Esta preocupación está siendo tomada en serio por varios países, especialmente en la Unión Europea, donde han comenzado a reforzar o crear nuevas normas de protección de datos y privacidad. Respecto a este tema, en ENTER.CO conversamos con Erick Rincón Cárdenas, vicedecano de la Facultad de Jurisprudencia de la Universidad del Rosario, sobre la manera en la que la ley colombiana de deepfakes opera actualmente y qué garantías ofrece a los ciudadanos para defender su identidad digital.

¿Existe ley en Colombia para protegerme si encuentro un deepfake mío?

Sí. En julio de 2025 se aprobó la Ley 2502, que modifica el artículo 296 del Código Penal colombiano para sancionar la suplantación de identidad cuando se hace con inteligencia artificial, reconociendo por primera vez conceptos como deepfake, imagen e identidad digital. Antes de esa ley, ya existían herramientas aplicables: la Ley 1581 de 2012 (protección de datos), la Ley 1273 de 2009 (delitos informáticos) y la Constitución, que protege el derecho a la imagen, la honra y el buen nombre.

¿Existen agravantes especiales, como en EE.UU. con deepfakes sexuales?

La Ley 2502 incluyó como agravante el uso de IA en la suplantación, con multas incrementadas hasta en un 33%. Sin embargo, Colombia aún no tiene una norma específica para deepfakes sexuales no consensuados, como sí existe en EE.UU. o el Reino Unido. Ese es un vacío urgente que debe llenarse, especialmente considerando que en el primer semestre de 2024 se registraron más de 17.000 páginas con material pornográfico hecho con IA y solo se había capturado a 70 culpables.

¿Es necesario crear o ampliar la ley en colombia de Deepfakes con el boom de la IA?

La Ley 2502 es un avance, pero insuficiente. La sanción prevista es principalmente una multa, que puede resultar insuficiente para disuadir conductas que generan daños masivos e irreversibles, especialmente cuando el responsable opera desde el extranjero o a través de estructuras criminales que pueden absorber fácilmente ese costo. Hacen falta normas específicas para deepfakes sexuales, para el uso de imagen en entrenamiento de modelos de IA sin consentimiento y para la manipulación electoral.

¿Sería viable en Colombia una ley tipo Dinamarca que otorgue derechos de autor sobre la propia imagen?

Es viable y necesaria. En Colombia la imagen ya tiene protección constitucional, pero no tiene el carácter de derecho patrimonial pleno. Una ley así sería especialmente útil para creadores de contenido y artistas cuya imagen es usada para entrenar sistemas de IA sin ninguna compensación. El Proyecto de Ley 042 de 2025 sobre IA, actualmente en curso en el Congreso, sería el vehículo ideal para incluir esa discusión.

¿Los ciudadanos conocen la ley en Colombia de Deepfakes? ¿Qué tan fácil es demandar?

Hay un déficit enorme de cultura jurídica digital. La mayoría de colombianos no sabe que puede denunciar un deepfake ni ante quién. El proceso implica acudir a la Fiscalía o la Policía de Ciberdelitos, conservar toda la evidencia digital y enfrentar un sistema judicial que aún carece de peritos y fiscales capacitados en estas tecnologías. La ley obliga a la Fiscalía a garantizar la trazabilidad de los casos y al Gobierno a crear protocolos de respuesta, desarrollos tecnológicos para detección de fraudes y alianzas de cooperación internacional. Universidad Central El mandato existe; la capacidad institucional real, todavía no.

¿Se puede demandar a una empresa extranjera como X que use mi imagen sin consentimiento?

Sí, pero es difícil. Para empresas con actividad en Colombia aplican la Ley 1581 de 2012 y la acción civil por daños. El uso no autorizado de la imagen puede dar lugar a acciones legales por daños y perjuicios, incluso cuando no hay fin económico directo. Para empresas domiciliadas en el exterior, el camino más práctico hoy es acudir a la Superintendencia de Industria y Comercio (SIC) por tratamiento indebido de datos personales, o usar los mecanismos de remoción de contenido de las propias plataformas. La cooperación internacional que exige la Ley 2502 es clave, pero aún no está operativa.

¿Puede un político demandar una parodia deepfake?

Depende del contexto. Si el video es claramente identificable como sátira o parodia, sin intención de engañar, tiene defensa sólida bajo el artículo 20 de la Constitución que protege la libertad de expresión. Pero si el deepfake busca hacer creer que el político dijo o hizo algo que nunca ocurrió, sin ningún elemento que lo identifique como ficción, sí hay conducta sancionable. La línea divisoria es el dolo de engaño. La ley actual no define expresamente esta excepción, y es un punto que la jurisprudencia constitucional deberá aclarar pronto.

¿Qué tan avanzada está Colombia frente al resto de Latinoamérica?

Estamos a la vanguardia regional. La Ley 2502 de 2025 coloca a Colombia como referente en la región al tipificar especialmente la suplantación mediante inteligencia artificial; mientras otros países aún discuten proyectos de regulación general, Colombia vincula esta tecnología directamente con la protección penal de la identidad. Brasil, Argentina, México y Chile aún no tienen normas penales específicas sobre deepfakes. El desafío ahora no es la ley en el papel, sino dotarla de capacidad institucional real para aplicarla.

Imágenes: Creada con Nano Banana

La Ley 1273 de 2009 incluyó este tipo de delitos para proteger integralmente todos los sistemas que se basan en el uso de las tecnologías de la información y las comunicaciones. Para que lo sepas y lo tengas bien presente, estos son los tipos de delitos informáticos que están contemplados en Colombia:

Te puede interesar: 3 delitos informáticos que te pueden arruinar la vida

• Acceso abusivo a un sistema informático: Es el delito que se comete cuando se accede sin autorización a todo o en parte a un sistema informático que está protegido o no con una medida de seguridad.
• Obstaculización ilegítima de sistema informático o red de telecomunicación: Este delito consiste en impedir u obstaculizar el funcionamiento o acceso normal a un sistema informático.
• Interceptación de datos: Es cuando sin una orden judicial previa se interceptan los datos informáticos en su origen, destino o en el interior de un sistema informático.
• Daño Informático: Es cuando se destruye, daña, borra, deteriore, alteran o suprimen datos informáticos sin estar facultados para hacerlo.
• Uso de software malicioso: Es cuando una persona produce, trafique, adquiere, distribuye, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos.
• Violación de datos personales: Es cuando con provecho propio o de un tercero se obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales, contenidos en ficheros, archivos, bases de datos o medios semejantes.
• Suplantación de sitios web: Quien con un fin ilícito diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes.

Denuncia virtual

Cada uno de estos delitos pueden ser denunciados a través del canal oficial establecido por la Policía Nacional de Colombia a través del Sistema Nacional de Denuncia Virtual. Los interesados pueden hacerlo de la siguiente manera:

1. Ingresar al enlace del Sistema Nacional de Denuncia Virtual.
2. Ir al botón Denuncia Virtual.
3. Aceptar el aviso de privacidad y uso de datos personales.
4. En la siguiente página elegir la opción Delitos Informáticos
5. De inmediato el sistema le presenta 3 situaciones en las que debe decir sí o no a cada caso presentado.
6. Una vez entregada la denuncia, el sistema arroja una ventana emergente en el que podrás leer tus deberes y tus derechos.
7. Luego de aceptar, el sistema preguntará si el caso en mención ya fue puesto en conocimiento de las autoridades.
8. Y posterior a ello se cargará un formulario en que diligenciar datos personales como: Tipo de documento, identificación, sexo, edad, fecha, país, departamento y cuidad de expedición del documento, primer y segundo nombre, primer y segundo apellido, fecha y país de nacimiento.
9. Colocas el código de confirmación y luego confirmas tus datos personales.
10. Posteriormente, podrás escribir y relatar los hechos de cómo ocurrió el delito informático
11. Y podrás radicar tu denuncia.
12. Te llegará un correo de confirmación con la denuncia.

De esta forma puedes presentar una denuncia por delitos informáticos de forma virtual en Colombia.

Imagen: Sora Shimazaki en Pexels.com

En los tres casos a continuación, les contaremos la historia de tres de esas personas, que por no mantenerse informadas fueron víctimas de diferentes delitos: ransomware, fraudes bancarios y suplantación de identidad. Como consecuencia, quedaron al borde de caer en la quiebra, de perder su empleo o de sufrir de una pésima reputación en redes sociales.

Un ransomware que quería zanahorias

En un medio de comunicación digital en Colombia, la imprudencia de un usuario llevó a toda la empresa a ser víctima del ransomware Bad Rabbit (conejo malo). Este ransomware, caracterizado por ser ágil y masivo, no tuvo piedad del servidor donde estaba toda la información de la compañía.

Vamos desde el principio. Uno de los integrantes del medio navegó por Internet desde el computador que tenía el acceso directo al servidor. Sin conocer las consecuencias, validó la ejecución de un supuesto reproductor Flash para ver contenidos multimedia. Así fue como la víctima abrió la puerta para que ‘el conejo’ entrara en el sistema que no contaba con las actualizaciones de seguridad más recientes. Aprovechando el desorden, se infiltró en el sistema y ejecutó el ransomware en el servidor, quizá ‘buscando zanahorias’. El resultado fue la encriptación de documentos con copias de seguridad y bases de datos en Excel y Word.

El ransomware dejó un aviso en los escritorios de los computadores. En cortas y contundentes frases indicaba qué debían hacer los afectados si querían recuperar su información. Daba el número del caso y solicitaba no activar herramientas de terceros para descifrar la información. A su vez, les sugería contactarse en las próximas 24 horas por correo electrónico para iniciar el rescate de la información.

¿Qué hicieron? No contactar al delincuente para evitar ser estafados con la supuesta recompensa que pedía. Después, desconectaron el servidor de la red, instalaron nuevamente todos los programas, cambiaron contraseñas y alejaron la máquina de los funcionarios para evitar la infección de un dispositivo externo.

Evitar en la vida no es cobardía

Miguel Ángel Mendoza, investigador de seguridad de ESET, analizó el problema y nos brindó algunos consejos para evitar este tipo de ataques en empresas y hogares. “En Internet se puede ser víctima en cuestión de segundos. Por eso es importante tener todos los sistemas actualizados para evitar problemas. Cuando no actualizamos, le abrimos la puerta al atacante para que haga daños”, resaltó.

Entre sus recomendaciones, Mendoza aseguró que solo una de cada diez personas tiene sistemas antimalware en sus equipos. Además, esta conducta se debe a que consideran estos servicios como lujos innecesarios, sin tener en cuenta que cada día se crean 300 nuevos tipos de malware.

Pagar o no pagar, he ahí el dilema

Lucas Paus, otro integrante del equipo investigador de seguridad de ESET, aconsejó que no se debe pagar por el rescate de la información. Entre sus tantas razones está la posibilidad de no recibir nada a cambio o, por el contrario, de sufrir otros ataques a futuro. “Quienes pagan por una llave para descifrar la información no saben si recibirán la ayuda. Además, son incluidos en listas donde los catalogan como ‘buenos clientes’. A estas listas acceden los ciberdelincuentes, quienes envían otro ataque para obtener más dinero de la misma víctima”, destacó.

Una de las soluciones, además de los protocolos de seguridad, es acceder a herramientas gratuitas y seguras encargadas de descifrar la información. En la actualidad hay una página llamada ‘No more ransom!‘. Allí, las víctimas encuentran una biblioteca con programas gratuitos y específicos para cada tipo de ransomware. Basta con eliminar el malware previamente con un antivirus, descargar la solución y ejecutarla para decir ¡hasta la vista, conejo!

El ‘zar’ de las tarjetas de crédito

¿Hasta dónde pueden llegar los delincuentes por robar dinero? Si has recibido un correo de un ‘rey de Arabia’ que te regalará 300 millones de euros, eres de los nuestros. Si te llegan mensajes de ‘compañías’ que piden tus datos personales, también. Estos casos son conocidos como phishing. Un delincuente detrás de un computador envía un mensaje por correo electrónico. En este asegura representar a una empresa o una persona. Y como ya lo expliqué, su anzuelo es hacerles creer a sus víctimas que recibirán una herencia o que tienen saldos pendientes con empresas.

¿Pero qué pensarías si te dijera que, en este caso, un hombre se vestía de mujer para engañar y robar? Esto le sucedió en Estados Unidos a una mujer que trabajaba en una joyería como vendedora. Allí conoció a una supuesta integrante de una firma de finca raíz en Miami, Florida. Al conocer su profesión le pidió ayuda para conseguir una propiedad en dicha ciudad.

Ella respondió que sí, siempre y cuando le diera una copia de su seguro social y su licencia de conducción para los trámites. Para no levantar sospechas después de obtenerlos, la supuesta asesora de finca raíz acudía a la joyería para decirle cómo iba el proceso. Al mismo tiempo, adquiría lujosas joyas para sus atuendos con otras tarjetas ya clonadas.

No eres tú, ¿soy yo?

Un mes después de haberle entregado los papeles, el fraude salió a la luz. La víctima encontró en su correo un extracto de una tarjeta American Express con 15 mil dólares en compras. De acuerdo con el documento, ella había comprado joyas, relojes Rolex. También se había hospedado en los mejores hoteles de la ciudad.

Ella jamás tuvo una tarjeta de ese banco. Tres meses después la investigación dio como resultado que, quien había prometido ayudarle a conseguir la propiedad, usó los datos de sus documentos para obtener una tarjeta con su nombre. El delincuente se vestía de mujer para aparentar ser otra persona y así sacar provecho de varias tarjetas obtenidas con el mismo método.

Pero no era la primera vez que lo hacía. Según las autoridades, el delincuente pertenecía a una organización con más hombres que hacían lo mismo. Sí, algo así como la banda de los zares de las tarjetas de crédito. Afortunadamente no tuvo que pagar nada, ya que el seguro respondió por los gastos. “Gracias a ese correo electrónico me pude dar cuenta de lo que estaba pasando”, dijo.

Una notificación te puede salvar de estos delitos

Roberto Martínez, analista de seguridad del equipo global de investigación y análisis de Kaspersky Lab, resaltó la importancia de las notificaciones. “A veces los clientes de los bancos caen en el error de considerar como basura las notificaciones de los bancos. Grave error, porque estas sirven para detener transacciones o mantener el control financiero de nuestras cuentas. En este caso, el envío del extracto al correo de la víctima fue crucial para evitar un robo mayor. Recibir mensajes de texto, correos con alertas o llamadas es vital para la salud financiera en tiempos de tanta suplantación”, aseveró.

Por otra parte, el experto destacó que las cuentas bancarias también pueden ser atacadas a través de los dispositivos móviles que tienen las aplicaciones de las entidades financieras. Para evitar esto, pidió que sus usuarios tengan instalados sistemas de protección contra virus. También invitó a no descargar aplicaciones por fuera de las tiendas oficiales de cada sistema operativo.

¡Facebook, esa cuenta no es mía!

Y por último está uno de los delitos más frecuentes de la era moderna: suplantación de identidad en Facebook. Nunca se sabe quién puede robarnos una foto y crear un perfil. Pero no solo las fotos pueden ser robadas. Aquí también caben nuestros nombres o incluso nuestro correo con el que accedemos.

Pues esto le sucedió a una mujer que trabajó como recepcionista en una cadena de hoteles. En su computador mantenía abierto su correo electrónico personal con dominio en Gmail. Un día le pidió a su amiga que colocara su correo electrónico en la barra de búsquedas de Facebook para ver si aparecía algo. Efectivamente, había un perfil con la foto de un hombre creado a partir de su dominio de correo.

“Creé mi primera cuenta en Facebook, agregué a ese perfil falso y le pedí que cerrara la cuenta”, comentó. A pesar de hacerlo por varias semanas, nunca recibió una respuesta. Así que decidió interponer la queja en el centro de ayudas de Facebook y pidió que se cerrara ese perfil por suplantación de identidad. Lastimosamente, la red social le respondió que su caso no aplicaba para la denuncia, ya que no usaba sus fotos o su nombre.

Guerra de contraseñas

Angustiada, la recepcionista cambió la clave de acceso por medio de ‘Olvidé mi contraseña’. Lo que no esperaba era que el victimario la cambiara al día siguiente. “Fueron dos meses cambiando la contraseña. Luego, gracias a un correo de Gmail, conocí la verificación de dos pasos. La activé por SMS y ahora tengo el control de la cuenta”, explicó. Recordemos que la verificación de dos pasos consiste en una segunda contraseña que vence cada 30 segundos y es suministrada por una app (Google Authenticator) o por SMS (mensajes de texto).

En su actividad, quien creó el perfil falso vivía en la Guyana Francesa y subía selfies en diferentes locaciones. Agregó a 116 personas y algunas le escribían por Messenger preguntándole qué había pasado con él.

Doble verificación, doble seguridad y cero delitos

Retomando las entrevistas con los investigadores de ESET y Kaspersky, tanto Miguel Ángel Mendoza como Roberto Martínez coinciden en que estos delitos se pueden evitar con una correcta cultura del cuidado digital. Mendoza recomienda tener contraseñas fáciles para el usuario y complejas para los atacantes. Esto se logra con frases o palabras extensas que contengan comas, asteriscos, mayúsculas y números (D0Bl3V3R1f¡C4c*0N). Pero, si el atacante llega a descifrar la contraseña, la doble verificación será la barrera que evitará de una vez por toda el acceso a la cuenta.

En cambio Martínez manifestó que la doble verificación es válida siempre y cuando no sea por SMS. “Quienes utilizan este método quedan igual de expuestos como si no la tuvieran. Recordemos que las líneas telefónicas pueden ser clonadas, por lo que la clave de acceso por el SMS le llegaría a terceros”.

El código se autodestruirá en 5, 4, 3…

En Facebook, además, el usuario obtiene varios códigos que son usados como llaves en el proceso de verificación de dos pasos. Estos solo pueden usarse una vez y deben ser guardados en un lugar seguro donde no puedan ser robados. “No podemos llevarlos en nuestra billetera o agenda porque es fácil perderlos. Yo les recomiendo usar dispositivos de almacenamiento como una USB que se mantenga en un lugar seguro de la casa. O si queremos llevarlas siempre con nosotros, existen servicios de cloud muy seguros donde las pueden guardar”, enfatizó Martínez.

Por último, Mendoza reiteró que la privacidad de la información en redes sociales es vital para evitar este tipo de delitos. “Los usuarios deben limitar el acceso de terceros a su información si no son contactos conocidos. Y también es importante no agregar a personas desconocidas que tengan acceso a nuestra información entendida como fotos, nombre, direcciones y demás”.

Y tú, ¿cómo te proteges de los delitos en Internet? Cuéntanos en los comentarios.

Imágenes: iStock

El cibercrimen cada vez le cuesta más al país. Según reveló el Reporte Norton 2013, si bien el número de adultos conectados a internet que fueron víctimas del cibercrimen a nivel global ha disminuido, el costo promedio por víctima incrementó, por lo que en los últimos 12 meses el precio total del crimen cibernético en Colombia fue de 474 millones de dólares, más de 870.000 millones de pesos. Cada víctima perdió, en promedio, 74 dólares al ser víctima de un delito de este tipo.

Como lo indica el estudio, pese a que los encuestados aseguraron que el smartphone es muy importante en sus vidas, el tema de la protección a su dispositivo móvil lo dejan en un segundo plano.

“Aunque los consumidores han aprendido a proteger sus computadores, todavía existe una falta de consciencia en cuanto la protección de sus smartphones y tablets. Es como si tuvieran sistemas de alarma en su casa pero dejaran sus autos sin seguro y con las ventanas abiertas”, dijo Marian Merritt, defensora de la seguridad en internet de Symantec.

Así mismo, el estudio también indicó que en el mundo el 48% de los usuarios de dispositivos móviles no toman las precauciones de seguridad mínimas, tales como usar contraseñas, tener software de seguridad o respaldar la información de sus dispositivos, algo que pone en riesgo su seguridad e incluso en muchas oportunidades la del lugar en el que trabajan.

Las cifras indican que el riesgo existe. Según el informe, el 49% de los consumidores usan su dispositivo móvil personal tanto para trabajar como para entretenerse. Para el caso de Colombia, el 65% de los adultos en usa su dispositivo móvil personal para trabajar.

Esto aumenta más los riesgos de seguridad para las empresas, pues los delincuentes informáticos pueden tener acceso no sólo a la información personal de los usuarios sino también a documentos o datos confidenciales de las compañías. De hecho,  en el último año, el 42% de los usuarios de smartphones experimentaron algún delito cibernético.

El Reporte Norton 2013 se basa en la experiencia personal de más de 13.000 adultos en 24 países, dentro de los que se encuentran Colombia, Brasil y México. Según Symantec, el objetivo del estudio es comprender el efecto de los delitos informáticos sobre los consumidores y el impacto producido por la adopción y evolución de las nuevas tecnologías sobre la seguridad de los usuarios.