Un patrón que se repite en varias ciudades de Colombia.
En los últimos meses, múltiples empresas de servicios públicos en Colombia han sido víctimas de campañas de suplantación digital que afectan directamente a sus usuarios. Entre los casos más visibles están:
- Empresas Públicas de Medellín (EPM): en mayo de 2025 se detectó un portal falso para pago de facturas que desviaba el dinero a cuentas de terceros.
- Aguas de Cartagena: reportó suplantación de su página de pagos en buscadores, con diseño idéntico al oficial.
- Empresa de Acueducto y Alcantarillado de Bogotá (EAAB): en julio de 2025 alertó sobre anuncios fraudulentos en Google que imitaban su plataforma de pagos.
La coincidencia es clara: el fraude se apoya en la confianza del usuario en los buscadores y en la poca costumbre de verificar el dominio exacto antes de pagar.
Modus operandi común
Aunque cada caso tiene matices, los atacantes suelen seguir un patrón que combina ingeniería social con abuso de ecosistemas digitales:
- Creación de un sitio falso casi idéntico al oficial
Se clona el diseño, logotipo y funcionalidad para que la víctima no sospeche. - Posicionamiento instantáneo en buscadores (Search Engine Phishing)
- Uso de Google Ads maliciosos: pagando publicidad para aparecer de inmediato en los primeros resultados cuando alguien busca “pagar factura + [nombre de empresa]”.
- Empleo de dominios previamente posicionados o expirados con buena reputación (Black Hat SEO) para acelerar la indexación.
- Captura del pago o datos sensibles
La víctima ingresa sus datos o realiza un pago que termina en cuentas controladas por los delincuentes. - Duración corta pero impacto alto
Aunque estos sitios o anuncios pueden ser dados de baja en pocos días, el número de afectados en ese lapso puede ser significativo.
El phishing y sus variantes en juego
El término phishing abarca cualquier intento fraudulento de suplantar a una entidad confiable para obtener información o dinero.
En estos incidentes, las técnicas principales han sido:
- Search Engine Phishing: manipulación de resultados y anuncios en buscadores para posicionar el sitio falso.
- Typosquatting: registro de dominios similares al oficial con pequeñas variaciones.
- Cloaking SEO: mostrar contenido legítimo a los bots de indexación y el fraudulento al usuario.
- Phishing presencial (en algunos casos): delincuentes que se presentan como funcionarios autorizados para robar en viviendas o cobrar en efectivo.
Por qué logran aparecer en los primeros resultados tan rápido
A diferencia del SEO orgánico, que requiere meses, los delincuentes utilizan atajos técnicos y financieros:
- Publicidad pagada: Google Ads y plataformas similares permiten aparecer en cuestión de horas si se paga la puja adecuada.
- Aprovechamiento de dominios con autoridad: reutilizan dominios caducados con historial positivo.
- Redes de sitios comprometidos: insertan enlaces hacia el portal falso desde páginas legítimas hackeadas para aumentar su relevancia.
Recomendaciones
Para usuarios:
- Escribir la URL oficial directamente en el navegador, no buscarla en Google.
- Verificar el dominio completo antes de ingresar datos o pagar.
- Desconfiar de pagos por QR o transferencias directas que no estén publicadas en el sitio oficial.
- Confirmar siempre por canales autorizados (líneas de atención, redes sociales verificadas).
Para empresas:
- Monitorear proactivamente resultados y anuncios en buscadores con su nombre.
- Bloquear y reportar anuncios y dominios sospechosos de inmediato.
- Educar masivamente a sus usuarios sobre señales de fraude digital.
- Implementar protocolos de respuesta rápida para difundir alertas apenas se detecte un incidente.
- Trabajar con buscadores y autoridades para acelerar la desindexación y el bloqueo.