted sospecha que su identidad fue suplantada o fue víctima de fraude digital, actúe en las primeras 24 horas. Estos son los canales oficiales en Colombia:
CAI Virtual de la Policía Nacional: caivirtual.policia.gov.co
Fiscalía General de la Nación: adenunciar.policia.gov.co
Superintendencia Financiera: si el fraude fue en una entidad financiera, repórtelo en superfinanciera.gov.co
Registraduría Nacional: si su cédula fue suplantada, solicite el bloqueo en registraduria.gov.co
Línea 165: atención del CAI Virtual, 24 horas
«Cuando el delincuente ya tiene su nombre, cédula, teléfono o correo, el fraude deja de ser masivo y se vuelve de precisión. La víctima baja la guardia porque la comunicación parece conocerla» — Santiago Montoya, CEO de AUCO
La recomendación final no es abandonar los trámites digitales —algo inviable en un país donde la mayoría de la vida bancaria, comercial y documental pasa por el celular—, sino hacerlos con más pausa: verificar por canales oficiales, no entregar códigos por llamada o chat, activar el doble factor de autenticación y desconfiar de cualquier proceso que prometa rapidez a cambio de entregar la identidad sin revisar quién está detrás.
