La CRC señaló que en Colombia se reclaman más de $252 millones diarios por fraudes que llegan a través de llamadas y mensajes de texto.
La Comisión de Regulación de Comunicaciones publicó para comentarios una propuesta regulatoria con la que busca cerrar espacios a fraudes realizados a través de llamadas y mensajes de texto en Colombia. La iniciativa apunta a reforzar la identificación de quienes originan comunicaciones móviles, mejorar la trazabilidad de los mensajes SMS y reducir el uso indebido de números colombianos en llamadas que buscan suplantar a empresas, entidades públicas o comercios.
El proyecto se concentra en dos modalidades que han ganado espacio dentro de las comunicaciones móviles: el smishing, que consiste en el envío de mensajes de texto fraudulentos para llevar al usuario a entregar datos o acceder a enlaces falsos, y el vishing, que se realiza mediante llamadas en las que los delincuentes simulan pertenecer a bancos, compañías de mensajería, comercios o entidades oficiales para obtener información sensible, claves, datos financieros o dinero.
La CRC señaló que en Colombia se reclaman más de $252 millones diarios por fraudes que llegan a través de llamadas y mensajes de texto. Los montos reclamados por estas modalidades pasaron de $30.622 millones a $92.235 millones en dos años, casi el triple. En 2024, el smishing registró reclamaciones por más de $47.892 millones, mientras que el vishing llegó a $44.342 millones.
El tamaño del mercado explica parte del alcance del problema. De acuerdo con cifras recientes de la CRC sobre servicios móviles, al tercer trimestre de 2025 Colombia tenía 104,6 millones de líneas móviles, de las cuales 45,5 millones generaban ingresos para los operadores. En el mismo periodo, el servicio de internet móvil alcanzó 49,1 millones de accesos y el tráfico llegó a 1,77 millones de terabytes, con un crecimiento anual de 11,2%. Aunque la propuesta se enfoca en voz y SMS, el contexto muestra la magnitud de las comunicaciones móviles como canal de interacción entre usuarios, empresas y entidades.
Además, la CRC indicó que en un solo trimestre las redes móviles cursaron más de 24.000 millones de minutos de voz y 12,4 mil millones de SMS mediante códigos cortos. Ese volumen convierte a las llamadas y mensajes en canales relevantes para operaciones legítimas, como alertas, códigos de verificación, notificaciones comerciales o comunicaciones institucionales, y también en una vía usada por delincuentes para suplantar identidades.
La formulación técnica del proyecto muestra que los incidentes detectados por empresas crecieron de forma acelerada. Según la información por la CRC, los casos de smishing reportados por empresas pasaron de 40.902 en 2022 a 570.144 en 2024, mientras que los de vishing aumentaron de 2.291 a 17.429 en el mismo periodo. En total, los incidentes identificados pasaron de 43.193 a 587.573 en dos años.
El documento también identifica una mayor exposición en sectores que tienen contacto permanente con usuarios por canales móviles. Aproximadamente dos de cada tres empresas que reportaron incidentes pertenecían a telecomunicaciones, servicios financieros y servicios de información, actividades que concentran altos volúmenes de mensajes, llamadas, alertas y validaciones de identidad.
Ese diagnóstico coincide con alertas de otras autoridades y gremios sobre el aumento de riesgos digitales. La Superintendencia Financiera informó que, en el primer semestre de 2025, el sistema financiero recibió 27.000 millones de ataques cibernéticos, con un crecimiento de 69% frente al mismo periodo del año anterior. La entidad también ha señalado que 82% de las transacciones financieras de los colombianos se realiza por canales tecnológicos, lo que eleva la necesidad de controles sobre identidad, autenticación y protección al consumidor.
Por su parte, la Cámara Colombiana de Informática y Telecomunicaciones reportó, con base en cifras del Centro Cibernético de la Policía Nacional, que Colombia cerró 2024 con 77.666 denuncias por cibercrimen, un aumento de 23% frente a 2023. Entre las conductas más frecuentes estuvieron el hurto por medios informáticos, el acceso abusivo a sistemas informáticos y la violación de datos personales. Bogotá, Medellín y Cali concentraron el mayor número de casos.
En ese entorno, la CRC plantea medidas específicas para mensajes de texto. Una de ellas es la creación de un identificador visible en el encabezado de los SMS, de manera que los usuarios puedan reconocer qué empresa o entidad envía la comunicación. También se exigirían procesos de validación más estrictos para las organizaciones que envían mensajes masivos y se fortalecería el monitoreo del tráfico para detectar comportamientos inusuales asociados a campañas sospechosas o intentos de suplantación.
En llamadas, la propuesta incluye el bloqueo de comunicaciones provenientes del exterior que usen de forma indebida números colombianos para ocultar su origen. Asimismo, se implementarían mecanismos de etiquetado para identificar llamadas comerciales y advertir sobre comunicaciones que presenten características asociadas a posibles comportamientos sospechosos. La CRC también propone controles para evitar que determinados números o recursos de numeración sean usados para originar llamadas fraudulentas.
La regulación también contempla la creación del Comité Técnico de Lucha contra el Fraude en Redes de Servicios Móviles, liderado por la CRC. Este espacio buscaría facilitar el intercambio de información, compartir alertas tempranas e identificar nuevas modalidades de fraude junto con operadores, autoridades y otros actores del ecosistema digital.
“El fraude digital ya genera reclamaciones por más de $252 millones al día en Colombia y afecta la confianza de los ciudadanos en sus comunicaciones. La propuesta regulatoria es una respuesta ante una amenaza que crece y se transforma constantemente, afectando a millones de colombianos en su vida cotidiana”, dijo Javier Gutiérrez Afanador, comisionado de la CRC.
La Comisión explicó que el proyecto tendrá dos fases. La primera reúne las medidas orientadas a mitigar el fraude cibernético asociado a los servicios tradicionales de voz y SMS. La segunda revisará los aspectos relacionados con la remuneración del servicio de SMS en el ecosistema A2P, que corresponde a mensajes enviados de forma masiva por empresas y entidades, como códigos de verificación, alertas o notificaciones.
Lea también: Apple presenta la nueva Siri con IA en su conferencia anual WWDC