5 Señales de Phishing en WhatsApp que Debes Conocer

WhatsApp es la aplicación de mensajería más usada en Colombia, con más de 30 millones de usuarios activos. Esta popularidad la convierte en el canal preferido de los estafadores digitales. Según la Policía Cibernética de Colombia, en 2025 el 67% de las estafas digitales en el país comenzaron con un mensaje de WhatsApp. Las pérdidas superaron los $2.3 mil millones de pesos.

El phishing por WhatsApp funciona porque explota la confianza: recibimos un mensaje que parece venir de nuestro banco, de Nequi, de Bancolombia o de una empresa de delivery. El mensaje luce legítimo, tiene el logo correcto y nos urge a actuar rápido. Pero detrás hay un enlace que nos lleva a una página falsa diseñada para robar nuestras credenciales.

1. Urgencia y presión artificial

La primera y más efectiva técnica de phishing es crear un sentido de urgencia. Los estafadores saben que cuando sentimos presión, tomamos decisiones sin pensar. Los mensajes típicos dicen:

• "Tu cuenta será bloqueada en 2 horas si no verificas tus datos"
• "Verificación inmediata requerida — tu acceso está en riesgo"
• "Pago pendiente de $890.000 — confirma ahora o se cancela"
• "Hemos detectado un acceso no autorizado a tu cuenta"

Bancolombia, Davivienda, Nequi y todos los bancos colombianos tienen protocolos de comunicación que no incluyen amenazas de bloqueo inmediato por mensajería instantánea. Si recibes un mensaje que te genera urgencia, respira profundo y verifica por otros canales antes de actuar.

2. Enlaces sospechosos y URLs engañosas

El corazón del phishing es el enlace malicioso. Los estafadores usan varias técnicas para ocultar el verdadero destino del enlace:

• URLs acortadas: bit.ly/xyz123, cutt.ly/abc, t.co/xyz — ocultan el destino real
• Typosquatting: banc0lombia.com (cero en vez de o), nequi-seguro.com, daviplata-bonus.com
• Subdominios engañosos: bancolombia.ejemplo.com — el dominio real es "ejemplo.com", no Bancolombia
• TLDs de alto riesgo: dominios que terminan en .buzz, .clic, .top, .xyz — usados masivamente en estafas
• Parámetros sospechosos: URLs con ?s=wa o ?s=ms que identifican la campaña de WhatsApp

En Colombia, las estafas más comunes en 2025 usaban dominios como bonificacion-nequi.buzz, verificar-bancolombia.clic y daviplata-premio.top. Todos seguían el mismo patrón: marca conocida + palabra de recompensa + TLD sospechoso.

3. Errores gramaticales y ortográficos

Los mensajes de phishing frecuentemente contienen errores que revelan su origen fraudulento:

• Faltas de ortografía en palabras clave ("berificar" en vez de "verificar")
• Gramática incorrecta o frases que no suenan naturales en español
• Uso inconsistente de mayúsculas y minúsculas
• Emojis excesivos o inapropiados para un banco
• Traducciones literales del portugués o inglés

Bancolombia, Nequi, Davivienda y todas las empresas financieras colombianas tienen equipos de comunicación profesional que revisan cada mensaje. Un mensaje con errores ortográficos de una supuesta entidad bancaria es casi seguro una estafa.

Sin embargo, los estafadores están mejorando. Con la ayuda de inteligencia artificial, muchos mensajes actuales están bien escritos. La ausencia de errores ya no es garantía de legitimidad — pero su presencia sí es garantía de fraude.

4. Solicitudes de datos sensibles

• Contraseñas — ningún banco te las pide por chat
• Códigos de verificación (OTP) — si alguien te pide un código que recibiste por SMS, es estafa
• Número de tarjeta de crédito — los bancos ya tienen estos datos
• CVV o fecha de vencimiento — nunca se solicitan por mensajería
• Clave dinámica de Bancolombia — es personal e intransferible
• Fotos de tu cédula — los bancos verifican identidad en sucursal o por videollamada oficial

La táctica más común es el "verificación de identidad urgente": un mensaje dice que tu cuenta fue bloqueada y necesitas enviar fotos de tu cédula y datos bancarios para desbloquearla. Esto nunca ocurre en la realidad. Los bancos verifican identidad por canales seguros, no por WhatsApp.

5. Números desconocidos y perfiles falsos

Las empresas legítimas NUNCA te escriben desde números personales de WhatsApp:

• Bancolombia usa números cortos de 5 dígitos para SMS, no WhatsApp personal
• Nequi te contacta dentro de la app, no por WhatsApp externo
• Davivienda tiene líneas oficiales: 018000556666
• BBVA comunica por la app oficial y SMS cortos

Si recibes un mensaje de un número que no conoces, verificando el perfil puedes encontrar señales de alerta: foto genérica, sin estado, sin información, o con un nombre que imita al banco pero con ligeras variaciones.

Cómo verificar si un enlace de WhatsApp es seguro

Si recibes un enlace sospechoso por WhatsApp, sigue estos pasos:

1. No hagas clic — copia el enlace sin abrirlo
2. Verifica el remitente — busca el número en Google o en la página oficial del banco
3. Analiza el enlace en Expandir.link — obtendrás un reporte completo
4. Reporta el mensaje en WhatsApp > Contacto > Reportar spam
5. Bloquea el número para evitar futuros intentos
6. Notifica al banco por los canales oficiales

Estadísticas de phishing en Colombia (2025-2026)

Los datos más recientes de la Policía Cibernética colombiana muestran una tendencia alarmante:

• Se reportaron más de 85,000 casos de phishing en 2025
• El 67% comenzaron por WhatsApp, 18% por SMS y 15% por email
• Las marcas más suplantadas: Bancolombia (32%), Nequi (21%), Davivienda (15%)
• El monto promedio perdido por estafa: $1.8 millones de pesos
• Los dominios .buzz y .clic representan el 40% de las URLs de phishing en Colombia

Verifica cualquier enlace ahora

Contactos oficiales para reportar estafas

• Bancolombia: 018000931987
• Nequi: Chat en app > Ayuda > Seguridad
• Davivienda: 018000556666
• BBVA: 018009116666
• Policía Cibernética: Línea 147 en Colombia
• CAI Virtual: cai.policia.gov.co