La suplantación de identidad se ha convertido en uno de los delitos más sensibles para los colombianos. Créditos abiertos a nombre de personas que nunca los solicitaron, planes de telefonía adquiridos de forma fraudulenta y cuentas digitales creadas con documentos falsos hacen parte de un fenómeno que crece al ritmo de la digitalización. Frente a este panorama, se acaba de expedir una nueva ley estatutaria que busca proteger a las víctimas y trasladar mayores responsabilidades a las empresas que otorgan créditos o dan servicios en pospago.

Se trata de la Ley 2573 de 2026, una norma que complementa la legislación de protección de datos personales y habeas data. Según explicó Lorenzo Villegas Carrasquilla, socio de Serrano Martínez CMA, la nueva norma busca que, cuando una persona sea víctima de suplantación para adquirir un plan de telefonía o un crédito, pueda reportarlo ante la empresa correspondiente y esta suspenda de inmediato el cobro del servicio o la obligación cuestionada. Para activar esa protección, la víctima deberá presentar una denuncia penal dentro de los plazos establecidos. Mientras la justicia define el caso, el cobro quedará suspendido.

Una organización criminal se quedaba con subsidios para desplazados de la violencia. Las víctimas eran suplantadas

La ley también indica que la persona afectada deberá ser reportada a los operadores de información como víctima de falsedad personal, con el fin de que el episodio no deteriore su historial o puntaje crediticio. Este punto es clave, porque en muchos casos las víctimas de suplantación no solo enfrentan cobros injustificados, sino también afectaciones en su vida financiera futura.

La novedad de esta nueva regulación es que crea un procedimiento específico para casos de suplantación. Además, les dará a las empresas un plazo de seis meses para que adapten sus procesos tecnológicos, operativos y administrativos.

Lorenzo Villegas Carrasquilla, socio de Serrano Martínez CMA. Foto: Serrano Martínez CMA

El reto no es menor. Las empresas tendrán que fortalecer sus mecanismos de autenticación y validación de identidad. En la práctica, esto implica pasar de controles básicos, como una clave o un documento, a esquemas más robustos que combinen varios factores: algo que el usuario tiene, algo que sabe y algo que es. Por ejemplo, una tarjeta, una contraseña y una validación biométrica.

La exigencia llega en un momento en que la tecnología se ha convertido en arma de doble filo. Por un lado, facilita la apertura de cuentas, el acceso a créditos y los servicios digitales. Pero, por otro, también ha sofisticado el fraude. Deepfakes, manipulación de documentos, voces falsas, rostros intervenidos e identidades sintéticas hacen que la suplantación sea cada vez más difícil de detectar.

Villegas Carrasquilla advierte que las víctimas deben informar a la entidad de la suplantación para que esta suspenda los cobros, pero también tienen un plazo de 10 días para presentar una denuncia penal. Este paso se exige para evitar abusos de personas que digan que fueron suplantadas solo para no seguir pagando. “Si la denuncia penal resulta falsa, la persona termina también metida en un problema penal”, precisa.

Policía desmantela sofisticado centro de llamadas criminales en Bogotá: así robaban a clientes de entidades bancarias

Samer Atassi, vicepresidente para Latinoamérica de Jumio, empresa especializada en verificación e inteligencia de identidad, advierte que el delincuente que antes esperaba a su víctima en la esquina de un banco hoy opera detrás de una cámara. Según explicó, el fraude ya no se limita a robarle dinero a una persona mediante la suplantación de su identidad, sino que también incluye la apertura de cuentas falsas o el uso de identidades sintéticas para solicitar créditos y defraudar a entidades financieras.

En medio de la pandemia y con el auge de las fintech, los bancos digitales y las billeteras virtuales, creció la necesidad de validar personas de forma remota. Pero, al mismo tiempo, también aumentó la presencia de usuarios malintencionados. Atassi asegura que en Latinoamérica hay altos niveles de sofisticación en el fraude, con Brasil y México como mercados especialmente afectados, aunque Colombia también muestra señales relevantes.

Las restricciones de movilidad de la pandemia, sumadas al auge de la banca digital, han llevado a que más personas abran cuentas de ahorro de forma remota, lo que ha sido aprovechado por los delincuentes. Foto: Getty Images/iStockphoto

De acuerdo con Jumio, desde el año pasado los ataques han aumentado un 88 %. Para enfrentarlos, la compañía plantea que ya no basta con validar un documento y un rostro. El futuro, según Atassi, está en construir ecosistemas de inteligencia de identidad que analicen el comportamiento del usuario, la geolocalización, el correo electrónico, el teléfono, la IP y la frecuencia con la que una identidad aparece en distintas plataformas.

La nueva ley, en ese sentido, podría cambiar la lógica del sistema. Antes, la víctima terminaba obligada a demostrar que no había sido ella quien abrió una cuenta o pidió un crédito. Ahora, el proceso debería llevar a las entidades a reforzar los controles desde el inicio, es decir, desde el momento en que se crea una cuenta o se otorga un servicio.

Cae el terror de la ciberdelincuencia en Bogotá: este era su ‘modus operandi’

Para los usuarios, sin embargo, la protección no dependerá solo de la regulación. También será necesario exigir a bancos, fintech y operadores sistemas más robustos de autenticación, y tener mayor cuidado con la información que se comparte en internet. En un mundo donde cada vez más transacciones se hacen de forma digital, la identidad se volvió uno de los activos más valiosos y, al mismo tiempo, uno de los más vulnerables.