¿Qué ocurre en Colombia con las llamadas de spam? Cultura, filtraciones y burocracia

Creo que debí escribir este artículo desde hace muchos años. De verdad, es un tema que nos compete a todos y creo que, en algún momento, todos nos hemos hecho la pregunta: ¿Por qué recibo tantas llamadas de spam? ¿Qué han hecho las autoridades? ¿Qué soluciones tengo? Y demás información de interés. Pues bien, acá voy a tocar todo ello.

Y sí, soy un afectado por las llamadas de spam. A pesar de que soy geek y he podido implementar algunas soluciones que me han servido en el 90 % de los casos, aún siguen ocurriendo cosas bastante molestas. Se estima que en Colombia llegan, en promedio, 307 llamadas spam por segundo a nivel nacional, o lo que es lo mismo, 9.700 millones al año, equivalentes a unos 26,6 millones de llamadas spam por día (esto para el año 2024, publicado por Forbes). Se dice que, con cada año que pasa, esta cifra sigue aumentando cada vez más.

Dentro de estas llamadas existen muchas modalidades. La más común es el fraude mediante la modalidad de phishing, donde los delincuentes se hacen pasar por diferentes entidades financieras para, por medio de la manipulación emocional, lograr que las personas cedan información relevante o ingresen a enlaces sospechosos y posteriormente vaciar sus cuentas.

Hay muchas otras. De las más relevantes que recuerdo están las marcas de telefonía que te invitan a adquirir algún tipo de plan, así como aquellas realizadas, en su mayoría, por personas desde las cárceles, donde se hacen pasar por agentes de tránsito para advertirte sobre una multa y solicitarte dinero. También están los casos en los que afirman tener retenido a un familiar y exigen un pago para liberarlo sin mayores problemas, además de una infinidad de situaciones que la gente de las cárceles inventa. Porque sí, son bastante creativos y se ha descubierto que en las cárceles operan verdaderos call centers.

No hay cifras oficiales sobre cuántos centros se han descubierto bajo esta práctica, pero en los noticieros se menciona que el 41% y hasta el 50% de estás llamadas de extorsión se orginan dese las carceles.

Ahora bien, también existe una táctica bastante común: recibir una llamada en silencio y que luego cuelguen. ¿Con qué fin lo hacen? Con el objetivo de verificar si la línea sigue activa o no. De esta forma, pueden actualizar sus bases de datos. Acá es cuando nos damos cuenta de que tienen muy bien dominada esta táctica.

¿Cómo los estafadores obtienen nuestro número?

Los estafadores y operadores de call centers en cárceles colombianas (y fuera de ellas) obtienen números de teléfono principalmente a través de bases de datos ilegales que circulan en el mercado negro, filtraciones de datos, información pública en redes sociales y, en menor medida, scraping o compra a insiders.

Fuentes principales documentadas:

  • Venta ilegal de bases de datos personales: Es la vía más común. En Bogotá (y otras ciudades), se denuncia abiertamente la comercialización de listas con nombres, números de celular, cédulas, direcciones y datos laborales. Se venden en lugares como Unilago por precios accesibles (alrededor de 100 mil pesos por paquetes). Incluyen datos de adultos mayores, pensionados y perfiles específicos. Estas bases provienen de filtraciones de empresas, operadores telefónicos, entidades públicas o terceros que manejan datos.
  • Directorios decomisados en cárceles: En operativos como el de la Cárcel El Barne (Cómbita), se incautaron 23 directorios con datos de más de 10.000 víctimas potenciales, incluyendo registros de transferencias previas. Estos listados se comparten dentro de las redes criminales y se actualizan con información recolectada.
  • Redes sociales y información pública: Muchos delincuentes perfilan víctimas en Facebook, Instagram, LinkedIn, etc., donde la gente comparte datos personales, números de contacto, lugares de trabajo y rutinas. Esto les permite personalizar las extorsiones (“tío, tío”, falsas amenazas, etc.).
  • Otras fuentes:
    • Filtraciones de datos (data breaches) de bancos, tiendas en línea, apps o entidades gubernamentales que circulan en la dark web o foros.
    • Empleados corruptos de empresas de telefonía, TIC o bases de marketing que venden datos internamente.
    • Scraping automatizado o compra a brokers de datos ilegales.
    • En algunos casos, validación de números activos mediante llamadas masivas iniciales (“wangiri” o pruebas)

Acá es donde uno se da cuenta de que es un maldito negocio redondo, donde nuestros datos están en subasta, en constante puja: quien más pague los obtiene. Una situación demasiado lamentable y muy difícil de evitar.

Durante todos mis años operando en la red he tratado, en la medida de lo posible, de no exponer mi número de teléfono. Procuro colocarlo en la menor cantidad de sitios posibles y que solo lo tengan las personas en quienes confío. Sin embargo, es prácticamente imposible evitar una vulneración.

Más aún cuando suceden casos como el más reciente: la filtración de 34,5 millones de cuentas de Addi, una fintech colombiana que sirve para realizar créditos y que básicamente permite financiar compras en cuotas. Fue mi caso cuando decidí comprar, a través de esta plataforma, un casco de la marca Zeus. Bastante caro, por cierto, casi un millón de pesos, aunque de excelente calidad. Lo dividí en dos cuotas y ahora resulta que hago parte de esos millones de usuarios afectados.

Y ojo a lo que se habría filtrado:

  1. Grupos de edad.
  2. Puntajes de crédito.
  3. Información del dispositivo.
  4. Direcciones de correo electrónico.
  5. Documentos de identidad emitidos por el gobierno.
  6. Niveles de ingresos.
  7. Direcciones IP.
  8. Pares de latitud y longitud.
  9. Nombres.
  10. Números de teléfono.
  11. Direcciones físicas.
  12. Compras.
  13. Niveles socioeconómicos.
Imagen sacada de acá.

Es un sentimiento de indignación que no puedo describir. De verdad. Que estas personas ya sepan mi nivel económico e incluso dónde vivo resulta agobiante. Y peor aún, saber que no hay responsables enfrentando a la justicia; ni siquiera la fintech parece haber enfrentado consecuencias. Acá es cuando pasamos al otro tema.

¿Qué ha hecho el gobierno Colombiano para detener dicha problematica?

Al día de hoy, en Colombia, referente al caso de Addi específicamente, ninguna entidad del gobierno se ha pronunciado sobre esos 518 GB filtrados. Acá es donde claramente deberían intervenir la Superintendencia de Industria y Comercio (SIC) y el MinTIC, pero nada… absoluto silencio.

En Colombia, las filtraciones suelen investigarse penalmente bajo delitos como acceso abusivo a sistemas informáticos o violación de datos personales, pero estos procesos son complejos, dependen de denuncias y suelen avanzar lentamente.

¿Qué dice la Ley? La principal norma es la Ley 1581 de 2012 (y decretos reglamentarios como el 1377 de 2013), que regula el tratamiento de datos personales:

  • Obligaciones de las empresas: Deben adoptar medidas de seguridad razonables, notificar brechas a los titulares y a la SIC cuando sea procedente, y garantizar principios como legalidad, finalidad, consentimiento, seguridad y confidencialidad.
  • Sanciones administrativas por la SIC (Art. 23):
    • Multas hasta 2.000 salarios mínimos mensuales (alrededor de 2.300 millones de pesos o más, según actualizaciones).
    • Suspensión de actividades de tratamiento de datos (hasta 6 meses).
    • Cierre temporal de operaciones relacionadas.
  • Existen proyectos para endurecer sanciones (hasta 10.000 SMMLV o porcentaje de ingresos).
  • Vía penal: Posibles delitos en el Código Penal (acceso abusivo, violación de datos personales), con penas de prisión y multas. Los afectados pueden denunciar ante Fiscalía o demandar civilmente por daños.

Aunque expertos expresen de que “Addi opera como usuario y como fuente bajo la Ley 1266 de 2008. Los datos atribuidos a las centrales no salieron de sus plataformas: salieron de los sistemas de Addi” pero cierra con lo siguiente bien importante:

“El literal n) del artículo 17 y el literal k) del artículo 18 de la Ley 1581 de 2012 obligan a responsables y encargados por igual. 15 días hábiles. Sin excepción. La Resolución SIC 101746 de 2025 lo confirmó con una sanción de $20.100.480. La Resolución SIC 3869 de 2026 cerró la salida: que el incidente ocurra en un encargado no exonera al responsable“.

Por lo tanto, claramente existe responsabilidad. Sin embargo, la ley es demasiado lenta y, como usuario de a pie, necesitas pruebas para presentar una denuncia. Cuestión que, hasta no ver tus datos circulando, te deja prácticamente sin herramientas para actuar, aunque se sospeche lo que ocurre detrás de escena.

El problema de nuestra cultura, para resumir diez páginas, es que nos resignamos muy rápido. A nosotros nos roban y nos quedamos en shock: “Ah, hpta… me robaron”. Y ya. No pasa de ahí, no trasciende, jamás se hace algo. La reacción se pierde y por eso nos suceden tantas cosas como sociedad, porque no reaccionamos como deberíamos.

¿Y qué es lo que se debería hacer? Justamente castigar a los responsables de forma inmediata. Si la empresa no tomó los protocolos adecuados, sanción. Y así sucesivamente. En cuanto a los piratas, también deberían tener circular roja de captura, porque claramente no son de acá.

¿Qué ha hecho el gobierno entonces frente al problema al nivel general?

El Gobierno colombiano ha implementado diversas medidas a lo largo de los años para combatir las llamadas de spam, extorsiones y el uso de datos personales en fraudes, aunque los resultados son mixtos y el problema persiste debido a la creatividad de los delincuentes, la corrupción y limitaciones técnicas/burocráticas.

Medidas principales contra extorsiones y call centers en cárceles (nivel penitenciario):

  • Operativos masivos y decomisos: A través de la Policía (Gaula), INPEC y Fiscalía se han realizado miles de operativos. Ejemplos:
    • Desde 2023: Más de 2.600 operativos (Operación Dominó), con 15.600 celulares incautados y miles de accesorios.
    • En 2025: Más de 21.500 operativos, 34.800 celulares y 33.200 SIM decomisados.
  • Bloqueo de señales celulares (2026): En respuesta a denuncias internacionales (como de El Salvador), el Ministerio de Justicia ordenó bloqueo inmediato de señal en cárceles clave como Cómbita (Boyacá), Valledupar y La Dorada. Se busca expandirlo. Decreto 851 de 2024 facilita el bloqueo de IMEI/IMSI por parte del INPEC y operadores.
  • Megaoperativos nacionales: Intervenciones simultáneas en decenas o cientos de cárceles para recuperar control.

Estas acciones han reducido algunas métricas, pero no han erradicado el problema, ya que los internos burlan controles con nuevos dispositivos.

Regulaciones para spam comercial y protección al consumidor:

  • Registro de Números Excluidos (RNE) de la CRC (Comisión de Regulación de Comunicaciones): Permite inscribir gratis tu número para evitar llamadas, SMS y mensajes publicitarios. Administrado bajo resoluciones como 5050 de 2016 y actualizaciones (Ley 2300 de 2023, “Ley Dejen de Fregar”). Empresas deben consultarlo; incumplimientos se denuncian ante SIC o Superfinanciera.
  • Ley 1581 de 2012 (Protección de Datos) y decretos: Obliga notificación de brechas, medidas de seguridad y sanciones por SIC (multas hasta miles de millones de pesos).
  • Proyectos en Congreso: Iniciativas para registro biométrico de SIM, endurecimiento de sanciones y control en venta de datos/bases.

Otras acciones institucionales:

  • Alianzas Policía-Mintic: Para ciberseguridad y rastreo de fraudes.
  • Campañas y líneas de denuncia: Gaula (165), Policía (123), reportes a SIC.
  • Bloqueo de números: INPEC y operadores reportan y bloquean líneas vinculadas a extorsiones.

Las medidas son reactivas, los bloqueadores fallan frecuentemente, hay lentitud en investigaciones por filtraciones de datos (como Addi), y la cultura de resignación limita la presión ciudadana. No hay una estrategia integral que combine tecnología, justicia rápida y educación masiva con resultados definitivos. El problema se agrava porque las bases de datos ilegales siguen circulando y las cárceles no están 100% controladas.

Una de mis soluciones y conclusión

Como bien has leído hasta acá, todo esto parece ser un ciclo sin fin. Los procesos burocráticos hacen que se desista de los procesos de denuncia o formalización de exclusión, como es el caso del RNE, en donde para unirte a la lista de exclusión te falta si no darle el acta de nacimiento y la medida de tu reproductor sexual. Pongo la exageración para burlarme de esa medida tan tonta…

Muchos datos para que hagan ni mierda. Se supone que después de integrarte al listado (porque dura una semana de revisión para integrarte) seguirás recibiendo llamadas, pero ya estando en el listado tienes la potestad de grabar y hacer la denuncia y ganar…

Lo cual también me parece absurdo. Tras la información, son esfuerzos extras que nadie, en su día a día de ocupación, se va a poner a esperar que un malnacido llame para grabarlo y decirle: “Estás haciendo algo incorrecto, te voy a denunciar”.

Para nada, eso según la mente de arcoíris de esos bobazos.

Además, he sentido que hemos perdido privacidad a costa de medidas que no han solucionado en nada el problema, como es el registro de SIMs, que ya de plano hace que estemos todo el tiempo identificados, y luego los proyectos que quieren el registro por biometría.

¡JA!

Estúpidos es lo que son.

Quieren sacarnos una para meternos tres.

Por supuesto, acá es donde hay que entrar de forma extremista a buscar una solución definitiva, en mi caso he optado por utilizar la aplicación Silence de Fdroid, claramente software libre, en donde tiene una configuración básica: bloquear a todo aquel que no esté en tu lista de contactos.

Y la verdad es que me ha funcionado durante casi dos o tres años. Ahora, con mi nuevo terminal, un Samsung Galaxy S25 Ultra, se ha colado alguna que otra llamada. Sin embargo, sospecho que esto ocurre porque Samsung no concede todos los permisos necesarios a la aplicación e intenta imponer su propio bloqueador de spam, que para mí resulta poco funcional.

Por ello, recomiendo bastante esta aplicación.

Lo único malo que debes tener en cuenta es que, si algún familiar se encuentra en una emergencia y te llama desde el número de un tercero, perderás esa llamada. Es exactamente lo que la aplicación está diseñada para hacer.

Así que tenlo presente si tienes algún familiar particularmente creativo para meterse en problemas, porque ya he visto varios casos.

El típico borrachito que siempre pierde las llaves y llama a las tres de la mañana desde un celular aleatorio para que le abran la puerta. Pues bien, en ese caso le tocará amanecer afuera. Jajaja.

Y eso es todo.

Espero que el artículo haya sido de su agrado. Me gustaría saber cómo se vive esta situación en sus países y, si son de Europa, mejor aún. ¿Cómo funcionan las leyes allá? ¿También reciben tanto spam?

Saludos.

Imagen sacada de acá.
0 0 votes
Article Rating
Subscribe
Notify of
guest

0 Comments
Most Voted
Newest Oldest
0
Would love your thoughts, please comment.x
()
x