Aprende a proteger tu vida financiera del fraude digital.

A diferencia de la seguridad bancaria tradicional, que se concentraba en proteger sucursales físicas, bóvedas y operaciones presenciales, la ciberseguridad financiera nace de una realidad nueva: hoy la mayoría del dinero existe como información digital. Cada transferencia, cada compra con tarjeta, cada inicio de sesión en tu banco es una conversación entre computadores. Y donde hay conversación, hay posibilidad de interceptación, suplantación o engaño.

Tres dimensiones que componen la ciberseguridad financiera

Para entender bien el concepto conviene separarlo en tres dimensiones que funcionan al mismo tiempo:

• Dimensión técnica: los sistemas que cifran, autentican y registran tus operaciones. Aquí entran los certificados SSL, los protocolos de autenticación, los firewalls y la infraestructura del banco. Es la capa que tú no ves pero que está trabajando todo el tiempo.
• Dimensión humana: tus decisiones, tus hábitos, tu capacidad para reconocer un engaño. Es la dimensión donde ocurre la mayoría de los fraudes exitosos, porque atacar a una persona suele ser más fácil que atacar a un sistema bien construido.
• Dimensión legal y normativa: las leyes que regulan la protección de datos personales, las obligaciones de las entidades financieras y los mecanismos para denunciar delitos informáticos.

Por qué te concierne aunque no te consideres un objetivo

Un error muy frecuente es pensar: "yo no tengo tanto dinero, no soy un objetivo interesante para un ciberdelincuente". Esta idea es peligrosa por una razón sencilla: los ataques masivos no seleccionan víctimas individualmente. Un atacante envía miles o millones de correos de phishing al día, y le basta con que un pequeño porcentaje caiga para que el negocio sea rentable. No te eligen a ti; lanzan una red gigante y esperan a ver quién muerde.

Además, el daño de un fraude no se mide solo en el dinero que pierdes. También está el tiempo de reclamación con tu banco, el estrés emocional, el riesgo de que tu información se use para abrir créditos a tu nombre, y la sensación de vulnerabilidad que muchas víctimas describen como lo más difícil de superar.

Qué vas a encontrar en esta guía

Los siguientes 29 temas profundizan en distintos aspectos de la ciberseguridad financiera. Algunos son técnicos (cómo funciona un certificado SSL), otros son operativos (cómo cambiar una clave de forma segura), y otros son puramente de criterio (cómo distinguir un correo legítimo de uno falso). Todos están escritos pensando en personas que no son expertas en tecnología pero que sí quieren entender lo suficiente para no convertirse en víctimas.

La palabra "phishing" viene del inglés "fishing" (pescar): el atacante lanza un anzuelo y espera que alguien lo muerda. Lo que cambia es que en lugar de un gusano, el anzuelo es un mensaje que parece legítimo, y el pez es tu información.

Las cuatro etapas de un ataque exitoso

Todo ataque de phishing, sin importar el canal por el que llegue, sigue una secuencia muy similar:

1. Suplantación de identidad: el atacante se hace pasar por una entidad que tú reconoces y en la que confías. Puede ser tu banco, una empresa de paquetería, una red social o incluso un familiar.
2. Generación de un detonante emocional: el mensaje produce miedo ("tu cuenta será bloqueada"), urgencia ("últimas 24 horas"), avaricia ("ganaste un premio") o curiosidad ("alguien te envió una foto"). El objetivo es que actúes antes de pensar.
3. Redirección a un entorno controlado: el mensaje contiene un enlace, un archivo adjunto o un número de teléfono que te lleva fuera del canal seguro y dentro del territorio del atacante.
4. Captura del dato o de la acción: una vez ahí, ingresas tu información en una página falsa, descargas un archivo malicioso o realizas una transferencia. En ese momento el ataque se consuma.

Tipos de phishing según el grado de personalización

No todos los ataques son iguales. Se pueden clasificar según cuánto sabe el atacante sobre la víctima:

• Phishing masivo: el mismo mensaje enviado a millones de personas. Baja tasa de éxito pero altísimo volumen.
• Spear phishing: dirigido a una persona específica, con datos personales reales (tu nombre, tu empresa, tu cargo). Mucho más convincente.
• Whaling: spear phishing dirigido a personas de alto perfil (ejecutivos, figuras públicas) donde el botín potencial es enorme.
• Clone phishing: el atacante toma un correo legítimo que recibiste antes y lo reenvía con los enlaces cambiados.

Por qué funciona, incluso con personas informadas

El phishing no fracasa por falta de inteligencia de la víctima. Funciona porque explota mecanismos psicológicos profundos: la autoridad (te escribe "tu banco"), la urgencia (tienes que actuar ya), la prueba social (otros también lo están haciendo) y el miedo a perder algo. Estos mecanismos están integrados en cómo tomamos decisiones, especialmente bajo estrés. Por eso, la mejor protección no es solo conocer las señales, sino tener el hábito de pausar antes de actuar ante cualquier mensaje urgente.

Una URL (Uniform Resource Locator) tiene una estructura predecible. Lo crítico es saber dónde está el dominio principal, porque ese es el dato que indica de quién es realmente el sitio. Los estafadores construyen direcciones para que parezcan oficiales sin serlo.

Las partes de una URL

Cada parte significa algo distinto:

• https:// indica que la comunicación está cifrada. Si solo aparece "http://", no lo está.
• El dominio principal es lo más importante. Se lee identificando el último punto antes del primer "/" y tomando lo que está justo antes y después de ese punto.
• El subdominio es lo que va antes del dominio principal y puede ser cualquier cosa. No identifica al dueño del sitio.
• La ruta es lo que va después del primer "/". Indica una página específica dentro del sitio.

Cómo identificar el dominio real, paso a paso

Aplicado a un ejemplo concreto, así se descompone una URL:

Trucos comunes que usan los estafadores

• Subdominios engañosos: ponen el nombre del banco como subdominio de un dominio cualquiera (mibanco.algoraro.com).
• Sustitución de caracteres: cambian letras parecidas (paypa1.com en lugar de paypal.com).
• Guiones y palabras añadidas: agregan palabras como "seguro", "verificacion" o "login" al dominio real (banco-seguro-login.com).
• Extensiones inusuales: mientras los bancos usan .com, .com.co o .co, los sitios fraudulentos suelen usar .xyz, .top, .info, .click o similares.
• Acortadores de enlaces: usan bit.ly, tinyurl u otros para esconder el destino real. Nunca hagas clic en uno enviado por un canal no oficial.

El candado representa que el sitio usa el protocolo HTTPS, que a su vez utiliza certificados SSL/TLS para cifrar la comunicación entre tu navegador y el servidor. En términos simples: lo que escribes en una página HTTPS no puede ser leído por intermediarios en el camino.

Qué sí te garantiza el candado

• Cifrado: tu información (contraseña, número de tarjeta, datos personales) viaja codificada. Si alguien intercepta el tráfico, solo verá ruido.
• Integridad: los datos no pueden ser modificados en tránsito sin que se detecte.
• Que el dominio que ves es a quien se está enviando la información. Es decir, si estás en "ejemplo.com", tu información va realmente al servidor de "ejemplo.com" y no a otro.

Qué NO te garantiza el candado

• Que el sitio sea legítimo o de quien dice ser. Los certificados SSL básicos son gratuitos y cualquier persona puede obtener uno para cualquier dominio que controle. Un estafador puede tener su sitio falso con candado verde sin ningún problema.
• Que la empresa detrás del sitio sea seria. No verifica la calidad ni la honestidad del negocio.
• Que el contenido sea seguro. Un sitio con HTTPS puede tener malware, formularios de phishing o contenido fraudulento.

Tipos de certificados SSL

No todos los certificados son iguales. Hay tres niveles principales:

• Validación de dominio (DV): solo confirma que quien pidió el certificado controla el dominio. Es el más básico y el más fácil de obtener. Es el que usan la mayoría de sitios fraudulentos.
• Validación de organización (OV): requiere que la entidad demuestre que existe como organización. Es más confiable.
• Validación extendida (EV): el más riguroso. Requiere verificación legal de la entidad. Antes hacía que el nombre de la empresa apareciera en verde en la barra; hoy esa indicación es menos visible.

Cómo verificar el certificado de un sitio

Haz clic en el candado de la barra de direcciones. Verás información del certificado:

• Para quién fue emitido (debe coincidir con el sitio que crees estar visitando).
• Quién lo emitió (autoridad certificadora).
• Fecha de validez.

Para sitios bancarios, verifica que el certificado esté a nombre de la institución, no de un proveedor genérico.

Una red Wi-Fi pública es, por definición, una red a la que cualquiera puede conectarse. Eso incluye personas malintencionadas que la usan precisamente para acceder al tráfico de los demás usuarios o para ofrecer redes falsas que imitan las legítimas.

Los tres tipos de ataque más comunes en Wi-Fi público

• Hombre en el medio (Man-in-the-Middle): el atacante se sitúa entre tu dispositivo y el punto de acceso, interceptando todo lo que envías y recibes. Si esos datos no están cifrados, puede leerlos.
• Punto de acceso falso (Evil Twin): el atacante crea una red con un nombre similar al legítimo ("Cafe_WiFi_Free" en lugar de "Cafe-WiFi"). Cuando te conectas, todo tu tráfico pasa por su equipo.
• Sniffing de paquetes: en redes abiertas sin contraseña, un atacante con herramientas básicas puede capturar el tráfico de cualquier persona conectada.

Por qué el cifrado HTTPS no es suficiente

Es cierto que HTTPS protege el contenido de tu comunicación con sitios cifrados. Pero hay matices: un atacante en la red puede ver qué dominios visitas (aunque no el contenido), puede intentar redirigirte a versiones falsas de los sitios, y puede aprovechar configuraciones débiles para degradar la conexión. Si además te equivocas y aceptas un certificado dudoso, perdiste la protección.

Qué hacer y qué no hacer

Configura tu dispositivo para reducir el riesgo

• Desactiva la conexión automática a redes conocidas. Esto evita que tu celular se conecte sin pedirte permiso a una red falsa con el nombre de una que usaste antes.
• Apaga el Wi-Fi cuando no lo uses.
• Olvida las redes públicas después de usarlas.
• Mantén el sistema operativo actualizado.

Durante años se enseñó a las personas a crear contraseñas como "P@ssw0rd123!": letras, números y símbolos mezclados. El problema es que esas contraseñas son a la vez débiles para una computadora (las herramientas de fuerza bruta las prueban en segundos) y difíciles para una persona (terminamos reutilizándolas o anotándolas en post-its).

Por qué la longitud importa más que la complejidad

Cada carácter adicional en una contraseña multiplica exponencialmente el tiempo necesario para adivinarla. Una contraseña de 8 caracteres con símbolos puede romperse en horas. Una contraseña de 20 caracteres con solo letras minúsculas tomaría siglos, incluso con hardware especializado.

Cómo crear una frase de paso

El método consiste en elegir cuatro o cinco palabras sin relación entre sí y combinarlas. Por ejemplo:

Para hacerla aún más fuerte, puedes:

• Agregar un número o símbolo (no al principio ni al final).
• Combinar idiomas o usar palabras de tu dialecto.
• Inventar una mini-historia en lugar de elegir palabras al azar.

Reglas no negociables

• Una contraseña diferente para cada servicio crítico. Si reutilizas, una sola filtración compromete todas tus cuentas.
• Mínimo 12 caracteres, idealmente 16 o más para cuentas sensibles.
• No uses información personal: nombres, fechas, mascotas, equipos deportivos. Todo eso aparece en redes sociales y los atacantes lo prueban primero.
• Cámbialas si hay indicios de filtración, pero no por costumbre. Cambiar contraseñas obligatoriamente cada 30 días, sin razón, ya no es buena práctica: lleva a contraseñas más débiles.

Cómo verificar si una contraseña tuya ya fue filtrada

Existen servicios públicos y gratuitos que te permiten consultar si tu correo electrónico aparece en alguna filtración conocida. El más reconocido es "Have I Been Pwned" (haveibeenpwned.com). Ingresas tu correo y te muestra en qué brechas de datos apareció. Si aparece, cambia inmediatamente la contraseña de ese servicio y de cualquier otro donde la hayas reutilizado.

La autenticación tradicional se basa en algo que sabes: una contraseña. El problema es que las contraseñas se filtran, se adivinan, se phishean. La autenticación multifactor (MFA) añade al menos un segundo elemento de verificación que el atacante no puede obtener solo con tener la contraseña.

Los tres tipos de factores de autenticación

• Algo que sabes: una contraseña, un PIN, la respuesta a una pregunta secreta.
• Algo que tienes: tu teléfono, una llave física, una tarjeta de seguridad.
• Algo que eres: tu huella, tu rostro, tu iris.

Un sistema con MFA exige al menos dos de estos tres tipos distintos. Por eso aunque alguien tenga tu contraseña, si no tiene también tu teléfono, no puede entrar.

Métodos de MFA, ordenados de más débil a más fuerte

1. Códigos por SMS: el más extendido y el más débil de los métodos MFA. Vulnerable a ataques de duplicación de SIM. Mejor que nada, pero hay mejores opciones.
2. Códigos por correo electrónico: similar al SMS en debilidades. Si comprometen tu correo, también comprometen este factor.
3. Notificaciones push: el banco o servicio te envía una notificación a su app oficial para que apruebes o rechaces el ingreso. Más seguro que SMS.
4. Aplicaciones autenticadoras: generan códigos temporales (de 6 dígitos que cambian cada 30 segundos) en tu dispositivo. Ejemplos: Google Authenticator, Microsoft Authenticator, Authy. Mucho más seguro que SMS porque no depende de la red telefónica.
5. Llaves físicas de seguridad: dispositivos USB o NFC (como YubiKey) que tienes que conectar o acercar al equipo para iniciar sesión. Es el método más fuerte disponible para usuarios comunes.

Cómo activarlo en tus cuentas principales

El proceso varía pero suele ser similar:

1. Entra a la configuración de seguridad de la cuenta.
2. Busca la opción "Verificación en dos pasos" o "Autenticación multifactor".
3. Elige el método (idealmente aplicación autenticadora).
4. Escanea el código QR o ingresa la clave en tu app.
5. Guarda en un lugar muy seguro los códigos de respaldo que te entregan. Los vas a necesitar si pierdes el teléfono.

Servicios donde es prioritario activarlo

• Tu correo electrónico principal (es la puerta a todo lo demás).
• Banca en línea y aplicaciones financieras.
• Almacenamiento en la nube.
• Redes sociales.
• Cualquier servicio donde tengas medios de pago guardados.

Una clave dinámica o token (también llamado OTP, "One Time Password") es un código generado para una operación específica o por un periodo muy corto de tiempo. Después de usarse o de que pase el tiempo, deja de funcionar para siempre.

Por qué son tan efectivas

La idea es simple pero poderosa: aunque un atacante intercepte el código en el momento que lo usas, ese código ya no le servirá para nada. No puede acumular tokens para usarlos después. Cada operación requiere un código nuevo.

Tipos de claves dinámicas

• TOTP (Time-based): cambia cada 30 o 60 segundos. Es el que genera tu app autenticadora.
• HOTP (Counter-based): avanza cada vez que pulsas un botón en un dispositivo físico. Algunas entidades entregan llaveros que generan estos códigos.
• Token de transacción: generado específicamente para una operación, suele incluir datos del destinatario y el monto. Si los datos de la transacción se modifican, el token deja de ser válido.

Cuándo te lo pueden pedir legítimamente

• Para autorizar una transferencia.
• Para cambiar datos sensibles de tu cuenta.
• Para ingresar desde un dispositivo nuevo.
• Para realizar pagos de alto valor.

Una técnica de engaño que debes conocer

Los estafadores a veces inician ellos una transacción a tu nombre (porque ya tienen tu contraseña). Esto hace que tu banco te envíe legítimamente un token. Luego te llaman, se hacen pasar por el banco diciendo que "detectaron actividad sospechosa", y te piden el código que acabas de recibir "para verificar tu identidad". Si lo das, autorizas la operación que ellos hicieron. Por eso la regla es absoluta: el token no se comparte con nadie, sin excepciones, aunque la llamada parezca legítima.

Piensa en lo que hay en tu teléfono: la app del banco, billeteras virtuales, correo electrónico, fotos de documentos, contactos, conversaciones de WhatsApp con información sensible, redes sociales, acceso a la nube. Quien tenga acceso a ese aparato desbloqueado puede causar un daño enorme en muy poco tiempo.

La biometría como primera línea

La huella dactilar y el reconocimiento facial no son perfectos, pero son significativamente mejores que un patrón o un PIN fácil. Las razones son varias:

• No se pueden "ver por encima del hombro" como un PIN.
• Son rápidos, lo que hace que la gente bloquee el teléfono más seguido.
• En la mayoría de dispositivos modernos, los datos biométricos se almacenan localmente y de forma cifrada.

Pero la biometría tiene un complemento obligatorio: debe haber un PIN o contraseña de respaldo, y ese PIN debe ser fuerte. No uses 1234, 0000 ni tu fecha de nacimiento.

Configuración esencial de seguridad móvil

• Bloqueo automático: configúralo para que se active en 30 segundos o menos.
• Localización del dispositivo: activa "Buscar mi iPhone" o "Encontrar mi dispositivo" en Android. Te permite ubicarlo, bloquearlo o borrarlo remotamente.
• Borrado tras intentos fallidos: algunos dispositivos permiten borrar el contenido después de 10 intentos fallidos. Actívalo solo si tienes copias de seguridad.
• Actualizaciones automáticas: mantén el sistema operativo y las apps al día. La mayoría de parches son de seguridad.
• Notificaciones en pantalla bloqueada: oculta el contenido para que no se vean códigos de verificación ni mensajes sensibles cuando el teléfono está bloqueado.

Apps bancarias: capa adicional

La mayoría de aplicaciones bancarias permiten establecer una clave o biometría propia, separada del bloqueo general del teléfono. Actívala. Eso significa que aunque alguien tenga el celular desbloqueado en su mano, no puede entrar directamente a tu banco.

Hábitos cotidianos que ayudan

• No dejes el teléfono desatendido en lugares públicos.
• Usa funda con tapa o protector para que no se vea la pantalla desde otros ángulos.
• Revisa periódicamente las apps instaladas y desinstala las que no usas.
• Revisa los permisos: hay apps que piden acceso a contactos, mensajes o ubicación sin necesitarlo.

Los sitios clonados están diseñados para imitar uno legítimo con el objetivo de capturar tus datos. Los más sofisticados pueden engañar a usuarios distraídos, pero casi todos cometen errores que un ojo entrenado detecta.

Señales para reconocer un sitio clonado

• La URL no coincide exactamente con la oficial. Aplica todo lo del tema 03.
• Errores ortográficos o de redacción. Los sitios oficiales pasan por equipos editoriales; los clonados rara vez.
• Imágenes pixeladas o desalineadas. Los estafadores copian recursos pero con baja calidad.
• Logo desactualizado o con colores ligeramente distintos.
• Faltan secciones secundarias: contacto, sucursales, políticas, sobre nosotros. O esas secciones existen pero no funcionan.
• El sitio solo tiene la página de inicio de sesión. Un sitio real tiene cientos de páginas.
• Pide información inusual desde el primer momento: número completo de tarjeta, clave, fecha de nacimiento, todo junto.
• El año de copyright es viejo o falta.
• Los enlaces secundarios no funcionan o llevan a páginas vacías.

Comparativa visual

El test definitivo: nunca llegues por enlace

La forma más segura de evitar caer en un sitio clonado es nunca llegar a tu banca por un enlace que recibiste, sin importar quién te lo envió. En su lugar:

1. Escribe tú misma la dirección oficial en el navegador.
2. Guarda el sitio en favoritos y entra siempre desde ahí.
3. O mejor: usa la aplicación oficial descargada desde la tienda de tu sistema operativo.

Las entidades financieras legítimas tienen plantillas estandarizadas, dominios verificados y políticas claras sobre lo que sí y lo que nunca te van a pedir por correo. Conocer esos patrones te permite detectar al impostor.

Lo que las entidades legítimas NUNCA te piden por correo

• Claves de acceso completas.
• Números completos de tarjeta de crédito o débito.
• Códigos CVV o de seguridad.
• Códigos dinámicos o tokens.
• Datos completos de tu documento de identidad.
• Que ingreses a tu cuenta por un enlace para "verificar" o "reactivar".

Anatomía de un correo de phishing típico

Un correo fraudulento generalmente combina varias de estas características. Cuantas más cumpla, mayor la sospecha:

1. Remitente sospechoso: el nombre puede decir "Banco X" pero la dirección de correo real (después del @) es un dominio no relacionado o ligeramente alterado.
2. Saludo genérico: "Estimado cliente", "Hola usuario". Tu banco te conoce por tu nombre y suele usarlo.
3. Asunto alarmista: "Cuenta suspendida", "Acceso bloqueado", "Última oportunidad".
4. Lenguaje de urgencia: plazos breves, amenazas de pérdida de acceso, consecuencias inmediatas.
5. Enlaces dudosos: botones o enlaces que al pasar el cursor revelan URLs que no coinciden con el dominio oficial.
6. Errores sutiles: faltas de ortografía, traducciones literales, espaciados raros, símbolos extraños en lugar de letras (cero en lugar de "o").
7. Logos ligeramente alterados: calidad baja, colores ligeramente diferentes, proporción extraña.
8. Adjuntos inesperados: PDFs o documentos que dicen contener "tu estado de cuenta", "tu factura", "tu comprobante".

Qué hacer si recibes uno

• No hagas clic en ningún enlace ni descargues adjuntos.
• No respondas el correo.
• Si tienes duda razonable de que pudiera ser legítimo, no uses los datos del correo: busca tú misma el número oficial de tu entidad y consulta.
• Reporta el correo como phishing en tu proveedor (Gmail, Outlook, etc.). Eso ayuda a entrenar los filtros.
• Si tu banco tiene una dirección para reportar correos sospechosos (algunos la tienen), reenvíalo ahí.
• Elimínalo.

El término viene de la combinación de "SMS" y "phishing". Hoy se extiende también a WhatsApp, Telegram y cualquier mensajería instantánea. Los atacantes prefieren estos canales porque generan más confianza y menos suspicacia que el correo.

Modalidades comunes

• "Movimiento sospechoso": "Se detectó un cargo de $XXX.XXX en tu tarjeta. Si no fuiste tú, ingresa aquí para bloquearla."
• "Premio o recompensa": "¡Ganaste! Reclama tu premio en las próximas 24 horas."
• "Paquete pendiente": "Tu envío no se pudo entregar. Actualiza tus datos aquí."
• "Subsidio o ayuda gubernamental": "Has sido seleccionado para recibir el bono. Diligencia el formulario."
• "Verificación de cuenta": "Por seguridad, valida tu identidad en este enlace."
• "Familiar en problemas": "Hola, perdí mi celular. Este es mi número nuevo. Necesito que me ayudes urgente." (Ataque conocido como "fraude del familiar").

Por qué el SMS es engañoso

A diferencia del correo, donde puedes ver el dominio completo del remitente, el SMS muestra un nombre o número corto. Los estafadores aprovechan esto con dos técnicas:

• Spoofing de remitente: falsifican el nombre que aparece, de modo que el SMS llega aparentando ser de "BancoX" o de un número oficial. En muchos países, esto es técnicamente posible y difícil de evitar para el usuario.
• Inserción en hilos existentes: el mensaje fraudulento aparece en el mismo hilo donde antes recibiste mensajes legítimos del banco, lo que aumenta la credibilidad.

Señales específicas en SMS y WhatsApp

• Enlaces acortados (bit.ly, tinyurl, etc.).
• Dominios extraños después del enlace.
• Errores ortográficos.
• Solicitud de instalar una aplicación desde un archivo (.apk).
• Mensajes de números desconocidos haciéndose pasar por familiares.
• Plazos imposiblemente cortos ("en los próximos 15 minutos").
• Pedidos de información que el banco ya tiene.

El fraude del familiar: una mención especial

"Hola, este es mi número nuevo. Tuve un problema y necesito que me hagas una transferencia urgente." Esta modalidad se ha extendido enormemente. La protección es sencilla: ante cualquier mensaje así, llama al número original de la persona, o videollámala. Verifica por un canal alterno antes de hacer nada. Y si pueden, establezcan en familia una palabra clave para emergencias.

El vishing es una técnica donde el atacante te llama haciéndose pasar por una entidad de confianza: tu banco, la policía, un organismo gubernamental, una empresa de servicios. El objetivo es extraer información o inducirte a realizar una operación.

El guion típico de una llamada fraudulenta

1. Saludo profesional y datos parciales tuyos: "Hola, hablo con la señora Eliana. Le llamo de la línea de seguridad del banco." Los estafadores pueden tener algunos datos tuyos que obtuvieron de filtraciones previas, lo que aumenta la credibilidad.
2. Pretexto alarmante: "Detectamos transacciones sospechosas en su cuenta." "Alguien está intentando acceder desde otro país." "Su tarjeta fue clonada."
3. Generación de pánico: "Tenemos que actuar de inmediato para proteger su dinero."
4. Solicitud de cooperación: "Voy a guiarla paso a paso. Necesito que abra la app de su banco." "Le voy a enviar un código para verificar su identidad, necesito que me lo confirme."
5. Ejecución del fraude: los pasos que te dicta son en realidad para autorizar una transferencia a su cuenta, instalar una aplicación de control remoto, o entregar tokens.

Las solicitudes que delatan un vishing

Una llamada legítima de tu banco NUNCA te pedirá:

• Tu clave de acceso o PIN.
• Un código dinámico o token recibido por SMS.
• Que instales una aplicación nueva.
• Que hagas transferencias o pagos.
• Que abras tu app y hagas operaciones siguiendo sus instrucciones.
• Que des click en un enlace que te envíen.
• Que les des acceso remoto a tu computador o teléfono.

Cómo reaccionar ante una llamada sospechosa

1. No discutas, no expliques, no des datos. Aunque la persona suene amable e insista en que es legítima.
2. Cuelga. No es descortesía, es protección.
3. Si quedaste con dudas, llama tú misma al número que aparece en el reverso de tu tarjeta o en el sitio oficial del banco. No al número que la persona te dictó.
4. Verifica desde otro teléfono si es posible. Una técnica avanzada de vishing es mantener la línea abierta para que cuando "cuelgues" y "marques" al banco, sigas hablando con el estafador.
5. Reporta el intento a tu banco y, si corresponde, a las autoridades de delitos informáticos.

Las plataformas de redes sociales permiten que cualquiera, con poca verificación, pague para mostrar anuncios. Esto ha sido aprovechado por estafadores que se hacen pasar por entidades financieras, ofreciendo créditos "sin requisitos", "tasas únicas", "aprobación inmediata", a personas que están atravesando dificultades económicas.

Señales claras de oferta falsa

• Tasas absurdamente bajas: ofertas de interés muy por debajo del mercado son la primera señal. Ninguna entidad regulada puede operar con esas tasas.
• Aprobación sin estudio de crédito: los créditos legítimos requieren verificación de capacidad de pago. Si te aprueban sin pedirte historial ni ingresos, es estafa.
• Pago anticipado: te piden depositar una "cuota de gestión", "seguro", "comisión inicial" para liberar el préstamo. Las entidades legítimas descuentan esos costos del crédito desembolsado, nunca los cobran antes.
• Operación exclusiva por WhatsApp: ninguna entidad financiera real procesa créditos completos por WhatsApp con cuentas personales sin verificar.
• Cuentas a nombre de personas: te piden depositar en una cuenta personal, no en una cuenta empresarial verificable.
• Logos de entidades reales mal usados: roban imágenes de bancos legítimos pero los datos de contacto no coinciden con los oficiales.
• Urgencia y plazos: "solo hoy", "últimos cupos", "tasa promocional vence en 2 horas".

Cómo verificar si una entidad es legítima

1. Busca el nombre de la entidad en el portal del ente regulador financiero de tu país. En Colombia, la Superintendencia Financiera publica el listado de entidades vigiladas.
2. Si la entidad existe pero el contacto que te ofreció el crédito no es oficial, es probablemente alguien suplantándola.
3. Busca el número de teléfono o cuenta bancaria en Google. Si aparecen reportes de estafa, evita.
4. Llama al número oficial de la entidad (no al que te dieron) y pregunta si ese asesor existe y si la oferta es real.

Las víctimas más frecuentes y por qué

Estas estafas se dirigen especialmente a personas con dificultades de acceso al crédito formal: trabajadores informales, jóvenes sin historial, personas con reportes negativos. Los estafadores ofrecen exactamente lo que el sistema formal niega: aprobación inmediata, sin requisitos. Por eso es importante extender esta información a familiares y conocidos que puedan estar en esa situación.

El fraude del falso funcionario combina vishing con ingeniería social avanzada. Funciona porque imita perfectamente lo que un cliente esperaría de un banco que detecta actividad sospechosa: una llamada inmediata, una explicación profesional, instrucciones claras para "proteger" el dinero.

Cómo se desarrolla la operación

El esquema típico tiene varios pasos cuidadosamente coreografiados:

1. Contacto inicial: recibes una llamada de un número que parece oficial (puede haber sido falsificado). "Buenas tardes, hablo con el señor o señora [tu nombre]. Le llamamos del departamento de prevención de fraude del [tu banco]. Detectamos movimientos inusuales en su cuenta."
2. Validación de identidad inversa: el estafador "verifica" tu identidad pidiendo datos parciales que ya tiene (porque los obtuvo de filtraciones). Esto genera confianza: si conoce algunos de tus datos, debe ser legítimo.
3. Creación de urgencia: "Tenemos un intento de transferencia activo en este momento por $XXX. Si no actuamos en los próximos cinco minutos, no podremos detenerlo."
4. "Aislamiento" de la víctima: "Le pido por favor que no cuelgue mientras resolvemos esto. Si llama a otro número, perderemos el seguimiento del caso."
5. Solicitud de "protección" del dinero: "Para asegurar sus fondos, vamos a transferirlos temporalmente a una cuenta segura del banco. Le voy a dictar los datos."
6. Solicitud de tokens y códigos: "Le va a llegar un código de seguridad. Por favor confírmemelo para que pueda validar la operación de su lado."

Lo que en realidad está ocurriendo es que tú, siguiendo instrucciones, estás transfiriéndole el dinero al estafador y confirmando los códigos que autorizan esas transferencias.

Las señales que delatan el fraude (todas, simultáneas o no)

• Te piden hacer transferencias para "proteger" tu dinero.
• Te dictan datos de cuentas destino.
• Te piden códigos que tu propio banco te está enviando en ese momento.
• Te insisten en no colgar o no llamar a otro número.
• Te piden instalar una aplicación en tu teléfono o computador.
• Te transfieren entre "departamentos" para mantenerte en línea.
• Generan presión emocional fuerte: pánico, sensación de pérdida inmediata.

Si ya caíste: qué hacer en las primeras horas

1. Llama al instante al número oficial de tu banco. No al que usó el estafador.
2. Bloquea acceso a tu banca digital y a tus tarjetas.
3. Cambia tu clave desde un dispositivo seguro.
4. Reporta el fraude por escrito en una sucursal o por los canales oficiales del banco. Pide constancia.
5. Denuncia ante la policía de delitos informáticos. Lleva toda la evidencia que tengas: número que llamó, hora, montos, capturas.
6. Si te pidieron instalar alguna aplicación, no la elimines aún. Lleva el teléfono a un técnico de confianza para que la revise: a veces deja huellas útiles para la investigación.

El crecimiento del comercio electrónico trajo también nuevas modalidades de fraude: tiendas falsas, productos inexistentes, robo de datos de tarjeta, suplantación de plataformas reconocidas. La buena noticia es que la mayoría de fraudes se evitan con un conjunto pequeño de buenas prácticas.

Antes de comprar: verificar la tienda

• Antigüedad y reputación: busca el nombre de la tienda más palabras como "estafa", "fraude" o "opiniones". Si existen reportes negativos consistentes, descarta.
• Datos verificables: dirección física, teléfono, NIT, política de devoluciones, términos y condiciones. Una tienda real tiene todo esto.
• Presencia coherente en redes: revisa que tengan cuentas activas con historial real, no recién creadas con dos publicaciones.
• Métodos de pago: deben ofrecer pasarelas reconocidas (PSE, tarjetas, billeteras conocidas). Desconfía si solo aceptan transferencias directas a cuentas personales.
• Precios coherentes: si encuentras un producto a la mitad o menos del precio promedio, es probable que sea fraude o producto falso.

Durante la compra: cómo pagar de forma segura

• Usa tarjetas con límite bajo o virtuales: muchos bancos permiten crear tarjetas virtuales temporales con monto exacto y duración limitada. Es la opción más segura para comprar en línea.
• Activa las notificaciones: recibe alertas en tiempo real de cualquier movimiento.
• Verifica HTTPS en el momento del pago: el candado debe estar presente en la página donde ingresas los datos.
• No guardes los datos de tarjeta en tiendas pequeñas: hazlo solo en plataformas grandes con buena reputación de seguridad.
• Usa billeteras digitales cuando sea posible: servicios como PayPal o billeteras del banco no le entregan tus datos de tarjeta directamente al vendedor.
• Evita pagar por enlace enviado por WhatsApp: aunque sea para una tienda que conoces. Entra tú misma al sitio oficial.

Después de la compra

• Guarda la confirmación, número de orden y comprobante de pago.
• Verifica el estado del pedido por los canales oficiales de la tienda, no por enlaces de seguimiento que te envíen por mensaje (esa es una vía común de phishing).
• Revisa los movimientos de tu tarjeta los días siguientes.
• Si la tienda exige reseña pública a cambio de un beneficio, valora si vale la pena: a veces son tiendas que necesitan generar reputación artificial.

Si algo sale mal

Si pagaste con tarjeta de crédito y no recibiste el producto, tienes derecho a reclamar el cargo a tu banco (contracargo o "chargeback"). Para hacerlo necesitas: comprobante de la transacción, evidencia de que intentaste contactar al vendedor sin éxito, plazos de entrega prometidos vs reales. Los bancos suelen tener un plazo (60 a 120 días) para iniciar este proceso.

Los clientes de correo modernos muestran información que muchas veces ignoramos pero que es valiosa para verificar la autenticidad del remitente. Saber dónde mirar es la diferencia entre confiar a ciegas y verificar antes de actuar.

Pasos concretos de verificación

1. Revisa el remitente completo, no solo el nombre: haz clic sobre el nombre del remitente o despliega los detalles del mensaje. Debe aparecer la dirección completa, en formato "nombre@dominio".
2. Compara el dominio con el oficial: entra al sitio oficial de tu banco y verifica desde qué dominio envían correos (suelen indicarlo en la sección de seguridad). El dominio debe coincidir exactamente.
3. Verifica indicadores del cliente de correo: Gmail, Outlook y otros muestran a veces marcas como "Verificado" o "Sin verificar". Algunos muestran un signo de interrogación rojo cuando no pueden autenticar el remitente.
4. Mira los encabezados (avanzado): los correos pueden mostrar sus encabezados técnicos. Allí aparecen los registros SPF, DKIM y DMARC, que son sistemas de autenticación. Si los tres dicen "pass", la autenticación es robusta. Si alguno dice "fail" o "softfail", desconfía.
5. Compara con un correo previo legítimo: si guardaste correos anteriores de tu banco, compara los detalles: formato, pie, dominio, dirección de respuesta.

La regla de "no confiar en el contenido para verificar el contenido"

Un error común: usar los teléfonos o enlaces que aparecen en el mismo correo sospechoso para "verificar" si es legítimo. Eso no sirve. Si el correo es falso, los datos de contacto también lo serán. La verificación tiene que hacerse por canales independientes: el número del reverso de tu tarjeta, el sitio oficial al que llegas escribiéndolo tú, una sucursal física.

Configura tu correo para protegerte

• Marca como spam los correos sospechosos: entrena el filtro de tu proveedor.
• Activa la autenticación de dos factores en tu correo principal.
• Revisa periódicamente la sección de actividad de la cuenta: detectarás accesos no autorizados.
• Considera tener un correo separado para temas financieros, distinto del que usas para registros generales en internet. Reduce la exposición.

Las tiendas oficiales (Google Play en Android, App Store en iOS) hacen un proceso de revisión imperfecto pero real antes de publicar una app. Por fuera de ellas, no hay revisión ninguna. El archivo que descargas puede hacer cualquier cosa con tu teléfono.

Qué puede hacer una app maliciosa

• Capturar lo que escribes: claves, mensajes, conversaciones.
• Leer tus SMS: incluyendo los códigos de verificación que el banco te envía.
• Tomar capturas de pantalla: sin que te enteres.
• Controlar el dispositivo remotamente: hacer transacciones como si fueras tú.
• Acceder a tus contactos: para propagar el ataque o suplantarte.
• Encender la cámara y el micrófono: espionaje silencioso.
• Superponer pantallas falsas: cuando abres tu app del banco, te muestra una pantalla de inicio falsa que captura tus credenciales.

Modalidades comunes de engaño para que descargues

• "Actualiza tu app del banco": te llega un archivo apk por WhatsApp diciendo que es una "actualización urgente".
• "App de seguimiento de tu paquete": después de una compra te envían una supuesta app para "rastrear el envío".
• "App para retirar tu subsidio": en momentos de programas sociales, aparecen apps falsas que prometen acelerar pagos del gobierno.
• "App de soporte técnico": alguien que se hace pasar por soporte del banco te pide instalar una app para "ayudarte" remotamente.
• "Versión premium gratis": apps populares modificadas (juegos, streaming) ofrecidas fuera de las tiendas como "gratis".

Verificaciones dentro de la tienda oficial

Incluso dentro de Google Play o App Store, existen apps falsas que imitan a otras conocidas. Verifica antes de instalar:

• Nombre exacto del desarrollador: debe coincidir con el oficial del banco o entidad.
• Número de descargas: apps oficiales de bancos grandes tienen millones de descargas.
• Antigüedad y reseñas: apps recién creadas o con pocas reseñas son sospechosas.
• Capturas y descripción: apps falsas suelen tener capturas de baja calidad o descripciones mal traducidas.
• Permisos solicitados: si una app te pide acceso a contactos, SMS o cámara y no tiene razón para hacerlo, descarta.

"Mi información fue filtrada" puede significar cosas muy distintas: desde que tu correo apareció en una brecha de un servicio (algo común y de bajo riesgo si tienes buenas prácticas), hasta que se expusieron tus datos completos junto con credenciales bancarias (algo grave). La reacción adecuada depende del tipo de filtración.

Señales de que algo está mal

• Recibes notificaciones de intentos de ingreso a tus cuentas desde ubicaciones desconocidas.
• Aparecen movimientos en tu cuenta que no reconoces.
• Recibes códigos de verificación que no solicitaste.
• Te llegan correos confirmando cambios que no hiciste.
• Te llaman desde "tu banco" con datos parciales tuyos que no son públicos.
• Un servicio te avisa que tus datos aparecieron en una filtración.
• Aparecen consultas de crédito a tu nombre que no autorizaste.

Protocolo de respuesta inmediata (primeras 2 horas)

1. Cambia las contraseñas afectadas: empieza por las cuentas más críticas (correo principal, banca, almacenamiento en la nube).
2. Activa MFA en todas las cuentas que aún no lo tengan.
3. Cierra sesiones activas: la mayoría de servicios permiten ver desde qué dispositivos hay sesión abierta y cerrarla remotamente.
4. Revisa los movimientos de tus cuentas bancarias en detalle, no solo los últimos. A veces los estafadores hacen movimientos pequeños de prueba antes del grande.
5. Contacta a tu banco y reporta la sospecha. Pedirán medidas adicionales y dejarán constancia.
6. Revisa tu correo en busca de notificaciones de cambios, accesos o alertas que pudieron pasar desapercibidos.

Protocolo de respuesta extendida (próximos días)

1. Revisa tus reportes en centrales de riesgo crediticio: en Colombia, Datacrédito y TransUnion. Verifica que no haya consultas o productos no autorizados a tu nombre.
2. Considera congelar tu crédito si la legislación de tu país lo permite. Eso impide la apertura de nuevos productos a tu nombre.
3. Revisa redes sociales y servicios secundarios: a veces las filtraciones se usan para tomar control de redes y desde ahí extorsionar.
4. Denuncia el incidente: ante la entidad cuya información se filtró (si la identificas) y ante la autoridad de protección de datos de tu país. En Colombia, la Superintendencia de Industria y Comercio recibe estas denuncias.
5. Conserva evidencia: capturas, correos, números de caso, comunicaciones. Te servirá si necesitas reclamar.

El fraude en cajeros automáticos combina dos mundos: la manipulación física del equipo (instalando dispositivos para capturar datos) y la distracción social (alguien que se acerca con un pretexto para observarte). Por eso la protección requiere atención en ambos frentes.

Modalidades comunes de fraude en cajeros

• Skimming: un dispositivo se coloca sobre la ranura de la tarjeta y captura los datos de la banda magnética cuando insertas tu tarjeta.
• Cámaras ocultas: diminutas cámaras estratégicamente ubicadas filman tus dedos digitando la clave.
• Teclados superpuestos: un teclado falso encima del real registra cada tecla que pulsas.
• Atrapa-tarjetas: un dispositivo dentro de la ranura "atrapa" tu tarjeta. Cuando intentas sacarla sin éxito y te alejas a pedir ayuda, alguien la retira.
• Cambiazo: alguien que "te está ayudando" sustituye tu tarjeta por otra similar cuando te distraes.
• Asalto vigilado: alguien observa quién retira sumas importantes y luego sigue a la persona para asaltarla.

Antes de usar el cajero

• Elige el lugar: prefiere cajeros dentro de oficinas bancarias o lugares con seguridad y vigilancia. Evita los que están en zonas aisladas o mal iluminadas.
• Inspecciona el equipo: revisa la ranura de la tarjeta. Si tiene piezas que parecen sueltas, mal pegadas o de plástico distinto, no la uses. Mira si el teclado luce levantado o si hay algo encima.
• Mira el entorno: ¿hay personas alrededor observándote o "esperando"? ¿alguien intenta entablar conversación?
• Ten lista la tarjeta: no la saques en el último momento ni esperes en el cajero buscándola en la billetera.

Durante la operación

• Cubre el teclado al digitar: usa la otra mano. Esto neutraliza cámaras ocultas.
• No aceptes ayuda de extraños, aunque digan ser empleados del banco. Los empleados reales no se acercan a clientes que están operando.
• No te distraigas: si alguien te interrumpe con preguntas, cancela la operación.
• Verifica que la tarjeta salió completamente antes de retirarte.
• Cuenta el dinero discretamente antes de guardarlo. Si hay alguna diferencia, repórtala al instante (algunos cajeros tienen cámara y se puede aclarar).

Después de retirar

• Guarda inmediatamente la tarjeta y el dinero.
• No cuentes el dinero en la calle ni hagas ostensible que retiraste.
• Si retiraste una suma importante, cambia tu ruta y observa si alguien te sigue.
• Guarda o destruye completamente el recibo: contiene información de tu cuenta.
• Revisa el movimiento en tu app del banco al llegar a un lugar seguro.

Cada entidad financiera publica sus canales oficiales en su sitio web institucional y, físicamente, en el reverso de las tarjetas. La estrategia es encontrarlos UNA vez, en calma, verificarlos, y guardarlos en un lugar accesible.

Qué deberías tener registrado en un lugar seguro

• Línea de atención al cliente general de tu banco.
• Línea exclusiva para reportar fraudes (suele ser diferente, opera 24/7).
• Sitio web oficial (la URL exacta, escrita).
• Cuentas oficiales en redes sociales (verificadas con marca de confirmación).
• Direcciones de correos electrónicos oficiales para reportes.
• Ubicación de la sucursal más cercana.

Cómo verificar que un canal es realmente oficial

1. Llega al sitio web del banco escribiendo tú la URL en el navegador (no por enlaces).
2. En el pie de página o en una sección "Contacto" o "Atención", aparecen los canales oficiales.
3. Confirma que coincidan con los que aparecen en el reverso de tu tarjeta.
4. Para redes sociales: verifica que la cuenta tenga la marca azul o gris de verificación.
5. Anota los datos en algún lugar físico (libreta) o digital seguro (gestor de contraseñas).

Entidades reguladoras y de protección

Además de los canales del banco, hay entidades públicas a las que puedes acudir si tienes problemas:

• Superintendencia Financiera (Colombia y otros países latinoamericanos): regula a las entidades financieras y recibe quejas formales.
• Superintendencia de Industria y Comercio (Colombia): protege datos personales y derechos del consumidor.
• Policía Nacional, Centro Cibernético: recibe denuncias por delitos informáticos.
• Defensoría del Consumidor Financiero: cada entidad financiera tiene una, gratuita, para mediar en conflictos.

Las entidades financieras tienen líneas de atención especializadas para reportar fraudes que operan 24 horas, 7 días a la semana. Estas líneas son distintas de la atención general y tienen procedimientos más rápidos.

Qué información necesitas tener lista al llamar

• Tu número de identificación.
• Tu número de cliente o de cuenta.
• El número de la tarjeta involucrada (si aplica).
• Los movimientos sospechosos: hora aproximada, monto, descripción.
• Cómo te diste cuenta del problema.
• Si tuviste contacto previo con alguien que se hizo pasar por el banco: número, hora, lo que dijeron.

Qué pedir en la llamada

1. Bloqueo inmediato de productos afectados (tarjetas, banca digital).
2. Cambio de claves y restablecimiento desde un canal seguro.
3. Apertura formal de un caso de fraude con número de radicado.
4. Información sobre los plazos de investigación y reembolso, si aplica.
5. Constancia escrita de la denuncia (correo, mensaje en tu app, comprobante).

Recursos generales en Colombia

• CAI Virtual de la Policía Nacional: reporta delitos informáticos. Verifica el canal vigente en el sitio oficial de la Policía.
• Fiscalía General de la Nación: para presentar denuncia formal por fraude.
• Línea 123: en casos de urgencia inmediata.
• Defensor del Consumidor Financiero de tu entidad: para reclamaciones que tu banco no resuelve directamente.

Cada país tiene mecanismos para denunciar sitios fraudulentos. En Colombia, la Policía Nacional opera un canal especializado en delitos informáticos. El proceso suele ser sencillo y completamente gratuito.

Información que debes recopilar antes de denunciar

• URL completa del sitio fraudulento: copia la dirección exacta, incluyendo "https://" o "http://".
• Capturas de pantalla: de la página principal, de los formularios que pide, de cualquier mensaje sospechoso.
• Mensaje o correo que te llevó al sitio: guarda tanto el contenido como los detalles del remitente.
• Hora y fecha en que detectaste el sitio.
• Si entregaste alguna información, deja constancia de qué exactamente.
• Si hubo pérdida económica, el monto y los datos de la transacción (fecha, hora, cuenta de destino si la conoces).

Pasos para denunciar

1. Ingresa al portal oficial de la Policía Nacional de tu país.
2. Busca la sección de denuncias por delitos informáticos.
3. Diligencia el formulario con tus datos y los del incidente.
4. Adjunta toda la evidencia recopilada.
5. Recibirás un número de radicado: guárdalo.
6. Si la denuncia incluye pérdida económica, complementa con denuncia formal en Fiscalía.
7. Reporta paralelamente al banco si la suplantación involucra una entidad financiera.

Más allá de la denuncia oficial

Hay otros lugares útiles para reportar:

• Al proveedor de hosting del sitio: herramientas como WHOIS te permiten saber qué empresa aloja el sitio. Reportar al proveedor a menudo logra dar de baja la página más rápido que las autoridades.
• A Google Safe Browsing: reportar un sitio de phishing a Google ayuda a que el navegador lo marque como peligroso para todos.
• A la entidad suplantada: si el sitio se hace pasar por un banco, repórtalo a su área de fraudes para que tomen acciones legales.

Si sospechas que tus credenciales fueron comprometidas, cambiar la clave es prioritario pero no suficiente. Y la forma de hacerlo importa: si cambias la clave desde el mismo dispositivo o red comprometida, podrías estar entregándole la nueva clave al mismo atacante.

Pasos previos al cambio

1. Identifica si hay un dispositivo limpio: idealmente, cambia la clave desde un dispositivo distinto al sospechoso. Si tu computador o teléfono está comprometido, todo lo que escribas ahí puede ser visto.
2. Usa una red confiable: tus datos móviles o una red doméstica de confianza. Evita Wi-Fi público.
3. Verifica que estás en el sitio oficial: escribe tú misma la URL del servicio. No llegues por enlaces.
4. Si es banca: usa la app oficial descargada desde la tienda, no el navegador web (más seguro).

Durante el cambio

• Elige una clave nueva sin relación con las anteriores: no es buena idea solo cambiar un número al final de la misma clave.
• Aplica el método de frases del tema 06: largo, fácil de recordar, único para este servicio.
• Si el servicio lo ofrece, revisa también las preguntas de seguridad asociadas. Si las respuestas son adivinables (nombre de tu mascota, ciudad de nacimiento), cámbialas.
• Activa MFA si no lo tienes activado.

Después del cambio

• Cierra sesiones en todos los dispositivos: la mayoría de servicios tiene esta opción. Esto fuerza a que cualquier sesión activa (incluida la del atacante) requiera reingreso.
• Revisa la actividad reciente: dispositivos que iniciaron sesión, ubicaciones, accesos. Si ves algo extraño, repórtalo al servicio.
• Revisa correos recientes: los atacantes a veces configuran reenvíos automáticos a su correo. Revisa que no haya reglas o reenvíos extraños configurados.
• Verifica tus datos de contacto: que el correo y teléfono asociados sigan siendo los tuyos. Los atacantes a veces los cambian para impedir que recuperes la cuenta.

Mito 1: "Si el sitio tiene el candado verde, es seguro"

Falso. El candado solo garantiza que la conexión está cifrada, no que el sitio sea legítimo. La mayoría de sitios fraudulentos modernos tienen HTTPS. El candado es necesario pero está lejos de ser suficiente (ver tema 04).

Mito 2: "Los bancos siempre devuelven el dinero en caso de fraude"

Depende. Si demuestras que fuiste víctima de un fraude sin haber entregado voluntariamente tus claves, hay buenas posibilidades de recuperar el dinero. Pero si compartiste tus credenciales, dictaste tokens o autorizaste tú la transferencia (aunque fuera engañada), la situación es más compleja y muchas veces el banco no es responsable. Por eso la prevención es vital.

Mito 3: "Tengo iPhone, no me pueden estafar"

Falso. El sistema operativo no protege del phishing, vishing o ingeniería social. El 90% del fraude actual ocurre porque la persona, voluntariamente (engañada), entrega información o autoriza operaciones. Ningún dispositivo te protege de eso.

Mito 4: "Mi banco me llamaría si hubiera un movimiento sospechoso"

Parcialmente cierto, pero cuidado. Los bancos sí tienen sistemas de detección y a veces llaman. Pero esto es exactamente lo que los estafadores explotan: te llaman simulando esa llamada legítima. Tu reacción correcta sigue siendo: cuelga y llama tú al número oficial.

Mito 5: "Si me llaman desde el número del banco que sale en el caller ID, es real"

Falso. El número que aparece en el caller ID se puede falsificar (spoofing). Un estafador puede hacer que su llamada aparezca como si viniera del número oficial del banco. Por eso la regla es no confiar en llamadas entrantes y siempre verificar llamando tú al número del reverso de la tarjeta.

Mito 6: "Si comparto mi clave solo una vez, no pasa nada"

Falso. Una vez que un dato sensible sale de tu mente, no hay forma de "deshacer" eso. La persona que recibió la clave puede usarla, copiarla, venderla o esperarse a momentos donde no estés vigilante para usarla.

Mito 7: "El antivirus me protege contra todo"

Falso. El antivirus detecta software malicioso conocido, pero no te protege de phishing, vishing, ingeniería social o sitios falsos. Es una capa útil pero limitada. La mayoría de fraudes financieros no requieren que la víctima tenga un virus.

Mito 8: "Si recibo un código de verificación y no lo solicité, no es problema"

Falso y peligroso. Si te llega un código que no pediste, probablemente alguien tiene tu contraseña e intentó iniciar sesión. Cambia inmediatamente esa contraseña y revisa la cuenta.

A — H

Autenticación: proceso de verificar que alguien es quien dice ser.

Biometría: autenticación basada en características físicas (huella, rostro, iris).

Cifrado: proceso de convertir información en código para que solo quien tenga la clave pueda leerla.

Cookie: archivo pequeño que un sitio web guarda en tu dispositivo. Algunas son útiles (mantener sesión), otras rastrean tu actividad.

Cracking: intento de descifrar una clave o sistema mediante fuerza bruta o técnicas similares.

Dark web: parte de internet no indexada por buscadores, accesible solo con software especial. Es donde se comercian datos robados.

Doxing: publicación de información personal de alguien con intención maliciosa.

Firewall: sistema que filtra el tráfico de red entrante y saliente.

Hacker: término amplio. Originalmente designa a alguien con habilidad técnica avanzada. Coloquialmente se usa para atacantes, aunque técnicamente esos serían "crackers" o "ciberdelincuentes".

HTTPS: versión cifrada del protocolo HTTP. Es lo que indica el candado del navegador.

I — P

Ingeniería social: técnicas de manipulación psicológica para que una persona revele información o realice acciones que no debería.

IP: dirección numérica que identifica a un dispositivo en internet.

Keylogger: programa que registra cada tecla que pulsas. Una vez instalado, captura todas tus claves.

Malware: software malicioso. Es un término paraguas que incluye virus, troyanos, ransomware, spyware, etc.

MFA / 2FA: autenticación multifactor o de dos factores. Requiere más de un método para verificar identidad.

Phishing: engaño para obtener datos sensibles haciéndose pasar por una entidad confiable. Por correo, web o cualquier canal escrito.

Pharming: técnica que redirige tráfico de un sitio legítimo a uno falso, generalmente alterando configuraciones de DNS.

R — Z

Ransomware: tipo de malware que cifra los archivos de tu dispositivo y pide rescate para liberarlos.

Skimming: robo de datos de tarjetas mediante dispositivos instalados en cajeros o terminales de pago.

Smishing: phishing realizado a través de SMS o mensajería móvil.

Spoofing: falsificación de identidad digital (números de teléfono, correos, direcciones IP) para parecer legítimo.

Spyware: software que espía tu actividad sin que lo notes.

SSL/TLS: protocolos de cifrado que aseguran comunicaciones web. SSL es el nombre antiguo; TLS es el actual.

Token: código temporal o de un solo uso para autorizar una operación.

Troyano: programa malicioso que se hace pasar por legítimo para que lo instales.

URL: dirección de un recurso en internet.

Virus: tipo de malware que se replica y se propaga a otros archivos o sistemas.

Vishing: phishing por llamada telefónica (de "voice phishing").

VPN: Red Privada Virtual. Cifra tu conexión y oculta tu IP real.

Whaling: phishing dirigido a personas de alto perfil (ejecutivos, celebridades).

Wi-Fi público: red inalámbrica abierta a cualquier usuario, con mayores riesgos de interceptación.

Responde con sinceridad. Cada respuesta afirmativa suma un punto. Al final encontrarás interpretaciones según tu puntaje y recomendaciones específicas.

Bloque 1 — Acceso y autenticación

1. ¿Usas contraseñas distintas para tu banco, tu correo principal y tus redes sociales?
2. ¿Tus contraseñas tienen 12 caracteres o más?
3. ¿Tienes activada la autenticación multifactor (MFA) en tu banca digital?
4. ¿Tienes MFA activado en tu correo principal?
5. ¿Usas un gestor de contraseñas o tienes un sistema seguro para recordarlas?

Bloque 2 — Dispositivos

6. ¿Tu celular tiene bloqueo biométrico o PIN fuerte (no 1234, no tu fecha de nacimiento)?
7. ¿Tu celular se bloquea automáticamente en 30 segundos o menos?
8. ¿Mantienes tu sistema operativo y tus apps actualizadas?
9. ¿Descargas apps únicamente desde tiendas oficiales (Play Store, App Store)?
10. ¿Tienes activada la opción "Buscar mi dispositivo" o equivalente?

Bloque 3 — Hábitos en línea

11. ¿Verificas la URL antes de ingresar a tu banco?
12. ¿Llegas a tu banca por la app oficial o escribiendo la URL, en lugar de por enlaces?
13. ¿Tienes activas las notificaciones de movimientos bancarios?
14. ¿Evitas hacer transacciones en Wi-Fi público?
15. ¿Sabes identificar las señales de un correo de phishing?

Bloque 4 — Reacción ante situaciones de riesgo

16. ¿Sabes a qué número llamar si necesitas reportar un fraude a tu banco?
17. ¿Cuelgas las llamadas que dicen ser de "tu banco" y verificas llamando tú?
18. ¿Te has tomado el tiempo de revisar la actividad de tus cuentas en el último mes?
19. ¿Sabes qué hacer en las primeras dos horas si pierdes tu teléfono?
20. ¿Has hablado con tu familia (padres, hijos, pareja) sobre estos riesgos?

Interpretación del puntaje

• 18-20 puntos: Excelente. Tienes una postura de seguridad sólida. Mantente al día con nuevas modalidades y comparte tus prácticas con tu entorno.
• 14-17 puntos: Bien encaminada. Identifica los puntos donde fallaste y trabaja sobre ellos uno por uno. Empieza por los del Bloque 1.
• 10-13 puntos: Vulnerabilidad media. Tienes hábitos básicos pero quedan brechas importantes. Te recomiendo releer los Módulos A y B.
• Menos de 10 puntos: Alta vulnerabilidad. Es prioritario que dediques unas horas esta semana a implementar los fundamentos. Empieza por activar MFA en banco y correo, y cambiar contraseñas reutilizadas.

Aunque los principios de protección que vimos en los módulos anteriores cubren la inmensa mayoría de casos, los estafadores son creativos. Aprovechan nuevas tecnologías, eventos coyunturales y vulnerabilidades emergentes para diseñar variantes que requieren atención específica.

Qué encontrarás en el blog

• Análisis de modalidades recientes: cómo funcionan, qué señales tienen, cómo protegerse.
• Casos reales documentados: con detalles relevantes y respetando la privacidad de las víctimas.
• Alertas regionales: tendencias específicas detectadas en Colombia y otros países latinoamericanos.
• Análisis tras incidentes mediáticos: cuando ocurre una filtración masiva o un ataque relevante, una explicación accesible de qué pasó y qué implica para ti.
• Tendencias tecnológicas: cómo afectan a la seguridad la inteligencia artificial, las deepfakes, las nuevas formas de pago.

Áreas que estamos siguiendo de cerca

• Fraudes con IA generativa: clonación de voz para llamadas, videos falsos, imitación de personas reales.
• Suplantación de marcas en redes sociales: cuentas falsas de bancos y empresas que compran publicidad.
• Fraude en transferencias instantáneas: esquemas que aprovechan la inmediatez de los sistemas modernos.
• Estafas con criptomonedas: ofertas de inversión, plataformas falsas, esquemas piramidales.
• Fraude del falso soporte técnico: llamadas o ventanas emergentes pidiendo acceso remoto.

Sobre el portal

¿Este sitio está afiliado a algún banco o entidad financiera?
No. Ciberseguridadfinanciera.info es un portal educativo independiente, sin ninguna afiliación, asociación o autorización por parte de ninguna entidad bancaria, financiera, regulatoria o gubernamental. Nuestro único propósito es educativo.

¿Cobran por acceder al contenido?
No. Todo el contenido es gratuito. No hay membresías, productos premium ni descargas pagadas.

¿Solicitan datos personales o bancarios?
No solicitamos datos bancarios, números de tarjeta, claves, documentos de identidad ni información financiera. El único formulario del sitio (suscripción al boletín) pide solo nombre y correo, de manera voluntaria, para enviar contenido educativo.

¿Puedo compartir el contenido?
Sí. Puedes compartir cualquier sección citando la fuente. Es más, te lo agradeceremos: la educación en ciberseguridad funciona mejor cuanta más gente la conozca.

¿Quién está detrás del proyecto?
Este portal es una iniciativa de Eliana del Carmen Colina Bravo, autora y responsable del proyecto. La información de contacto y autoría aparece en el aviso legal del pie de página.

Sobre el contenido

¿El contenido está actualizado?
Revisamos y actualizamos las secciones periódicamente. La ciberseguridad evoluciona rápido, por lo que recomendamos verificar siempre con las fuentes oficiales antes de seguir procedimientos específicos.

¿Aplican estos consejos en otros países además de Colombia?
La mayoría de principios son universales. Los detalles específicos (canales de denuncia, entidades regulatorias) varían por país, por lo que cuando los mencionamos lo hacemos a modo orientativo. Verifica los canales vigentes de tu país.

¿Pueden asesorarme en un caso personal de fraude?
No. No somos asesores legales, financieros ni técnicos. Para casos específicos debes acudir a tu entidad financiera, las autoridades competentes y, si lo necesitas, a un abogado.

Sobre las suscripciones y la privacidad

¿Qué hacen con mi correo si me suscribo?
Solo se usa para enviar el contenido del boletín. No lo compartimos, vendemos ni cedemos a terceros. Puedes darte de baja en cualquier momento desde el enlace al final de cada correo.

¿Cómo me doy de baja del boletín?
Cada correo del boletín incluye un enlace de baja al final. Un clic, y dejas de recibir mensajes.

¿Usan cookies o rastreo?
Detalles específicos sobre cookies y privacidad están en nuestra política de privacidad, enlazada en el pie de página.

Una limitación del contenido en línea es que muchas personas, especialmente adultos mayores, no se sienten cómodas leyendo guías extensas en pantalla. Por eso preparamos versiones en PDF, optimizadas para impresión y para compartir.

Versiones disponibles (próximamente)

• Guía completa de los 30 temas: versión integral, ideal para lectura ordenada.
• Guía rápida (10 reglas de oro): un resumen condensado de las prácticas más importantes, en una página, perfecta para pegar junto al teléfono o computador.
• Hoja de emergencia: qué hacer en las primeras 2 horas si sospechas que fuiste víctima de fraude. Diseñada para tener a la mano.
• Guía para mayores: versión con letra grande, lenguaje aún más sencillo y ejemplos enfocados en los engaños más comunes contra adultos mayores.

Cómo usarlas

• Para uso personal: imprime y consulta cuando lo necesites.
• Para uso familiar: organiza una "sesión" donde revisen juntos las reglas básicas. Especialmente importante con adolescentes que están empezando a manejar dinero y con adultos mayores.
• Para uso comunitario: si haces parte de un grupo (junta de acción comunal, parroquia, asociación) puedes usar el material para charlas educativas. Cita la fuente.
• Para uso educativo: docentes pueden adaptar las secciones para clases de educación financiera. Bajo el mismo principio de citación.