¿Más grave de lo que se ha dicho?. El hackeo al sistema de agendamiento de la Dian ya está causando estragos, ante la demora en una solución, o, al menos, de una explicación, pues allí está una información altamente sensible de los contribuyentes, que ya empiezan a tocar puertas para que se devele lo que realmente sucedió.
Tanto contadores como ciudadanos en general han manifestado en SEMANA que están enfrentando serios inconvenientes, pues según dicen, existen trámites que sí o sí deben adelantarse a través de agendamientos virtuales.
Desde el 6 de marzo, luego de que fueran los mismos ciudadanos los que advirtieran a través de foros en “Dark web”, que estaban vendiendo información que está consignada en la entidad que maneja los impuestos, el director de la Dian, Carlos Emilio Betancourt, entregó declaraciones en las que confirmaba que, efectivamente, la Dian estaba enfrentando un incidente externo de ciberseguridad, en otras palabras, hackearon el sistema de agendamiento de citas.
No se trata de un asunto menor, según explicó el exdirector de la Dian, Lisandro Junco. El sistema de agendamiento es equiparable al módulo de atención al cliente que tienen entidades como el Invima, el cual, también fue hackeado hace algunos años. Cuando se accede al módulo de atención al cliente se está autorizando el tratamiento de datos personales. “Si hay un hackeo al sistema de agendamiento virtual de citas toda la información tributaria y aduanera, de los contribuyentes, y las contraseñas pudieron haber sido comprometidas, porque para agendar hay que autenticar. Pudo haber una vulneración, no de información, pero si de contraseñas de usuarios”.
#LoÚltimoDIAN | DIAN enfrenta incidente externo de ciberseguridad en sistema de agendamiento de citas
— DIANColombia (@DIANColombia) March 6, 2026
La entidad informa que la información tributaria y aduanera de los contribuyentes no se ha visto comprometida ni vulnerada y que las contraseñas y credenciales de acceso se… pic.twitter.com/KlpZM48lIz
Aunque Betancourt dijo en sus declaraciones de ese momento que “las contraseñas y credenciales de acceso se encuentran protegidas y no han sido objeto de ataque”, los colombianos no dejan de estar inquietos. Inclusive, Junco señala que no sobraría establecer una conexión entre las alertas que la misma Dian emitió recientemente, sobre personas inescrupulosas que estaban enviando correos a nombre la entidad recaudadora.
Ante ello, a algunos ciudadanos les resulta curioso que aún, no haya existido pronunciamiento por parte de la Superintendencia de Industria y Comercio-SIC, que es la que se encarga de velar por la protección de datos personales de los ciudadanos.
Lo que no se puede hacer
Según afirma Jeisson Ramírez, especialista en Derecho Tributario, el hecho de que el micrositio de agendamiento de citas web de la Dian esté deshabilitado desde hace varios días -lo que coincide con la fecha de la presunta vulneración de datos- causa varios traumatismos. “Actualmente muchos usuarios se están viendo afectados, ya que varios trámites requieren obligatoriamente de la opción de agendamiento web. Por ejemplo: solicitudes de devolución y/o compensación de pagos en exceso; actualización de RUT-Registro Único Tributario, para retiro de responsabilidad de IVA por cese definitivo de actividades; retiro del régimen simple por incumplimiento de requisitos; modificación de cierta información del RUT como nombres, apellidos, número de documento identidad, fecha y lugar de expedición del documento de identidad, entre otros”, dijo el experto.
Igualmente, ahora que se están realizando las asambleas de empresas, cuando se deben proponer y aprobar los representantes legales de las compañías, también es necesaria la actualización del RUT, lo que no se está logrando realizar.
El protocolo se activó, pero...
Algunos analistas señalan que, aunque se activaron los protocolos previstos en estos casos, no resulta normal que hayan pasado más de 8 días sin que se tenga resuelto el asunto, por lo que se preguntan si es que el daño causado ha sido o no de una gran magnitud.
Junco, como exdirector de la Dian, recuerda que en su época como timonel de la entidad dejaron un Manual de Políticas y Lineamientos de Seguridad de la Información (MN‑IIT‑0072) que tiene las especificaciones de lo que se debe hacer cuando hay un hackeo.
De ahí expresa que: “primero, se requiere detectar y registrar el incidente; luego reportarlo de inmediato a la Oficina de Seguridad de la Información; activar los protocolos de respuesta (contener el ataque, aislar sistemas afectados, recopilar evidencias digitales y empezar la recuperación de servicios); evaluar el impacto sobre los datos personales y demás información; informar a las autoridades competentes (como la SIC y Fiscalía, según el caso) y a los titulares cuando corresponda; y finalmente hacer un análisis posterior para corregir vulnerabilidades, ajustar controles y, si procede, iniciar acciones disciplinarias o contractuales contra quienes incumplieron las obligaciones de seguridad”.
Aunque la lista es extensa, implementar el protocolo no suele ser tan dispendioso como se percibe que ha sucedido en esta ocasión. Lo cierto es que ya está causando el reclamo de los contribuyentes para que se le de una mayor celeridad al tema.