Bogotá no solo enfrenta robos en la calle. Hoy también enfrenta robos invisibles, silenciosos y profundamente dañinos: los que ocurren cuando un ciudadano entrega un dato, abre un enlace o responde una llamada creyendo que está hablando con una entidad legítima. La reciente alerta sobre más de 20.000 denuncias de delitos informáticos en la ciudad confirma que ya no hablamos de un riesgo lejano, sino de una realidad cotidiana que compromete patrimonio, reputación, tranquilidad y hasta la continuidad de pequeñas empresas y hogares. Como consultor en transformación tecnológica y cumplimiento, he visto que el problema no es únicamente la sofisticación del atacante, sino la falta de procesos claros, cultura preventiva y decisiones responsables frente al uso de la información. Entender cómo operan estos delincuentes es el primer paso para protegerse con criterio, funcionalidad y sentido humano.
👉 LEE NUESTRO BLOG, antes de que el próximo clic te cueste tu tranquilidad.
Durante años, muchos empresarios y ciudadanos pensaron que el ciberdelito era un problema reservado para bancos, multinacionales o expertos en tecnología. Esa percepción ya quedó atrás. En Bogotá, la información publicada por El Tiempo a partir de la Encuesta de Percepción y Victimización de la Cámara de Comercio de Bogotá 2025 mostró que, de 20.038 ciudadanos consultados, el 19,4 % afirmó haber sido víctima de un delito cibernético, muy por encima del 9,1 % reportado para 2024. La misma nota explica que los reportes se relacionan con mensajes, llamadas y correos fraudulentos, enlaces con software malicioso y secuestro de datos. No es un fenómeno marginal: es un cambio de escala que debe obligarnos a revisar cómo usamos el celular, el correo, la banca digital y hasta nuestras conversaciones más cotidianas.
Cuando uno observa este panorama con serenidad profesional, entiende algo esencial: el delincuente informático moderno ya no necesita forzar una puerta, romper una cerradura ni aparecer físicamente en la escena. Le basta con persuadir, engañar y manipular. Ese es el corazón del problema. La mayoría de estos ataques no comienzan con un software complejo, sino con un error humano provocado de forma deliberada. Un mensaje que aparenta venir del banco. Una llamada con tono urgente. Un enlace que promete un subsidio, una multa, un reembolso o una actualización de seguridad. Un archivo “inofensivo” que en realidad abre la puerta a la intrusión. Por eso, la conversación sobre ciberseguridad ya no puede quedarse solo en antivirus o contraseñas: tiene que incluir cultura, criterio y hábitos.
En TODO EN UNO.NET sostenemos desde hace décadas una idea que hoy resulta más vigente que nunca: la tecnología debe servir a la funcionalidad, no al desorden ni a la improvisación. Esa visión institucional, sumada a una trayectoria empresarial iniciada en 1995, nos ha llevado a acompañar organizaciones en consultoría tecnológica, administrativa y tratamiento de datos personales con una mirada humana, práctica y preventiva.
La primera modalidad de robo de datos sigue siendo la más rentable para los atacantes: la suplantación. Se hacen pasar por una entidad confiable para que la propia víctima entregue información. A veces llega como phishing por correo; otras veces como smishing por SMS o mensajería; y en muchos casos como vishing, mediante llamadas en las que alguien asegura hablar desde el banco, una empresa de mensajería, una EPS, una entidad pública o incluso un familiar con “una urgencia”. El objetivo siempre es el mismo: obtener claves, códigos de verificación, datos de tarjetas, accesos a cuentas o información suficiente para perfilar a la persona y preparar una estafa mayor. MinTIC recomienda expresamente no abrir enlaces sospechosos, no entregar datos personales a desconocidos, evitar operaciones sensibles en redes públicas y activar medidas de protección como contraseñas robustas y copias de seguridad.
Lo más delicado es que el atacante ya no trabaja a ciegas. Hoy puede construir una narrativa creíble con fragmentos de información dispersa: un cargo publicado en LinkedIn, una foto familiar en redes, un comentario en WhatsApp, un correo corporativo filtrado en una base de datos, una transacción mencionada en público o una imagen generada para “divertirse” donde la persona comparte más contexto del debido. Ese exceso de exposición se convierte en materia prima para la ingeniería social. Por eso, cuando advertimos que la ciberseguridad empieza antes del ataque, hablamos precisamente de esto: de entender que cada dato aparentemente menor puede hacer más convincente el engaño siguiente.
He visto casos en los que la víctima no pierde dinero el mismo día del engaño. Primero pierde algo más silencioso: control. Control sobre su correo, sobre su número de celular, sobre su identidad digital o sobre la confianza que sus clientes depositan en su negocio. A partir de ahí, el atacante escala. Puede pedir recuperación de contraseñas, interceptar comunicaciones, entrar a aplicaciones financieras, duplicar conversaciones, enviar mensajes desde cuentas comprometidas o usar la información robada para extorsionar. El CAI Virtual de la Policía Nacional mantiene canales de denuncia, prevención y observatorio del cibercrimen precisamente porque el problema no es teórico; es operativo y persistente.
Cuando el ataque ya incorpora malware, el riesgo crece todavía más. En 2025 el CSIRT Financiero reportó la identificación de TsarBot, un troyano bancario para Android distribuido mediante sitios de phishing que imitaban plataformas legítimas y se presentaban como una actualización de Google Play Services para inducir a la víctima a habilitar accesibilidad. Ese permiso permitía ejecutar funciones maliciosas. También se documentaron actividades del troyano Grandoreiro, distribuido a través de correos de phishing y capaz de facilitar operaciones bancarias fraudulentas, así como la amenaza OtterCookie orientada a exfiltrar información sensible. Traducido al lenguaje del ciudadano común: abrir un enlace falso o instalar algo fuera del entorno seguro puede entregar el control del dispositivo a terceros sin que la víctima lo note de inmediato.
Aquí aparece una segunda verdad incómoda. Muchas personas todavía creen que el problema se resuelve “teniendo cuidado”. Pero tener cuidado no basta cuando la empresa no tiene protocolos, cuando el colaborador usa la misma clave para todo, cuando no existe doble factor de autenticación, cuando nadie valida enlaces, cuando los respaldos no se prueban, cuando los accesos no se segmentan y cuando la organización ni siquiera sabe qué datos personales está recolectando y dónde los almacena. La improvisación digital es hoy una forma de vulnerabilidad. No porque toda empresa vaya a ser atacada mañana, sino porque toda empresa desordenada facilita el trabajo del atacante. Esa es una diferencia crítica.
En Colombia, además, el problema no solo es tecnológico: también es normativo. La Ley 1581 de 2012 aplica al tratamiento de datos personales efectuado en territorio colombiano, y el Decreto 1377 de 2013 reglamenta parcialmente esa ley. La propia SIC ha reiterado que el dato personal es cualquier información vinculada o asociable a una persona natural determinada o determinable, y su tratamiento está sometido a reglas especiales. Eso significa que cuando una empresa recopila nombres, cédulas, correos, teléfonos, historiales de compra, hojas de vida, imágenes o cualquier información asociable a un titular, adquiere responsabilidades reales. Si esos datos se exponen por descuido, por mala configuración o por ausencia de controles, no solo hay un problema operativo: puede haber consecuencias legales, reputacionales y comerciales.
Por eso insisto tanto en que la conversación sobre el robo de datos no debe quedarse en el miedo. Debe pasar a la gestión. La pregunta correcta no es únicamente “cómo me atacan”, sino “qué tan fácil les resulta atacarme”. En una pyme, por ejemplo, el ataque suele encontrar puertas abiertas en cuatro frentes. El primero es el humano: colaboradores sin formación, urgencias mal gestionadas y exceso de confianza. El segundo es el técnico: dispositivos sin actualizar, software desactualizado, permisos excesivos y ausencia de monitoreo. El tercero es el documental: políticas de tratamiento inexistentes o desconectadas de la operación real. Y el cuarto es el directivo: líderes que ven la ciberseguridad como gasto y no como continuidad del negocio. Cuando esos cuatro frentes fallan al tiempo, el atacante no enfrenta una empresa: encuentra una oportunidad.
Bogotá merece una lectura especial porque concentra volumen, conectividad y velocidad económica. El balance anual de ciberseguridad 2023 del CAI Virtual reportó 59.033 denuncias por delitos informáticos en Colombia y señaló a Bogotá como la ciudad con mayor afectación, con 19.542 denuncias, equivalentes al 33 % del total. La nota publicada en 2026 por El Tiempo muestra que la percepción de victimización volvió a crecer en la capital. Esto nos dice algo importante: aunque cambien las campañas y evolucionen las herramientas, el ecosistema urbano sigue ofreciendo a los delincuentes una base grande de potenciales víctimas, especialmente donde se mezclan alta digitalización, urgencia cotidiana y poca educación preventiva.
Hay también una dimensión emocional que casi nunca se discute. El ciudadano que cae en un fraude digital no solo pierde dinero o acceso; pierde seguridad psicológica. Empieza a desconfiar del correo, del banco, de los mensajes, de su propio criterio. En las empresas ocurre igual. Un incidente de este tipo erosiona la confianza interna, genera tensión con clientes y obliga a reaccionar bajo presión. Desde una mirada empresarial humana, esto importa mucho. La seguridad digital no protege únicamente sistemas; protege relaciones, reputación y serenidad operativa. Esa es una de las razones por las que en TODO EN UNO.NET hablamos de transformación digital con sentido humano y no de tecnología vacía.
¿Qué debería hacer entonces un ciudadano común desde hoy? Primero, frenar la prisa digital. Ningún enlace urgente merece más confianza que una verificación independiente. Segundo, entrar siempre por el canal oficial escrito manualmente en el navegador o en la app legítima, nunca por el enlace recibido. Tercero, desconfiar de cualquier llamada que pida códigos, claves o validaciones improvisadas. Cuarto, activar doble factor en correo, banca y servicios críticos. Quinto, revisar movimientos financieros y conservar soportes. Sexto, separar en lo posible el correo personal del laboral. Séptimo, actualizar los dispositivos y no instalar aplicaciones fuera de tiendas confiables. Nada de esto elimina por completo el riesgo, pero sí reduce de manera importante la superficie de exposición.
Y si hablamos de empresas, la respuesta debe ser más estructurada. La organización necesita saber qué datos tiene, quién accede, para qué los usa, cómo los respalda, qué proveedores intervienen, cómo revoca permisos, qué hace si un colaborador sale, cómo responde ante un incidente y cómo entrena a su equipo. Sin ese mapa, toda estrategia es apenas una colección de buenas intenciones. Nuestra experiencia institucional ha insistido justamente en combinar consultoría tecnológica, consultoría administrativa y tratamiento de datos para que la seguridad no quede aislada en el área de sistemas, sino conectada con la operación real del negocio.
Otro error común consiste en creer que cumplir la norma equivale a estar protegidos. No siempre. He encontrado empresas con aviso de privacidad publicado, pero con bases de datos expuestas en hojas de cálculo compartidas sin control. O con política interna redactada, pero con colaboradores reenviando documentos sensibles por canales inseguros. El cumplimiento documental es necesario, pero no suficiente. Debe traducirse en práctica cotidiana. En eso consiste la verdadera madurez digital: cuando la norma, la tecnología y la cultura organizacional dejan de contradecirse y empiezan a reforzarse entre sí.
También conviene desmontar una falsa creencia muy difundida: “a mí no me van a atacar porque no tengo nada importante”. Todos tenemos algo valioso para un delincuente informático. Una cuenta de mensajería sirve para estafar contactos. Un correo sirve para reiniciar accesos. Una cédula sirve para perfilar. Un número de teléfono sirve para validar identidad. Un pequeño negocio sirve como puente para atacar a clientes o proveedores. Un archivo corporativo sirve para extorsionar. En cibercrimen, lo valioso no siempre es lo espectacular; a veces es simplemente lo utilizable. Y hoy casi toda persona conectada produce información utilizable.
👉 También te puede interesar: Tu caricatura “con todo” puede abrirte la puerta al fraude – https://todoenunonet.blogspot.com/2026/02/tu-caricatura-con-todo-puede-abrirte-la.html
Si miramos este problema con el ciclo ACF, el primer paso es la Atracción, y aquí la tarea consiste en atraer conciencia, no miedo. Un blog como este debe servir para que el lector se reconozca en situaciones reales: el mensaje sospechoso, la llamada urgente, el archivo inesperado, el enlace que parece legítimo. Cuando una persona o una empresa se identifica con el riesgo, deja de ver la ciberseguridad como un discurso técnico lejano y empieza a verla como una necesidad concreta. Esa toma de conciencia es la verdadera puerta de entrada a una transformación digital responsable. Los datos recientes de Bogotá, las alertas de autoridades y la evolución de campañas maliciosas demuestran que el momento de actuar no es después del incidente, sino antes.
Luego viene la Conversión, que no debería entenderse solo como una venta, sino como una decisión madura. Convertir significa pasar del “deberíamos hacer algo” al “vamos a ordenar esto bien”. Para un ciudadano, esa conversión puede ser activar el doble factor, cambiar hábitos y denunciar a tiempo. Para una pyme, puede significar revisar sus bases de datos, actualizar políticas, entrenar al equipo, auditar accesos o rediseñar sus procesos de seguridad y cumplimiento. En nuestra experiencia, las empresas crecen más sanas cuando convierten la preocupación en estructura, y la estructura en rutina operativa. Ahí es donde la consultoría bien hecha marca diferencia: no asusta, orienta; no complica, organiza; no vende tecnología por moda, sino por funcionalidad.
Finalmente aparece la Fidelización, que en este tema significa confianza sostenida. Un cliente permanece donde siente que sus datos son respetados. Un colaborador trabaja mejor donde sabe que existe criterio digital. Un empresario duerme más tranquilo cuando entiende qué riesgos enfrenta y cómo responder. La fidelización auténtica no nace del discurso, sino de la coherencia entre lo que una organización promete y lo que realmente protege. En un entorno donde el ciberdelito seguirá evolucionando, la mejor ventaja competitiva no será aparentar modernidad, sino construir confianza verificable, procesos claros y cultura preventiva. Esa es la clase de crecimiento que vale la pena sostener en el tiempo: el que protege a las personas mientras fortalece a la empresa. Y esa ha sido, es y seguirá siendo la visión de TODO EN UNO.NET: tecnología útil, humana y funcional para un mundo que ya no puede darse el lujo de improvisar.
¿Listo para transformar tu empresa con tecnología funcional?
📹 YouTube: http://www.youtube.com/@TodoEnUnoNET
🐦 X: https://x.com/todoenunonet
📘 Facebook: https://www.facebook.com/todoenuno.net.9
📸 Instagram: https://www.instagram.com/todoenunonet/
👥 LinkedIn: https://www.linkedin.com/company/todo-en-uno-net-s-a-s/
💬 WhatsApp: https://chat.whatsapp.com/Jp0sFfqtiy8Edg2jbAdasi
📢 Telegram: https://t.me/+NXPQCwc1yJhmMGNh
🌐 Web: https://todoenuno.net.co/
📲 WhatsApp directo: https://api.whatsapp.com/send?phone=573218653750
🧠 Blog central: https://todoenunonet.blogspot.com/
La mejor defensa digital comienza cuando conviertes cada dato en una responsabilidad y cada decisión tecnológica en una barrera inteligente contra el fraude.