Más de 13.000 incidentes cibernéticos fueron atendidos en Colombia durante 2025 por la Dirección de Investigación Criminal e Interpol (Dijín), un balance que, según la Policía, confirma la consolidación de esquemas de fraude digital basados en la suplantación de entidades, el control ilegal de cuentas personales y la creación de plataformas falsas para engañar a los usuarios.

El balance fue presentado por el teniente coronel Adrián Vega, jefe del Centro Cibernético Policial, quien explicó que las denuncias recibidas permiten identificar patrones que se repiten y se perfeccionan. De acuerdo con la información oficial, “las organizaciones criminales siguen utilizando mecanismos de engaño que apelan a la confianza del ciudadano y a la urgencia para obtener datos personales y financieros”.

La principal modalidad detectada fue la suplantación de entidades financieras, un esquema en el que los delincuentes envían mensajes de texto, correos electrónicos o enlaces que imitan la imagen de bancos y otras instituciones del sistema financiero. Según la Policía, “este tipo de engaño busca que la víctima entregue información sensible que luego es usada para acceder a cuentas o realizar transacciones no autorizadas”.

Ante cualquier sospecha de fraude, la instrucción de la Policía fue reportar de inmediato el caso al CAI Virtual de la Policía Nacional. | Foto: Colprensa

En un segundo nivel aparece la suplantación personal, asociada al robo de cuentas de mensajería instantánea, en especial WhatsApp, y a la creación de perfiles falsos en redes sociales. El Centro Cibernético explicó que los delincuentes se apoyan en datos obtenidos previamente para ganar credibilidad y ampliar el alcance del fraude, contactando a familiares o conocidos de la víctima.

La tercera modalidad corresponde a la creación de sitios web falsos que simulan plataformas de comercio electrónico. Estos portales, advirtió la Dijín, inducen a pagos o transferencias por productos o servicios inexistentes, recursos que terminan en manos de estructuras criminales sin dejar rastro para el comprador.

Frente a este panorama, la Policía insistió en medidas básicas de autoprotección. Una de las principales recomendaciones fue verificar cuidadosamente la dirección web antes de realizar cualquier pago y no confiar en enlaces arrojados por buscadores. La autoridad señaló que lo más seguro es “digitar directamente la URL oficial del comercio o de la entidad financiera”.

También pidió revisar señales visibles de fraude como errores de ortografía, fallas de redacción o logotipos inconsistentes, así como confirmar que el sitio cuente con protocolo de seguridad “https” y el ícono de candado. En redes sociales, la recomendación fue limitar la información pública para reducir el riesgo de ingeniería social.

Robo de WhatsApp, un foco crítico

Uno de los capítulos más sensibles del informe corresponde al robo de cuentas de WhatsApp. Durante 2025, el Centro Cibernético atendió más de 1.300 incidentes relacionados con la pérdida de control de estas cuentas, lo que permitió identificar tres mecanismos recurrentes usados por los delincuentes.

El primero es el vishing, una modalidad en la que se realizan llamadas telefónicas que simulan provenir de empresas, comercios o áreas de soporte técnico, con el objetivo de obtener información que facilite el acceso a la cuenta. A esto se suman mensajes de texto utilizados como puerta de entrada al engaño.

Más de 13.000 incidentes cibernéticos fueron atendidos en Colombia durante 2025. | Foto: El País

Otra práctica frecuente es la suplantación del soporte de WhatsApp. En estos casos, los delincuentes imitan el canal de atención de la plataforma y envían alertas sobre supuestos cambios de dispositivo, para luego redirigir a la víctima a enlaces diseñados para capturar el código de verificación. “Una vez obtienen el código de seis dígitos, instalan la cuenta en otro equipo y el usuario pierde completamente el control”, explicó la Policía.

El Centro Cibernético recalcó que el soporte oficial de WhatsApp se identifica con un ícono verde, no solicita códigos de verificación y no permite respuestas del usuario. Cualquier contacto que se salga de ese esquema debe considerarse una señal de alerta.

Como medida preventiva, la Dijín reiteró la importancia de activar la verificación en dos pasos, una opción que añade una capa adicional de seguridad. El procedimiento consiste en ingresar a la configuración de la cuenta, habilitar esta función, registrar un correo electrónico y definir un PIN de seis dígitos, barreras que dificultan el acceso no autorizado.

Ante cualquier sospecha de fraude, la instrucción de la Policía fue reportar de inmediato el caso al CAI Virtual de la Policía Nacional, un canal habilitado de forma permanente para recibir denuncias y orientar a las víctimas.