Por eso, Nequi decidió abordar el problema desde un ángulo poco usual: la música. La plataforma financiera se alió con Discos Fuentes para lanzar los “Papayazos bailables”, una campaña que convierte tres himnos decembrinos en tutoriales musicales sobre autocuidado digital. La idea es simple y contundente: enseñar a proteger la plata usando el mismo lenguaje que mueve las fiestas colombianas.

La iniciativa adapta Adonay, El hijo ausente y La plata, clásicos que ahora incluyen mensajes sobre cómo identificar estafas, evitar caer en trampas y reconocer señales de alerta en llamadas, correos y mensajes sospechosos. Las nuevas versiones están interpretadas por Los Cumbia Star, nominados al Grammy, y por el grupo vallenato Veba, lo que le da a la campaña un estilo festivo sin perder su trasfondo educativo.

Nequi explica que la estrategia busca ampliar la conversación alrededor del autocuidado financiero, especialmente en una época donde una llamada falsa o un enlace malicioso pueden volverse un dolor de cabeza. En las letras, cada canción aterriza un tipo de fraude habitual: el vishing en llamadas donde piden códigos o contraseñas; el smishing, con mensajes que prometen premios o trámites urgentes; y el phishing, correos que simulan ser de bancos o empresas para robar información.

Te puede interesar: ¿Qué es Black Friday Week de Amazon en Colombia y cómo aprovechar los 12 días de descuentos?

La empresa insiste en que jamás solicitará datos sensibles por teléfono, correo o enlaces externos. Si algo genera duda, el camino es siempre verificar por los canales oficiales. Incluso recomiendan reportar cualquier mensaje extraño al correo correosospechoso@nequi.com
.

La campaña también pone el foco en otros engaños frecuentes durante la temporada, como las transferencias “por error” que usan algunos estafadores para contactar a sus víctimas y solicitar devoluciones fuera de la App. Nequi recuerda que estos procesos solo deben gestionarse a través de la plataforma, que actúa como intermediaria.

Y frente a los comprobantes falsos, la recomendación es revisar siempre los Movimientos de la App o verificar el QR validador, disponible incluso para personas que no son usuarias.

Para Nequi, la seguridad es un trabajo conjunto: tecnología, pedagogía y hábitos de autocuidado. Por eso, mientras suena “La plata” o “Adonay” en cualquier fiesta de barrio, la plataforma espera que los colombianos también recuerden mantener la guardia en alto. Bailar sí, pero sin dar papaya.

Una palabra puede abrir la puerta al fraude

Los delincuentes suelen llamar desde números desconocidos y buscan que respondas de cierta manera, especialmente con una palabra clave. En muchos casos, ni siquiera se identifican; simplemente esperan a que tú digas algo. Esa breve respuesta puede ser grabada y utilizada después para suplantar tu identidad o autorizar operaciones bancarias, aprovechando herramientas de inteligencia artificial que permiten imitar tu voz con sorprendente precisión.

Este modalidad de fraude, conocida como “fraude del sí” o “say yes scam”, aprovecha la grabación de afirmaciones como “sí” para replicarlas en otros contextos. Algunas entidades financieras y plataformas digitales automatizadas utilizan comandos de voz como mecanismo de validación, y es allí donde los estafadores encuentran una oportunidad.

Una amenaza que ya es global

Este modelo de estafa se ha transformado en un fenómeno mundial, con casos reportados en distintos países.

En España, el Instituto Nacional de Ciberseguridad (INCIBE) ha advertido sobre llamadas en las que los delincuentes graban respuestas afirmativas para luego suplantar la identidad de la víctima en gestiones bancarias o contratos.

En Estados Unidos, la empresa de crédito Experian alertó sobre esta técnica, destacando que los delincuentes utilizan la respuesta afirmativa para autorizar pagos, activar servicios o realizar compras en línea.

En Australia, las autoridades han recibido múltiples denuncias sobre estafas con voz clonada, generada por IA, utilizada para imitar acentos locales y engañar a los ciudadanos.

En Irlanda, durante la temporada navideña de 2024, se detectaron llamadas con voces sintéticas que suplantaban a familiares para pedir dinero urgente.

En América Latina, países como México, Perú y Argentina han registrado un aumento de fraudes telefónicos usando IA para replicar la voz de seres queridos, en muchos casos solicitando transferencias bajo supuestas emergencias.

Estas estrategias forman parte de una tendencia global conocida como “vishing” (phishing por voz), que ahora se potencia con inteligencia artificial y tecnologías de clonación de voz.

Te puede interesar: AlphaEvolve, la inteligencia artificial de Google que piensa como un matemático: ¿están en riesgo los humanos?

¿Cómo lo logran con tan poco?

La inteligencia artificial ha alcanzado un nivel de precisión tal que permite clonar voces humanas con solo unos segundos de audio. Los ciberdelincuentes aprovechan esto para recolectar fragmentos de voz mediante llamadas, mensajes o incluso videos en redes sociales. Con esa muestra, pueden generar una réplica casi idéntica de la voz de una persona y utilizarla para autorizar operaciones bancarias, contratar servicios, hacer compras por teléfono o acceder a sistemas automatizados, todo sin necesidad de que la víctima participe directamente.

¿Cómo protegerte?

• Evita responder con “sí” a llamadas de números desconocidos. Usa alternativas como “¿Diga?” o “¿Quién habla?”.
• No compartas datos personales ni bancarios por teléfono, a menos que hayas iniciado tú la llamada.
• Verifica la identidad de quien llama antes de actuar. Si te dicen que es un familiar o banco, corta la llamada y llama tú a un número oficial.
• Activa alertas de seguridad en la app móvil para estar al tanto de movimientos sospechosos.
• Educa a tus contactos sobre estas nuevas formas de fraude para evitar que más personas caigan en la trampa.

Un riesgo silencioso, pero creciente

Con el avance acelerado de la inteligencia artificial, estos fraudes están ganando terreno porque no requieren habilidades técnicas complejas, solo ingeniería social y una grabación. La amenaza es silenciosa, global y en aumento.

Por eso, la mejor defensa es la información. Compartir este tipo de contenidos, hablar del tema con amigos y familiares, y estar atentos a cómo interactuamos por teléfono son acciones importantes para protegernos.

Imagen: Generada con IA / ChatGPT

Solo en lo corrido de este año, Asobancaria señala que se han registrado cerca de 50 entidades afectadas por ciberataques y más de 240.000 quejas por fraudes tecnológicos. Sin embargo, el dato que más genera alarma tiene que ver con que a nivel nacional, en promedio, se detectan más de 40 ataques informáticos por segundo al sistema financiero.

Por otro lado, el total de reclamaciones registradas por esta conducta delictiva, el 96% se concentra en cuentas de ahorro, tarjetas de crédito, depósitos de bajo monto y de monto inclusivo.

Generalmente, las reclamaciones y quejas se reciben por internet (52 %); aplicaciones móviles de los bancos (36 %); POS, que es un dispositivo que se usa en la terminal de punto de venta de las entidades financieras (7 %); ATM, modalidad de transferencia asincrónica (3 %); y el restante (2 %), corresponde a otros medios.

Te puede interesar: Guía básica de ciberseguridad: 7 consejos para prevenir fraudes financieros y suplantación de identidad

¿Cómo evitar que te roben?

Cambios en códigos QR en establecimientos comerciales: Por lo general, los implicados en este tipo de fraudes son personas propias o externas del negocio que, a través de códigos QR alterados, redirigen a las víctimas a una página web de pago adulterada con la intención de robar su dinero y/o la información de sus tarjetas.

Phishing: Es una de las formas más comunes y peligrosas de ciberataque y ha posicionado a Colombia como el cuarto país más afectado por esta conducta en América Latina. Según el ministro TIC, Mauricio Lizcano, en 2023 se registraron 28.000 millones de ciberataques, la mayoría fueron por phishing y secuestro de datos a empresas principalmente del sector bancario que, en la primera mitad de 2024, ya acumulan 20.000 millones de intentos de hackeo.

“Este concepto anglosajón deriva del término fishing que significa “pescar”, e implica engañar a los usuarios para que divulguen su información confidencial como: contraseñas, números de tarjetas de crédito o información personal. Para lograr su cometido, los criminales se hacen pasar por entidades de confianza, como bancos o empresas reconocidas”, explica Hernández.

Te puede interesar: Cómo bloquear chats en WhatsApp y ocultar los chats bloqueados con código de seguridad

Suplantación: En palabras de la Superintendencia de Industria y Comercio “esta conducta consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo al individuo suplantado, incurrir en fraudes y otro tipo de delitos”.

Según datos de Norton, el 17% de los colombianos ha sido víctima de robo de identidad digital en la primera mitad de 2024.

Hurto de celular: Este es el robo más frecuente actualmente en Colombia. Los ciudadanos que son víctimas de este delito, ponen en riesgo su información financiera ya que el ladrón puede tener acceso a sus cuentas a través de las apps bancarias que tenga instaladas en el equipo.

“Aunque la cifra de este tipo de hurtos ha disminuido en comparación con 2023, el celular se ha convertido en el elemento más robado de Bogotá con más de 10 mil denuncias en lo que va de 2024”, comenta Hernández.

Vishing: Esta modalidad trata de suplantar la identidad de una persona de confianza para obtener información de otros individuos o solicitarles transferencias de dinero. Uno de los casos más conocidos es el de una empresa británica que sufrió la suplantación de su directivo con voz e imagen y logró la transferencia de 20 millones de euros.

En 2022, en el país se registraron más de 54 000 denuncias por vishing que, en su mayoría, eran a causa de este delito cibernético. Esta cifra superó ampliamente la registrada en 2021 cuando se documentaron 11.223.

Imagen: MTStock Studio

Usualmente, los cibercriminales se hacen pasar por un superior del empleado; por ejemplo, de los departamentos de finanzas, recursos humanos o jurídico, y aprovechan técnicas de ingeniería social para engañar a las víctimas para tener acceso a sus credenciales bancarias, contraseña de distintos servicios, etc. Una vez obtienen estos datos, los atacantes pueden obtener beneficios económicos por el robo de dinero o, incluso, instalar malware en sus equipos.

También te puede interesar: El hackeo a Twitter comenzó con una estafa de phishing.

Los datos de empleados y sus superiores, normalmente los encuentran en redes como LinkedIn y con estos datos llaman al centro de soporte de la empresa elegida para el ataque y se presenta como un empleado (aporta el nombre exacto de esa persona) para pedir el número de teléfono de otros dos trabajadores de la misma empresa.

Durante la llamada, piden a sus víctimas instalar Team Viewer, un software de control remoto, con la excusa de que necesitan buscar unos datos del equipo y necesitan acceso para encontrarlos; entonces usan los permisos para instalar malware.

Check point, empresa de seguridad informática empresarial, les recomienda a las empresas tener un protócolo para que los empleados se identifiquen; además enseñarles a sus empleados el procedimiento cuando llegan estas llamadas, para evitar que sean víctimas de los cibercriminales.

Imagen: Vía Freepik.