Spoofing bancario: la estafa que suplanta números oficiales y vacía cuentas en Colombia
Spoofing: estafa que suplanta números bancarios y vacía cuentas

El engaño que llega con el nombre de tu banco en la pantalla

Una simple llamada que parece provenir directamente de tu entidad financiera puede ser suficiente para vaciar una cuenta de ahorros en cuestión de minutos. Esta es la peligrosa realidad del spoofing, la sofisticada modalidad de fraude digital que suplanta números oficiales, engaña sistemáticamente a las víctimas y ya registra miles de afectados en territorio colombiano.

La llamada que convence y despoja

El escenario es alarmantemente común: el teléfono suena mostrando claramente el nombre del banco en la pantalla. Del otro lado de la línea, una voz segura y profesional advierte sobre una compra extraña, un acceso no autorizado o un bloqueo preventivo de la cuenta. No hay errores evidentes en la comunicación, ni un tono improvisado que delate la trampa. Existe un guion cuidadosamente preparado, una sensación de urgencia calculada y, detrás de todo, una técnica tecnológica precisa: la suplantación del origen de la comunicación.

La Comisión de Regulación de Comunicaciones (CRC) ha ubicado esta práctica dentro del creciente problema de fraude cibernético por servicios móviles, alertando que la manipulación de identificadores de llamada ya está afectando significativamente a usuarios particulares, empresas y entidades financieras por igual.

Banner ancho de Pickt — app de listas de compras colaborativas para Telegram

Mecanismos de un fraude basado en confianza

La efectividad del spoofing radica fundamentalmente en su capacidad para trabajar sobre la confianza preexistente. El atacante altera técnicamente el identificador de la llamada, emplea lenguaje corporativo convincente y conduce metódicamente la conversación hacia puntos de presión psicológica. Los objetivos varían según la estrategia:

  • Obtención de claves de acceso y seguridad
  • Confirmación de datos personales o financieros sensibles
  • Validación de operaciones bancarias fraudulentas
  • Seguimiento de enlaces maliciosos disfrazados de legítimos
  • Entrega de información suficiente para tomar control total de productos financieros

La Superintendencia Financiera de Colombia ha resumido el riesgo en una advertencia concreta y repetitiva: nunca se deben entregar datos personales, financieros ni claves por teléfono, mensajes de texto, chat o redes sociales, independientemente de cuán convincente parezca la comunicación.

Un problema amplificado en la era digital colombiana

La gravedad del fenómeno no es menor en un país donde el teléfono celular concentra buena parte de la vida financiera ciudadana. En ese mismo dispositivo llegan alertas legítimas de los bancos, códigos de seguridad auténticos, enlaces de recuperación oficiales y llamadas genuinas de atención al cliente. Esta convergencia crea un terreno fértil para la confusión y el engaño.

Por esta razón, la Superintendencia Financiera insiste en prácticas básicas que hoy resultan decisivas para la protección patrimonial:

  1. Escribir directamente la dirección web del banco en el navegador, sin utilizar enlaces recibidos
  2. Mantener en absoluta reserva todas las claves de acceso, sin excepciones
  3. Reportar inmediatamente cualquier anomalía o comunicación sospechosa
  4. Solicitar el bloqueo preventivo del dispositivo o producto financiero ante la menor sospecha de compromiso

Cifras que dimensionan la amenaza digital

El terreno para este tipo de engaño se ha expandido considerablemente. En la edición 2025 de la Global Online Safety Survey aplicada en Colombia, Microsoft encontró que el 77% de los encuestados reportó haber experimentado al menos un riesgo en línea durante el último año. Este dato no se refiere exclusivamente a fraudes bancarios, pero retrata con claridad un entorno digital donde la exposición al engaño, la suplantación y otras amenazas cibernéticas ha dejado de ser excepcional para convertirse en frecuente.

Las cifras oficiales nacionales confirman la dimensión del problema. El balance anual 2024 del Centro Cibernético Policial reportó 77.866 denuncias por delitos informáticos, frente a las 63.249 registradas en 2023. Dentro de este preocupante universo se destacan:

Banner post-artículo de Pickt — app de listas de compras colaborativas con ilustración familiar
  • 31.095 casos de hurto por medios informáticos y semejantes
  • 10.155 casos de violación de datos personales
  • 4.716 casos de suplantación de sitios web
  • 3.494 casos de transferencia no consentida de activos

No toda esta estadística corresponde específicamente a spoofing, pero confirma contundentemente que el fraude digital ya opera con escala industrial en Colombia, generando efectos directos y cuantificables sobre el patrimonio de los usuarios.

La ventaja silenciosa del spoofing

En esta creciente economía del engaño digital, el spoofing posee una ventaja decisiva: no necesita irrumpir violentamente en los sistemas, solo necesita parecer legítimo. No entra con estridencia técnica ni complejas brechas de seguridad. Entra con una llamada aparentemente creíble, una alerta verosímil y una voz que sabe exactamente qué decir para generar confianza inmediata.

El daño económico ocurre con rapidez alarmante, pero la trampa comienza mucho antes: en el instante preciso en que la pantalla del teléfono celular convence al usuario de que, al otro lado de la línea, se encuentra realmente su banco de confianza. Esta simplicidad engañosa convierte al spoofing en una de las amenazas más insidiosas del panorama de seguridad digital colombiano.