Tannia Andrea Valenzuela R.
Head of Legal - Abroad Financial Technologies

¿Alguna vez has recibido un correo que parecía de tu banco, pero algo no cuadraba? Ese es solo un ejemplo de cómo la digitalización, aunque ha revolucionado la vida cotidiana en todo el mundo al facilitar procesos y mejorar la conectividad, también ha abierto la puerta a delitos informáticos cada vez más sofisticados. Entre ellos, se destacan el phishing y el spoofing, amenazas que crecen en alcance y complejidad y sobre las que se profundizaran en este artículo.

El phishing, que consiste en suplantar identidades para obtener información sensible, ha evolucionado con variantes como smishing (fraude mediante mensajes de texto o SMS), vishing (engaño a través de llamadas telefónicas) y pharming (redirección fraudulenta de usuarios hacia sitios web falsos pese a ingresar la dirección correcta); mientras que el spoofing es la falsificación de sitios web, direcciones de correo o IP, simulando entidades legítimas y engañando a los usuarios desprevenidos. Estos delitos han evolucionado tanto que, incluso, engañan a los sistemas de seguridad más avanzados.

Según el Centro Cibernético Policial (CCP) de Colombia, en 2024 se registraron más de 20.000 millones de intentos de ciberataques en el país, incluyendo modalidades como phishing, ransomware, malware y spyware.

En ese mismo año se registraron cerca de 68.500 ataques cibernéticos por minuto contra el sector financiero colombiano, lo que equivale a aproximadamente 4,1 millones de intentos por hora. Además, el smishing (phishing a través de mensajes de texto) aumentó un 70 % en comparación con años anteriores^[1].

En Colombia, la legislación en materia de delitos informáticos ha sido establecida, principalmente, por la Ley 1273 de 2009, que introdujo reformas al Código Penal, como la introducción de sanciones frente a la violación de datos personales (art. 269F), suplantación de sitios web (art. 269G) y uso de software malicioso (art. 269H), protegiendo tanto redes como la confidencialidad de la información. Complementariamente, la Ley 1328 de 2009 impone a las entidades financieras obligaciones claras frente a fraudes electrónicos.

En su momento, el Proyecto de Ley 223 de 2022 apuntó a fortalecer esa protección, contemplando expresamente fraudes como phishing, smishing, vishing y pharming, además de proponer mecanismos efectivos de restitución al consumidor afectado. Recientemente, la Ley 2502 de 2025 incluyó un agravante específico al delito de falsedad personal, cuando se comete mediante la utilización de inteligencia artificial (IA).

Sin embargo, los últimos pronunciamientos legislativos en esta área datan de 2009 o son un proyecto de ley aún no consolidado, lo que ha generado preocupaciones sobre la suficiencia de la normativa frente a las nuevas modalidades de ciberdelincuencia.

La jurisprudencia colombiana ha construido un camino de aplicación concreta de estas normas. En la Sentencia SP-2207-2016 (Rad. 46802), la Corte Suprema de Justicia confirmó una condena por acceso abusivo a sistemas informáticos, destacando la protección de la confidencialidad y la disponibilidad de la información como bienes jurídicos esenciales. Por su parte, la Sentencia T-063 de 2017 de la Corte Constitucional reforzó el carácter fundamental del derecho a la protección de datos, señalando que las entidades deben implementar medidas adecuadas para evitar fraudes como el phishing. Más recientemente, en la Sentencia SP-1954-2020 (Rad. 54677), el alto tribunal consideró agravantes en casos de suplantación electrónica, especialmente cuando se debilita la confianza en el sistema financiero, subrayando que no solo se ataca al usuario, sino la integridad del sistema.

A pesar de este sustento normativo y jurisprudencial, el ritmo acelerado de los ataques, potenciado por IA capaz de generar correos, voces y videos profundamente convincentes, obliga a avanzar más allá de la legislación. Sin embargo, la respuesta efectiva se construye también desde la prevención y el empoderamiento ciudadano, como denunciar a través del CCP, adoptar buenas prácticas como verificar enlaces, usar contraseñas robustas y activar mecanismos de autenticación multifactor.

A pesar de estos esfuerzos, la rápida evolución de las amenazas cibernéticas requiere una constante actualización de las políticas y normativas, por ello es esencial que Colombia continúe fortaleciendo su marco legal y promoviendo la educación en ciberseguridad para proteger a sus ciudadanos y garantizar la confianza en el entorno digital.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.