En la tercera semana de febrero de 2026, en Colombia se hicieron virales dos casos en los que ciudadanos expusieron que habían sido víctimas de retiros no autorizados en sus cuentas bancarias, lo que generó reclamos públicos hacia la entidad financiera.
Los afectados informaron que los montos fueron transferidos a otras cuentas, como las de la plataforma Nequi, sin haber autorizado dichas operaciones. Según los testimonios, las operaciones fueron ejecutadas utilizando las credenciales correctas de los usuarios, lo que impidió que la entidad detectara irregularidades en la autenticación de las transacciones.
Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel
Las víctimas señalaron que los responsables accedieron a la información personal a través de técnicas digitales como la ingeniería social, que consiste en obtener datos confidenciales mediante engaños. En uno de los casos, la víctima decidió amarrarse en el banco al afirmar que le habían retirado 600 millones de pesos; tras la protesta, el ciudadano indicó que la entidad accedió a ayudarlo.
Frente a estos hechos, en diálogo con Infobae Colombia, José Saúl Trujillo, docente de derecho en la Universidad Politécnico Grancolombiano, explicó que el canal prioritario ante estos escenarios es el reporte inmediato a los canales formales del sistema de seguridad bancaria.
El especialista indicó que corresponde escalar el caso a la gerencia de seguridad de la entidad para que adelante una investigación interna. Este proceso debe incluir la reconstrucción de la trazabilidad de la operación, la verificación de los métodos de autenticación empleados, la revisión de los registros de acceso y la identificación del dispositivo, el origen de la orden y el destino final del dinero.
Trujillo aclaró que, si el usuario notifica el incidente de forma oportuna y no se encuentra evidencia de negligencia o incumplimiento de los protocolos de seguridad a su cargo, el estándar de protección al consumidor financiero exige que la entidad financiera brinde una respuesta clara, verificable y, cuando corresponda, proceda a la devolución de los recursos.
“Lo procedente es escalar el asunto, con carácter prioritario, a la gerencia de seguridad de la entidad financiera para que adelante la investigación interna de la transacción, asegure la trazabilidad completa de la operación y adopte medidas de contención”, afirmó Trujillo.
De acuerdo con Trujillo, la protesta pública puede servir para visibilizar una situación percibida como desatendida, aunque este mecanismo no sustituye el uso de los canales técnicos y legales, ni garantiza que se logre la reparación del daño.
El especialista precisó que la reparación depende de actuaciones con soporte probatorio y de la gestión adecuada ante las instancias pertinentes. En el caso de que el banco niegue la devolución de los fondos sin entregar un sustento técnico suficiente, Trujillo recomendó activar dos frentes de acción: la denuncia penal ante la Fiscalía General de la Nación, tipificando el hecho como hurto por medios informáticos, y la queja ante la Superintendencia Financiera de Colombia, para que ejerza funciones de inspección y vigilancia sobre los protocolos de seguridad y la debida diligencia de la entidad.
“Si el usuario reporta oportunamente el hecho y no existe evidencia de incumplimiento de los protocolos de seguridad a su cargo ni de una conducta negligente que haya facilitado el fraude, el estándar de protección al consumidor financiero exige una respuesta clara, verificable y una solución efectiva, incluida la devolución cuando corresponda”, declaró el docente.
Sobre las modalidades de fraude, Trujillo explicó que los términos “phishing” y “farming” suelen emplearse para describir este tipo de incidentes, aunque no constituyen categorías penales autónomas en la legislación colombiana. Estos hechos se investigan y se sancionan bajo los delitos informáticos previstos en el Código Penal.
