Una red criminal organizada ha generado 51 anuncios fraudulentos en 30 días usando deepfakes del fundador de Nu para captar víctimas en Facebook e Instagram. Forbes Colombia documentó la operación con un monitoreo en el último mes.
En algún lugar entre la fanpage de un deportista estadounidense, la página de una banjista country y el perfil de un medio de noticias de reciente creación, un grupo de ciberdelincuentes encontró su sala de operaciones.
Desde esas cuentas de Facebook, que aparentemente no tienen ninguna relación entre sí, lanzaron, el 25 de marzo de 2026, 25 anuncios fraudulentos en un solo día.
Todos usaban el mismo rostro, el del colombiano David Vélez, cofundador y CEO de Nu, el mayor banco digital de América Latina por número de clientes y uno de los más grandes del mundo. Todos prometían lo mismo. Con piezas en español y portugués, juran ganancias extraordinarias en tiempo limitado.
Forbes Colombia documentó la operación a través de un monitoreo en Revelum.ai, una plataforma de ciberseguridad impulsada por inteligencia artificial especializada en la detección y contención de campañas de fraude basadas en deepfakes y suplantación de identidad en redes sociales.
En el análisis de un período de 30 días entre el 10 de marzo y el 9 de abril de 2026, la campaña contra Vélez incluyó 51 anuncios detectados, 6 videos deepfake únicos y 2 dominios fraudulentos activos, distribuidos a través de 5 páginas de Facebook que no guardan ninguna relación temática con las finanzas ni con Colombia.
Las cifras de alcance son estimaciones elaboradas mediante herramientas tecnológicas con parámetros conservadores de la industria, ya que las plataformas sociales no divulgan datos de impresiones por anuncio individual.
Con esa metodología, se proyecta que los anuncios pudieron haber generado entre 122.400 y 489.600 impresiones en el período analizado, calculadas sobre una duración promedio de 4,8 días por anuncio activo y entre 500 y 2.000 impresiones diarias por pieza, parámetros estándar bajos para campañas de video en Meta.
La operación no es nueva ni improvisada. Es, según los resultados del monitoreo, una máquina.
Los videos que circulan en las campañas fraudulentas son deepfakes: contenido generado con inteligencia artificial que replica la imagen y voz de Vélez con un nivel de realismo que puede engañar al ojo no entrenado.
Los anuncios imitan el formato de entrevistas en medios de comunicación reconocidos (algunos incluso reproducen identificadores visuales de noticieros de televisión) y dirigen a las víctimas hacia sitios web que simulan ser portales de noticias o plataformas de inversión legítimas. Ambos dominios identificados replican la apariencia del sitio web del periódico El Tiempo.
Las tácticas son sofisticadas. Los estafadores vinculan sus esquemas a supuestos programas del gobierno nacional, prometiendo rendimientos excepcionales bajo una presión de tiempo artificial. Pero quizás la maniobra más reveladora de su nivel de organización es operativa: la activación y desactivación masiva y táctica de anuncios para evadir los algoritmos de detección automática de las plataformas.
Los anuncios no se eliminan. Simplemente se apagan y se vuelven a encender desde las mismas páginas, lo que hace el monitoreo manual prácticamente imposible y garantiza que el daño sea continuo.
Cada uno de los 6 videos deepfake únicos identificados fue reutilizado en promedio en 8,5 anuncios distintos. Es una lógica de producción industrial aplicada al fraude: fabricar pocas piezas, distribuirlas masivamente, maximizar el alcance minimizando el esfuerzo de producción.
La cronología del ataque, según el hallazgo, revela oleadas coordinadas. La primera se detectó el 19 de marzo con 5 anuncios. Cinco días después, una segunda oleada con 4 piezas. El 25 de marzo, el pico máximo: 25 anuncios en un solo día. El 27 de marzo, actividad continua con 3 anuncios adicionales. El 30 de marzo, una nueva oleada de 8. Y el 6 de abril, cuando Revelum.ai generó este reporte, se registraban 6 anuncios nuevos y 12 deepfakes activos en redes sociales. Ese patrón de oleadas, según Revelum.ai, es evidencia de un ataque coordinado y deliberado, no de actividad orgánica o accidental.
Una red que ya tiene historial
Lo que hace esta campaña especialmente preocupante no es solo su escala. Es su origen.
Ambos dominios fraudulentos detectados (diariosdeleon.com y elequiporojo.com, ambos activos al momento del informe) habían sido utilizados previamente en campañas de suplantación de identidad contra Arturo Calle, el empresario colombiano de moda. Eso confirma la existencia de una red criminal reutilizable y organizada: los mismos actores, los mismos dominios, distintas víctimas.
La diversidad temática de las páginas desde las que se lanzan los anuncios es, precisamente, una característica típica de redes de cuentas hackeadas o compradas en el mercado negro digital. No son páginas con audiencias afines al tema financiero. Son vehículos de distribución adquiridos o comprometidos para servir como canales de publicidad pagada fraudulenta a través de la red de Meta. La página con mayor volumen de anuncios en el período fue Rafael Yglesias Fan Page, con 39 piezas publicitarias fraudulentas.
Audience Network, la herramienta de distribución publicitaria de Meta, alcanza más de 100.000 aplicaciones y sitios de terceros (desde Duolingo hasta Tinder) y llega a más de 1.000 millones de personas al mes. Los anuncios fraudulentos no se quedan en el muro de Facebook, sino que viajan por toda la internet.
Desde septiembre de 2025, cuando el fenómeno comenzó a ganar visibilidad pública, Vélez ya había alzado la voz.
“He visto con gran preocupación un uso fraudulento de mi imagen para estafar a las personas. Quiero ser muy claro: ni Nu ni yo ofrecemos productos de inversión, atajos o esquemas para ganar dinero fácil”, expresó en un pronunciamiento. “Nuestro compromiso es con la educación financiera, el ahorro y la transparencia. Estamos trabajando con plataformas y autoridades para detener a estos estafadores, protegiendo a los colombianos y sus datos”.
Nu, por su parte, ha publicado advertencias en su blog oficial sobre cómo identificar estas amenazas y ha realizado reportes directos a las plataformas de distribución. Sin embargo, la campaña continúa escalando: los 51 anuncios detectados en 30 días y los dominios activos son evidencia directa de que las acciones tomadas hasta ahora no han sido suficientes.
Las estafas que usan su imagen prometen, según la descripción de los propios anuncios fraudulentos, retornos semanales de millones de pesos sin necesidad de experiencia previa. El gancho es simple y viejo. Dinero fácil, rápido y garantizado. La novedad es el vehículo: el rostro hiperrealista de uno de los empresarios más reconocidos de América Latina, generado por una máquina.
La campaña contra Vélez no opera en el vacío. Forma parte de un patrón más amplio de fraude financiero en línea que ha venido creciendo en Colombia con el aumento de la penetración digital y la sofisticación de las herramientas de inteligencia artificial generativa.
La Superintendencia Financiera de Colombia desmanteló 13 esquemas ilegales de captación entre 2024 y el primer semestre de 2025, que afectaron a cerca de 938 personas y generaron pérdidas por más de 30.000 millones de pesos.
La estrategia de captación típica comienza con transferencias pequeñas para construir confianza (el perfil clásico del esquema Ponzi digitalizado) antes de escalar hacia exigencias de inversiones mayores o solicitudes de datos personales sensibles.
Los deepfakes agregan una dimensión nueva a este ecosistema. La credibilidad de una figura pública de alto perfil, replicada con fidelidad audiovisual mediante inteligencia artificial, reduce drásticamente el umbral de desconfianza de la víctima. No se trata ya de un correo de texto con errores ortográficos. Es un video en el que David Vélez, aparentemente, mira a la cámara y le dice que hay una oportunidad que no puede perderse.
Nu ha recordado públicamente que sus únicos canales oficiales de comunicación son su aplicación, su página web, su línea de atención al cliente y sus perfiles verificados en redes sociales, y que la compañía no ofrece productos ni servicios a través de WhatsApp, mensajes de texto ni llamadas no solicitadas.
Siga las historias sobre inteligencia artificial en nuestra sección especializada