Protocolo de Intercambio

de Información entre los

bancos y Fiscalía
General de la Nación

Modalidades de fraude
bancario y soportes que la
entidad puede entregar
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

La Dirección de Gestión Operativa y Seguridad de Asobancaria creó una

mesa de trabajo con: Jefe de Policía judicial del CTI a nivel nacional,
fiscal 22 de la seccional Bogotá y el fiscal del despacho de
ciberseguridad, en la estructuración de una estrategia que permitiera
mejorar el proceso de intercambio de información entre la Fiscalía
General de la Nación - FGN y las entidades bancarias.

En este sentido, la mesa de trabajo elaboró este documento para unificar

el lenguaje entre lo que solicita la FGN y los soportes que efectivamente
pueden entregar las entidades bancarias asociados a cada modalidad de
fraude. Al respecto, vale la pena aclarar que cualquiera de las
modalidades podría presentarse en los siguientes canales: Cajero
Automático, Internet, Datáfono o POS, Oficina y Corresponsal bancario.

El documento es de pertinencia y utilidad para los fiscales que adelantan

investigaciones en el marco de la Ley 1273/2009, principalmente lo
delitos del Capitulo I. De los atentados contra la confidencialidad, la
integridad y la disponibilidad de los datos y de los sistemas informáticos:
Acceso abusivo a un sistema informático, art.269ª y Violación de datos
personales, art.269F. Así mismo, los delitos del Capítulo II. De los
atentados informáticos y otras infracciones:
Hurto por medios informáticos, art.269I y Transferencia no consentida de
activos, art.269J.

Del análisis realizado por parte de la Dirección Especializada de Delitos

Informáticos, consideramos importante se realicen ajustes con relación a
otros soportes que las entidades bancarias pueden y deberían
suministrar a la Fiscalía General de la Nación, además de los señalados
en el documento aportado, para poder así coadyuvar con el
esclarecimiento de los hechos delictivos que acontecen al interior de
esas entidades bancarias y/o a sus clientes o usuarios, cumpliendo así
con un deber constitucional de salvaguardar la convivencia pacífica y
seguridad pública.

1
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

Suplantación:
Modalidad delictiva que consiste en utilizar la información personal de un tercero sin su
consentimiento, como el nombre y el número de identificación, para cometer algún
fraude o robo.

La suplantación se puede presentar por medios digitales, como la aplicación o pagina

web de la entidad; o por puntos físicos como oficinas

Información a solicitar por parte de la Fiscalía

• Logs transaccionales y operacionales que registren no sólo los movimientos de las

cuentas, sino también transacciones fallidas.

• Consultas a los productos del cliente, antes, durante y posterior a los hechos, en
los en indiquen: usuario que consultó, quien utiliza ese usuario, fecha y hora de la
consulta, lugar de la consulta, dirección IP.

• Informar si hubo, antes del hecho, cambio de correos y abonados telefónicos. En

caso afirmativo, suministrar fecha, hora, lugar en que se hizo la llamada o solicitud
de cambio de información, número telefónico desde donde se hizo la llamada, y/o
dirección IP utilizada para ello, funcionario del banco que contesta y autorizó esta
modificación.

• En caso de que el usuario sea un funcionario del banco, indicar en qué sucursal
trabaja, el cargo y si la consulta la hizo dentro del horario establecido y si realizó el
protocolo de autenticación del cliente.

• Aportar los documentos anexos que escaneó o presentó el suplantador.

• Si hubo un crédito, informar el nombre del asesor que recibió la documentación y

autorizó el desembolso del crédito.

• Aportar los mensajes de texto enviados por el banco, notificando al cliente que
está siendo suplantado y que el banco está autorizando un nuevo producto, con la
finalidad de preguntarle si fue esa persona quien está solicitando un crédito, tarjeta
de crédito. O si está autorizando debitar dinero de su cuenta por transferencia, a
otra cuenta de ella en otro banco o del mismo banco.

• Aportar las llamadas que realizaron para confirmar que efectivamente el cliente
había realizado la compra o desembolso.

• Informar desde qué dispositivo se ejecutó la suplantación y transacciones y si

estaba registrado por el verdadero titular del dinero.

• Cuando hay transferencias de la cuenta de un cliente a otra cuenta del mismo

cliente, indicar si hubo transferencias por pasarelas de pagos, aportar nombres de

2
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

esas pasarelas de pago, número de la cuenta de esa pasarela de pago, número

de autorización y de factura que se pagó, valor del pago, dirección IP utilizada,
equipo utilizado, fecha y hora colombiana (con minutos y segundos).

• Indicar si esas pasarelas de pago fueron utilizadas ese mismo día y semana para
transferencias no consentidas de activos.

• Indicar si los bancos comunicaron a los comercios, personas y/o pasarelas de

pagos de que el dinero que llegó fue de manera ilícita e hizo el reclamo. en caso
afirmativo, si les devolvieron el dinero o no.

NOTA IMPORTANTE: Unificar un glosario o términos en los logs transaccionales.

Mientras se logra esta unificación, los bancos pueden enviar con la respuesta a la
FGN, el respectivo glosario de esos términos para poder entender lo que está
consignado en esas bases de datos aportadas por el banco.

Phishing:
Cuando una persona es defraudada a través de paginas web falsas.
Se suplanta la página web del banco u otras entidades y se busca que los usuarios
accedan engañados a este sitio (generalmente a través de links enviados en correos
electrónicos). Tiene como objetivo obtener la información financiera y personal de los
clientes para luego ser usados de forma fraudulenta.

Información a solicitar por parte de la Fiscalía

• Tarjeta de registro del cliente suplantado.

• Detalle transaccional.
• Detalle de apertura del producto.
• Extractos del afectado y receptor.
• Resultado del análisis de la reclamación que soportó la respuesta del reclamo.
• Investigación Interna.
• Direcciones IP (desde las cuales se realizaron las transacciones reclamadas).
• Información del token (en caso de ser persona jurídica).
• Informar cuál es la URL del banco.
• Si el banco conoció de la página web que crearon utilizando su nombre, aportar la
evidencia recaudada, fecha, hora en que estaba la página Web, si aún está,
aportar la URL falsa.

3
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

Smishing:
Cuando la victima recibe mensajes de texto al celular, con la intención de tener
información personal financiera.

Este fraude puede ser de dos tipos: el delincuente envía en un mensaje de texto una
dirección de una página fraudulenta de internet a través de la cuál recogen su
información o envía un mensaje de texto con un número telefónico falso que aparenta
ser el Call Center del banco. Cuando la persona llama, le sustraen su información
personal y financiera mediante engaños.

Información a solicitar por parte de la Fiscalía

• Tarjeta de registro del cliente suplantado.

• Detalle transaccional.
• Detalle de apertura del producto.
• Extractos del afectado y receptor.
• Resultado del análisis de la reclamación que soportó la respuesta del reclamo.
• Investigación Interna.
• Direcciones IP (desde las cuales se realizaron las transacciones reclamadas).
• Información del token (en caso de ser persona jurídica).
• Numero del que fue contactado, si se conoce.

Vishing:
Ingeniería social por medio de llamada telefónica.
Se trata de una actividad fraudulenta que consiste en una llamada telefónica que el
delincuente realiza con datos de la víctima que el criminal obtiene en Internet.
Información a solicitar por parte de la Fiscalía

• Tarjeta de registro del cliente suplantado.

• Detalle transaccional.
• Detalle de apertura del producto.
• Extractos del afectado y receptor.
• Resultado del análisis de la reclamación que soportó la respuesta del reclamo.
• Investigación Interna.
• Direcciones IP (desde las cuales se realizaron las transacciones reclamadas).
• Información del token (en caso de ser persona jurídica).
• Numero del que fue contactado, si se conoce.
4
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

Carding:
Robo de información sobre tarjeta débito y crédito

Esta actividad delictiva consiste en la utilización de datos de las tarjetas de crédito y

débito robadas para transacciones fraudulentas por Pse y Ach, Sim Swapping y
Cambiazo.

Información por solicitar:

• Número de tarjeta del cliente.

• Cédula del cliente.
• Lugar de la compra o plataforma.
• Identificación de la compra.
• Hora, lugar y fecha de la compra.
• Correo electrónico asociado a la compra y al producto financiero.
• Teléfono asociado.

Software malicioso (o espías):

Son programas que se instalan en el computador del cliente sin autorización que permite
a los delincuentes monitorear las actividades del usuario y robar su información personal
y financiera.

Información a solicitar por parte de la Fiscalía

• Tarjeta de registro del cliente suplantado.

• Imágenes y vídeos de transacciones realizadas en oficinas y cajeros.
• Detalle de apertura del producto.
• Extractos del afectado y receptor.
• Resultado del análisis de la reclamación que soportó la respuesta del reclamo.
• Investigación Interna.
• Direcciones IP (desde las cuales se realizaron las transacciones reclamadas).
• Informació

5
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

Key Logger:
Herramienta para obtener información de clientes que han usado previamente
en un dispositivo.

El delincuente utiliza herramientas de software o hardware que permiten grabar el texto

que escriben los clientes en el teclado de su computador para acceder a la información
personal y financiera.

Información a solicitar por parte de la Fiscalía

• Tarjeta de registro del cliente suplantado.

• Detalle transaccional.
• Imágenes y vídeos de transacciones realizadas en oficinas y cajeros.
• Detalle de apertura del producto.
• Extractos del afectado y receptor.
• Resultado del análisis de la reclamación que soportó la respuesta del reclamo.
• Investigación Interna.
• Direcciones IP (desde las cuales se realizaron las transacciones reclamadas).
• Información del token (en caso de ser persona jurídica).

Fraude en tarjeta de crédito (ambiente no presente):

Compras con tarjeta de crédito no autorizadas a través de Internet o teléfono.
Ejemplo: Los delincuentes llaman a números telefónicos aleatorios y a la víctima le
ponen una grabación en donde se le informa que debe llamar a un número telefónico
específico para comunicarse con su entidad financiera. Una vez el cliente llama a ese
número, nuevamente una grabación le indica que su cuenta necesita ser verificada y le
solicita información financiera (usualmente números de tarjeta, usuarios y claves). De
esta manera, el delincuente accede a toda la información necesaria para realizar
operaciones fraudulentas.

Información a solicitar por parte de la Fiscalía

• Log Transaccional.
• Notificación transaccional.
• Detalle transaccional.
• Resultado del análisis de la reclamación que soportó la respuesta.
• Investigación interna o solicitud.

6
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

Fraude en tarjeta de crédito (ambiente presente):

Tarjetas hurtadas, extraviadas y sustracción de chip.

Información a solicitar por parte de la Fiscalía

• Log Transaccional
• Notificación transaccional
• Detalle transaccional
• Resultado del análisis de la reclamación que soportó la respuesta
• Investigación interna o solicitud
• Imágenes y vídeos de transacciones realizadas en cajeros y oficinas de la entidad
si hay avances)

7
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

¿Qué soportes requieren

orden de juez de control
de garantías?
• Tarjeta de registro del cliente suplantado.
• Detalle transaccional.
• Imágenes y vídeos de transacciones realizadas en oficinas y cajeros.
• Detalle de apertura del producto.
• Extractos del afectado y receptor.
• Resultado del análisis de la reclamación que soportó la respuesta del reclamo.
• Investigación Interna.
• Direcciones IP (desde las cuales se realizaron las transacciones reclamadas).
• Información del token (en caso de ser persona jurídica)

¿Qué soportes no requieren orden

de juez de control de garantías?

• Resultado del análisis de la reclamación que soportó la respuesta del reclamo

(favorable o desfavorable con o sin reintegro de $)

• Imágenes y vídeos de transacciones realizadas en Cajeros de la entidad (cuando

se realizan en ATMs de la red propia del banco, si es de otra red, la FGN debe
dirigirse a la otra red y solicitar este soporte)

• Reporte de captura en flagrancia, individualización o identificación que se tenga

del Banco sobre los sospechosos

• En casos de personas jurídicas remitir información del token (a quien está

asignado y quien lo recibió)

• Log Transaccional

8
 Protocolo de Intercambio de Información entre los bancos y Fiscalía General de la Nación

(*) La dirección IP
Es un conjunto de números que identifica, de manera lógica y jerárquica, a una Interfaz
en red (elemento de comunicación/conexión) de un dispositivo (computadora, tableta,
portátil, teléfono inteligente) que utilice el protocolo o (Internet Protocol), que
corresponde al nivel de red del modelo TCP/IP.

Esto ha llevado a que algunos Jueces en la práctica consideren que las IP son datos
personales, en línea con el siguiente concepto:

Recientemente, el Tribunal de Justicia de la Unión Europea falló, en la sentencia

sobre el asunto C-582/14, a favor de un ciudadano de la República Federal de
Si una entidad prestadora de servicios de la Sociedad de la Información dispone de una dirección IP que, combinada

Alemania, al respecto de la consideración de una IP dinámica, como dato

personal que debe ser tratado como tal por el Estado, si concurren determinadas
circunstancias. La argumentación de la Curia europea, utilizando un criterio
con otros datos como la fecha de conexión, es capaz de permitir a un tercero la identificación del usuario.

relativo, considera por tanto a la dirección IP dinámica como un dato personal al

respecto de prestadores de servicios de la Sociedad de la Información (como
por ejemplo, un Estado a través de sus páginas web), siempre y cuando dicha
dirección IP dinámica se halle acompañada de otro u otros datos personales
que permitieran a un tercero (normalmente, el proveedor del servicio u
operador), identificar al usuario, así como que el prestador del servicio pudiera
tener un interés legítimo en identificar al mencionado usuario, como por ejemplo
para prevenir ataques informáticos contra páginas web estatales. Este criterio,
está en contraposición con el criterio objetivo que siguen entidades como la
Agencia Española de Protección de Datos, que consideran a la dirección IP,
estática o dinámica, como un dato personal bajo cualquier circunstancia.

Así pues, si una entidad prestadora de servicios de la Sociedad de la

Información, dispone de una dirección IP que, combinada con otros datos como
la fecha de conexión, es capaz de permitir a un tercero la identificación del
usuario y, el prestador del servicio pudiera tener un interés legítimo en identificar
a dicho usuario, esta dirección IP dinámica tendría la consideración de dato de
carácter personal. Esto significa que, para que la dirección IP dinámica
registrada por un prestador de servicios de la Sociedad de la Información sea
considerada como dato personal, deben concurrir los siguientes supuestos:

• Que exista una tercera entidad, como el operador, capaz de identificar al

usuario a través de la dirección IP y otros datos combinados con esta, como
la fecha de conexión.

• Que el prestador de servicios de la Sociedad de la Información, debido a un

interés legítimo para conocer la identidad del abonado, disponga de recursos
legales para averiguar la mencionada identidad a través del proveedor de
acceso al servicio.