Los operadores de telefonía y las entidades financieras tendrán que reforzar sus mecanismos de verificación de identidad para prevenir casos de suplantación.Aunque no existe una cifra que dé luces sobre la ocurrencia de este tipo de casos en Colombia, sí es una modalidad que está en el radar de la Policía de Delitos Informáticos.Getty ImagesSon las ocho de la mañana y María acaba de perder la señal de su celular. “¿Olvidé pagar la factura?”, “¿se habrá desconfigurado el teléfono?”, se pregunta mientras intenta resolver lo que parece una falla técnica. Lo que no sabe es que, en ese mismo momento, un delincuente acaba de activar una tarjeta SIM con su número.

En cuestión de minutos descarga WhatsApp y comienza a escribirles a sus contactos para hacerse pasar por ella y pedir “dinero prestado”.A Francisco, por su parte, le acaba de llegar un correo de su banco informándole que su crédito de libre inversión fue aprobado. “¿Crédito? Pero si yo no he solicitado nada”, piensa sorprendido.

Días antes había caído en una trampa de phishing y un ciberdelincuente obtuvo sus credenciales bancarias. Ahora, luego de conseguir una tarjeta SIM asociada a su número telefónico, logró interceptar los códigos de verificación necesarios para completar el fraude y materializar la suplantación de identidad.María y Francisco fueron víctimas de SIM swapping, un fraude que permite a los delincuentes apropiarse del número de teléfono de una persona luego de engañar al operador de telefonía.

Una vez tienen el control de la línea, pueden recibir los códigos de seguridad enviados por bancos y plataformas digitales, abriendo la puerta a robos y suplantaciones.Aunque no existe una cifra que dé luces sobre la ocurrencia de este tipo de casos en Colombia, sí es una modalidad que está en el radar de la Policía de Delitos Informáticos. Como explica la Fundación Karisma, para las víctimas este tipo de fraude suele convertirse en un verdadero dolor de cabeza, pues terminan atrapadas en los pimponeos de las entidades involucradas.

Cuando presentan un reclamo ante el banco, como podría ser el caso de Francisco, la respuesta suele ser que la transacción fue legítima porque fue confirmada a través de su línea telefónica, por lo que el problema correspondería al operador móvil. No obstante, cuando acuden a la empresa de telefonía, esta suele señalar que, contractualmente, su obligación se limita a reemplazar la tarjeta SIM que fue objeto de suplantación.

Al final, la víctima queda en medio de una disputa de responsabilidades mientras intenta demostrar que hubo un fraude.Para atender estos casos, recientemente se sancionó la Ley 2573 de 2026, la cual protege a las personas del reporte negativo ante operadores de información, así como del cobro de obligaciones ante este tipo de casos de suplantación de identidad.En la práctica, esta nueva ley obliga a los operadores de telecomunicaciones, las entidades financieras y los establecimientos comerciales a fortalecer sus mecanismos de verificación de identidad, así como a implementar políticas y procedimientos que eviten que las personas víctimas de suplantación terminen enfrentando reportes negativos en centrales de riesgo o el cobro de obligaciones adquiridas de manera fraudulenta.La nueva norma también impone responsabilidades. A los operadores, entidades financieras y comercios se les exige, entre otras acciones: adoptar medidas de seguridad que sean suficientes, razonables y necesarias para establecer la identidad de las personas; ante la denuncia de un caso de fraude, realizar el reporte correspondientes marcando al usuario como “víctima de falsedad personal”, sin que esto impacto su puntaje crediticio; dar un trámite oportuno a estas quejas, el cual no podrá superar los diez días hábiles; entregar la información relacionada al caso que solicite la presunta víctima de fraude; adelantar una investigación pertinente para determinar si hubo, o no, responsabilidad de trabajadores al interior de la organización.

La persona suplantada también tiene obligaciones que, entre otras, son: informar a la entidad sobre el caso de fraude; aportar los documentos y elementos de prueba que sirvan para demostrar que es víctima de suplantación; denunciar ante la Fiscalía o la Policía Nacional el presunto delito de falsedad personal o documental.Una vez se haya suspendido el cobro del bien o servicio del que se derivó la supuesta suplantación, el operador, la financiera o el comercio implicado deberá esperar hasta que exista un pronunciamiento judicial para determinar si continúa con el cobro, o no. Si, luego de la investigación correspondiente, se comprueba que efectivamente hubo una suplantación de identidad, la víctima será exonerada de cualquier obligación derivada del fraude y quedará libre de reportes negativos asociados al caso.

No obstante, si las autoridades judiciales concluyen que no existió suplantación y que la persona sí adquirió el bien o servicio en cuestión, la entidad podrá reanudar el cobro de la obligación junto con los intereses y demás valores que se hayan causado durante el proceso. Asimismo, quien alegó falsamente haber sido víctima de suplantación podría enfrentar las responsabilidades penales correspondientes por falso denuncio.Hay que tener en cuenta que, para la entrada en vigencia de esta ley, se dio una ventana de tiempo de máximo 6 meses, pues antes entidades como la Superintendencia de Industria y Comercio (SIC) y la Superintendencia Financiera (SFC) deberán expedir las reglamentaciones correspondientes.

Los desafíosMaterializar lo que exige la nueva ley, aunque es un paso necesario para proteger a las víctimas de fraude, no parece una tarea sencilla. En entrevista con El Espectador, el codirector de la Fundación Karisma, Juan Diego Castañeda, señala que al menos hay dos aspectos que merecen especial seguimiento.El primero tiene que ver con la reglamentación.

La Superintendencia de Industria y Comercio (SIC) y la Superintendencia Financiera (SFC) deberán definir los protocolos que tendrán que adoptar operadores de telecomunicaciones, entidades financieras y comercios para verificar que una persona es quien realmente dice ser. La pregunta, no obstante, es cómo se hará esa validación, teniendo en cuenta que la legislación sobre protección de datos no obliga a los ciudadanos a suministrar información sensible, como datos biométricos —huellas dactilares, reconocimiento facial, iris o voz— para acceder a un producto o servicio.Lo segundo es si la Registraduría entraría, o no, a jugar en esto pues, como ya lo hemos reportado en El Espectador, pareciera tener la pretención de convertirse en el único proveedor de identidad en Colombia, lo cual choca con los intereses de ciertos operadores privados.💰📈💱 ¿Ya se enteró de las últimas noticias económicas?

Lo invitamos a verlas en El Espectador.