Ciberseguridad en cobranza: un llamado a la acción colectiva del sector

Compartir en:

El momento que nos pone a prueba

Como se suele decir en todos los foros sobre ciberseguridad: la pregunta ya no es si una organización será atacada, sino cuándo, cómo y con qué impacto –

Por todos es sabido, que, en el último mes, el ecosistema de crédito y cobranza en Colombia ha estado en el centro de conversaciones sobre posibles incidentes de ciberseguridad vinculados a plataformas tecnológicas, operadores de outsourcing de cartera y otros proveedores.

Más allá de confirmar casos específicos o desmentirlos, hay una realidad que ningún sector puede ignorar: la pregunta ya no es si una organización será atacada, sino cuándo, cómo y con qué impacto. Y en ese contexto, el momento que vive la industria no debe leerse desde el miedo, sino desde la madurez, la prevención y la colaboración.

Más ahora, cuando hace apenas unas semanas la Superintendencia Financiera expidió el Decreto 0368 de 2026, que establece el marco normativo para las finanzas abiertas obligatorias en Colombia. En este nuevo ecosistema de Open Finance, la seguridad del sistema será tan fuerte como su eslabón más débil. Y ese es precisamente el reto que enfrentamos hoy: una cadena de confianza que inevitablemente se nivela al actor menos seguro.

En el marco de esta coyuntura, conversamos en nuestra sección FOCO, de la Revista Ciclo de Riesgo, con Alejandro Villa Villegas, CEO de I Agree System, empresa especializada en tecnología para la gestión de cobranza y la recuperación de cartera en Colombia. Con más de una década acompañando al sector financiero y BPO en su transformación digital, es reconocido como consultor, empresario de tecnología y especialista en gestión de cobranza, scoring alterno aplicado al sector.

Alejandro, bienvenido a Ciclo de Riesgo. Muchas gracias por aportar a esta conversación en un momento en el que el sector vive una situación difícil y un cambio de paradigma profundo y acelerado. Tu experiencia es clave para entender esta situación particular que enfrenta hoy la industria, donde el riesgo dejó de estar concentrado en un solo punto y ahora se distribuye —y amplifica— a lo largo de toda la cadena, con foco en el eslabón más débil.

Alejando Villa (AV): Gracias por permitirme sumar y aportar. Sin duda, este es un momento complejo, pero a su vez es el mejor para forzar el salto que nos exigen los nuevos riesgos que enfrentamos.

El momento que nos pone a prueba

Beatriz Villa - Directora, Ciclo de Riesgo Latam (B/CDR): Como lo hemos comentado antes, históricamente los ataques se concentraban en los sistemas Core de las entidades financieras. Hoy, el perímetro se ha expandido a los otosurces, proveedores tecnológicos, plataformas de pagos y cartera, integraciones y APIs y canales digitales y omnicanales. Hoy, la cadena de valor completa de múltiples industrias se ha convertido en un blanco de ataque. Esto implica que la seguridad de una entidad ya no depende solo de sí misma, sino de todos los actores con los que interactúa.

Alejandro Villa (AV): Sí, así es. El sector tecnología, BPO, BPS, Contact Center, Financiero y salud en Colombia atraviesa un momento que exige atención y decisiones concretas. No es casualidad: estas industrias comparten una característica que las convierte en objetivo prioritario para los actores de amenazas más sofisticados que operan hoy en el país — gestionan volúmenes masivos de información de contacto, datos financieros, registros de comportamiento de pago e historiales médicos de millones de colombianos. Esa concentración de datos es, precisamente, lo que los hace atractivos.

Lo que estamos viviendo no son fenómenos aislados ni pasajeros. Son ataques focalizados, deliberados y en escalada, dirigidos específicamente contra industrias que poseen grandes bases de contactos y que operan como eslabones críticos en la cadena de valor del sistema financiero y de servicios del país. Reconocerlo con claridad es el primer paso para actuar con inteligencia.

No digo esto para generar alarma. Lo digo porque este no es momento de competir. Es momento de cooperar. Sin duda la fragmentación y el silencio debilitan, mientras la colaboración y la información adecuada y a tiempo, protegen.

(B/CDR): Entidades como BBVA Colombia y Nu Colombia reconocieron directamente incidentes de extracción de Data. En paralelo, en ecosistemas de inteligencia de fuentes abiertas (OSINT) se mencionan otros casos, incluida una aseguradora — en distintos niveles de verificación, sin confirmación pública sobre su afectación, e incluso con solicitud de investigaciones a la SIC. Para los directores de riesgo, esta capa es crítica: estos ataques no comienzan con comunicados oficiales, sino con señales débiles en entornos abiertos. Es allí donde la inteligencia OSINT detecta primero lo que luego se convierte en incidente: datos expuestos, actores emergentes y patrones que, con el tiempo, terminan confirmándose por vías institucionales. ¿Ustedes monitorean estas fuentes no oficiales?

(AV): Detrás de estas alertas operan ecosistemas globales de threat intelligence —firmas especializadas, CSIRT sectoriales y plataformas de monitoreo— que rastrean de forma permanente la “Dark Web” y otros canales no tradicionales, funcionando como sensores adelantados del riesgo: permiten detectar señales tempranas, pero no siempre ofrecen confirmaciones inmediatas. En esta fase conviven datos preliminares, análisis en curso, interpretaciones diversas e incluso desinformación; no se trata de invalidar las señales, sino de ubicarlas correctamente en una etapa temprana de verificación. Para el sector, más allá de la confirmación puntual, lo relevante es que el patrón de riesgo ya es reconocido y exige una respuesta anticipada.

(B/CDR): Alejandro, tú llevas años acompañando a empresas de estos sectores en su transformación digital y sabes con claridad cuáles son las medidas que marcan la diferencia entre una organización expuesta y una organización preparada. y más ahora en un contexto donde el sector ha tenido que enfrentar situaciones recientes de este tipo. Profundicemos en las medidas accionables que todas las entidades deben tener en cuenta.

(AV): Quiero compartir a continuación prácticas concretas, aplicables y con impacto real, que toda operación que maneje data de cualquier industria debe incorporar para elevar su estándar de seguridad.

Los tips que toda empresa del sector debe implementar

1. Active el doble factor de autenticación sin excepciones

Esta es la medida de mayor impacto por unidad de inversión que existe hoy en ciberseguridad. El doble factor de autenticación (2FA) exige que cualquier usuario, además de su contraseña, valide su identidad a través de un segundo mecanismo —un código al celular, una app de autenticación, una llave de seguridad física.

TIP 1 — Acción inmediata: Exija 2FA para el 100% de los accesos a sus plataformas de gestión, correo corporativo y herramientas de administración. Sin excepción de cargo ni de antigüedad. Un usuario sin segunda verificación es una puerta abierta, independientemente de cuán segura sea su contraseña.

2. Implemente VPN corporativa para todo acceso remoto

El trabajo remoto e híbrido llegó para quedarse, y con él uno de los vectores de entrada más frecuentemente aprovechados: la conexión directa desde redes domésticas o públicas a plataformas corporativas sin ningún canal de seguridad intermedio.

Una VPN corporativa crea un túnel cifrado entre el dispositivo del usuario y los sistemas de la empresa, garantizando que el tráfico viaje protegido independientemente de la red desde la que se conecte. Adicionalmente, permite registrar quién se conecta, desde dónde y en qué momento, lo que es tanto una medida de seguridad como un activo de trazabilidad ante cualquier eventualidad.

TIP 2 — Política de acceso remoto: Ningún colaborador debería poder acceder a sistemas que gestionan información de clientes desde fuera de la oficina sin pasar por la VPN corporativa. Formalice esta política por escrito y verifique su cumplimiento de forma periódica.

3. Segregue los entornos por cliente

Si su plataforma gestiona información de múltiples clientes —entidades financieras, fondos de garantía, empresas de telecomunicaciones— cada uno de esos entornos debe operar de forma lógicamente independiente. Bases de datos separadas, credenciales distintas, configuraciones propias.

Esta arquitectura de segmentación garantiza que cualquier evento que afecte a un entorno específico no tenga capacidad de propagarse a los demás. Es el equivalente digital de tener cada archivo de cliente en una caja fuerte individual dentro de una bóveda común.

TIP 3 — Revisión de arquitectura: Audite su plataforma y verifique que no existan tablas, esquemas o credenciales compartidas entre clientes. Si los hay, ese es el primer punto de remediación. La segmentación no es un lujo; es un estándar mínimo en cualquier plataforma que gestione información de terceros.

4. Despliegue una solución EDR en toda su infraestructura

Un EDR (Endpoint Detection and Response) es una solución de seguridad que monitorea en tiempo real el comportamiento de todos los dispositivos conectados a su infraestructura —laptops, servidores, instancias en nube— y detecta automáticamente patrones de actividad anómala, intentos de intrusión o comportamientos maliciosos.

A diferencia del antivirus tradicional, que actúa sobre amenazas conocidas, un EDR identifica comportamientos sospechosos aunque la amenaza sea nueva. Adicionalmente, genera evidencia forense en tiempo real, lo que es fundamental tanto para la respuesta al incidente como para cualquier proceso posterior de investigación.

TIP 4 — Cobertura total: El EDR debe cubrir no solo los computadores de los colaboradores, sino también la infraestructura de servidores y los entornos en nube. Una solución parcial deja flancos descubiertos. Asegúrese de que todos los endpoints estén registrados y monitoreados desde una consola centralizada.

5. Establezca whitelisting de IPs por cliente

El whitelisting de IPs es una medida de control perimetral que restringe el acceso a cada entorno de cliente exclusivamente desde las direcciones IP registradas y autorizadas. Cualquier intento de conexión desde una IP fuera de la lista es bloqueado automáticamente y registrado en los logs de auditoría.

Para implementarlo correctamente, solicite a cada cliente el listado de sus direcciones IP públicas, rangos CIDR y, si aplica, la IP de su VPN corporativa y su proxy de salida. Configure esas listas en su plataforma y active alertas ante intentos de acceso desde fuentes no autorizadas.

TIP 5 — Implementación por fases: Si aún no tiene esta medida activa, comience por los clientes más sensibles y extiéndala progresivamente. Combine el whitelisting de IPs con restricciones de horario de acceso para añadir una capa adicional de control sin incrementar significativamente la complejidad operativa.

6. Audite y controle los accesos de terceros

Proveedores de tecnología, integradores, socios operativos: todos los actores externos que tienen acceso a sus sistemas representan un punto de riesgo que debe estar identificado, cuantificado y gestionado. El principio que debe aplicar es simple: cada tercero accede únicamente a lo estrictamente necesario para cumplir su función, y ese acceso tiene fecha de vencimiento.

Inventario de terceros: mantenga actualizado un registro de todos los proveedores con acceso a sus sistemas, incluyendo el tipo de acceso, el nivel de privilegio y la fecha de última revisión.
Mínimo privilegio: ningún tercero debería tener acceso de administrador a menos que sea estrictamente indispensable para su función.
Revisión periódica: establezca un calendario de revisión trimestral de todos los accesos externos y revoque inmediatamente cualquier acceso que ya no esté justificado.

7. Prepare un protocolo de respuesta ante incidentes

La pregunta correcta no es si su organización enfrentará algún evento de seguridad, sino cuándo y qué tan preparada estará para responder. Un protocolo de respuesta ante incidentes define, antes de que ocurra cualquier eventualidad, quién hace qué, en qué orden y con qué recursos.

Este protocolo debe contemplar al menos: la cadena de comunicación interna, los responsables técnicos de la contención, el procedimiento de notificación a clientes afectados y los mecanismos de preservación de evidencia. Una respuesta organizada minimiza el impacto, reduce los tiempos de recuperación y preserva la confianza de los clientes.

TIP 7 — Simulacro anual: Un protocolo que nunca se practica es un documento que no funciona en el momento crítico. Realice al menos un simulacro anual de respuesta a incidentes con los equipos involucrados. El ejercicio revelará vacíos que no son visibles en la teoría.

8. Contrate un seguro de ciberriesgo: el blindaje que pocos conocen

Este es quizás el tip menos conocido del sector y, en el contexto actual, uno de los más valiosos. El mercado asegurador ha desarrollado en los últimos años pólizas específicas de ciberriesgo que cubren un espectro amplio de eventos que antes quedaban totalmente desprotegidos en las organizaciones.

Una póliza de ciberriesgo bien estructurada puede cubrir:

Análisis forense digital: los costos de investigación técnica para determinar qué ocurrió, cómo ocurrió y cuál fue el alcance del evento, incluyendo honorarios de expertos especializados.
Interrupción del negocio: las pérdidas económicas derivadas de la paralización total o parcial de operaciones como consecuencia de un incidente de seguridad.
Notificación y gestión de crisis: los costos de comunicación a clientes afectados, gestión de la reputación y asesoría legal durante el evento.
Restauración de sistemas: los costos técnicos de recuperación, reconstrucción de datos y restablecimiento de la operación normal.
Responsabilidad frente a terceros: la cobertura ante reclamaciones de clientes o terceros afectados por el incidente.

Las pólizas de ciberriesgo son hoy una realidad accesible para las empresas medianas del sector. El mercado asegurador colombiano ya ofrece productos diseñados específicamente para este tipo de organizaciones. Consulte con su corredor de seguros sobre las opciones disponibles y evalúe esta cobertura como parte integral de su estrategia de gestión del riesgo operativo.

Incorporar un seguro de ciberriesgo a la estructura de protección de su organización no reemplaza los controles técnicos, pero sí cierra el círculo de cobertura ante escenarios que, a pesar de todos los controles, pueden materializarse. Es el colchón financiero y operativo que permite a una organización levantarse con rapidez y continuar operando.

9. Invierta en la conciencia de seguridad de su equipo

Todas las medidas técnicas que aquí comparto pueden verse comprometidas por un solo colaborador que no reconoce un correo de phishing, que comparte su contraseña con un colega o que descarga un archivo adjunto sin verificar su procedencia. El factor humano es, estadísticamente, el punto de entrada más frecuente en incidentes de seguridad.

Invertir en capacitación periódica en conciencia de seguridad no es un gasto; es el complemento indispensable de cualquier inversión tecnológica. Un equipo que sabe reconocer una amenaza, que tiene claridad sobre los protocolos de reporte y que entiende por qué las políticas de seguridad existen, es su primera y más valiosa línea de defensa.

TIP 9 — Frecuencia recomendada: Sesiones de capacitación trimestrales, complementadas con simulaciones periódicas de phishing controlado, son el estándar que organizaciones líderes del sector implementan para mantener a sus equipos alerta y actualizados.

Preparación activa, sostenida y proactiva

(B/CDR): Muy pertinentes las 9 capas que detallas de Ciberseguridad. Con esa mirada de 360°, ¿cuál entonces debe ser la posición correcta ante el entorno amenazante que vivimos?

(AV): Frente al panorama de amenazas, la posición que toda organización debe asumir no es la del pánico ni la de la indiferencia. Es la de la preparación activa y sostenida. Esto significa revisar hoy, no mañana, cuántas de las medidas descritas en esta conversación están implementadas en su organización. Significa asignar responsables claros para cada una de ellas. Significa comunicar a sus clientes, con transparencia y con evidencia, los controles que tiene activos sobre su información. Y significa entender que la ciberseguridad no es un proyecto con fecha de cierre, sino una práctica permanente que evoluciona al mismo ritmo que el entorno.

(B/CDR): Regresando a los incidentes de este mes, vemos que durante años, el discurso de la ciberseguridad en el sistema financiero se construyó alrededor de una premisa implícita: el riesgo estaba en el núcleo. En los cores bancarios, en la infraestructura crítica, en los sistemas donde reside el dinero. Pero esa premisa acaba de romperse. El riesgo no se ha desplazado, se ha redistribuido hacia la Data. Vemos que el suceso que hoy estamos enfrentando es distinto: según lo que hemos conocido en la Revista sobre los incidentes recientes, confirmados o en análisis, comparten un patrón claro: no buscan necesariamente el acceso directo a cuentas bancarias. Buscan datos estructurados de clientes. En foros clandestinos y redes del “bajo mundo” y la dark web”, se hace todo tipo de menciones y especulaciones, desde un supuesto hacker bajo el alias “Petro Escobar”, hasta se habla de NyxarGroup, un actor emergente dentro de los ecosistemas clandestinos de filtración y comercialización de información, cuya actividad reciente ha estado caracterizada por la publicación de supuestos conjuntos de datos asociados a organizaciones de distintos sectores.

A diferencia de otros tipos de ataques que priorizan la interrupción operativa, Nyxar parece centrarse en la exposición y difusión de información presuntamente obtenida de entornos institucionales, lo que sugiere un modelo de operación orientado a generar visibilidad, reputación dentro de comunidades clandestinas y la monetización potencial de datos. Pero este suceso no tiene este perfil. ¿Verdad? … Dicen las “malas lenguas” y en la “dark web”, que esta situación particular tiene una motivación política, hasta se habla de extraer información para influir masivamente en las votaciones. Un caso típico de ingeniería social. ¿Qué tipo de motivación crees que tiene? ¿Será una filtración de información con fines electorales?

(AV): No podría afirmar nada al respecto. Pero esta situación que estamos viendo si es particularmente distinta, En los patrones que se han venido observando recientemente en el sector, no se ha evidenciado acceso a cuentas bancarias, ni claves, o datos de saldos o movimientos, ni ese tipo de temas altamente sensibles. Por lo general, los bancos no entregan este tipo de información a sus operadores.

Más allá de las especulaciones, lo que sí te puedo decir, es que este suceso parece tener un móvil distinto. Pero más allá del móvil... Lo que sí es claro es que los ciberataques hoy vienen de todos los frentes, desde criminales económicos: grupos de cibercrimen que buscan dinero, vender datos, hacer chantaje (ransomware) o lucrarse con fraude financiero, o desde actores estatales (espionaje y ciberguerra), por gobiernos que usan ciberataques para espionaje, desestabilizar a otros países o apoyar operaciones políticas, y otros como hacktivistas y colectivos, como grupos como Anonymous que movilizan ataques DDoS, filtraciones o campañas de desinformación con motivos políticos o sociales. Sin caer en alarmismos, sí es momento de elevar el estándar.

(B/CDR): Con respecto a lo que mencionas sobre colectivos, en informe reciente de la Digital News Association (DNA), presentado en abril de 2026, revela que Rusia habría impulsado la formación de más de mil creadores de contenido, periodistas y “influencers” con el objetivo de difundir desinformación en ocho países de América Latina, incluida Colombia. El documento señala que medios afines al Estado Ruso, como RT en Español y Sputnik Mundo, habrían sido utilizados como parte de una estrategia más amplia para moldear narrativas, profundizar la polarización, influir en el debate público y, en última instancia, afectar la percepción que la ciudadanía tiene de las instituciones y los procesos políticos en la región.

(AV): Así es. Hoy todas las industrias y sectores están siendo atacados de diferentes maneras y con diferentes herramientas, especialmente el financiero. Como lo decía Jonatan Malagón, presidente de Asobancaria, en una de sus intervenciones: señalaba que la banca colombiana ha avanzado gracias a tres pilares: colaboración, digitalización y adaptabilidad. Y precisamente, un ejemplo claro de cómo combina esos tres pilares es el trabajo conjunto que ha logrado la banca frente a los ciberataques. Destacaba Malagón, que se reciben en promedio más de 90 ataques por segundo, y 997 robos de datos por día, en momentos en que los pagos digitales están creciendo en más del 80% y se han ampliado las formas de pago de 6 a 11, lo que ha permitido prácticamente universalizar el acceso transaccional al sistema financiero.

(B/CDR): Sí, los bancos tienen un potente arsenal de herramientas y escudos para hacer frente a este fenómeno. Según datos de Asobancaria, se destinan 1,7 billones de pesos anuales a prevenir fraudes y fortalecer ciberseguridad, seis veces más que la inversión del ministerio de ciencia y tecnología. Nuestro CSIRT, se ganó el reconocimiento como el mejor de América Latina. En 2025, junto a Asobancaria, realizaron 24 millones de cotejos de biometría, lo que permitió generar más de 750 alertas de ataques específicos y especialmente peligrosos.

(B/CDR): Respecto al tema de extraer Data masiva de un sector en particular, para ingeniería social, te cuento que en Ciclo de Riesgo precisamente le hemos estado haciendo seguimiento, una posible campaña con técnica de micro‑segmentación, con bots y cuentas falsas que están utilizando con los afiliados del sector cooperativo, específicamente para desprestigiar a los bancos. Se trata de una campaña para amplificar narrativas polarizantes y hacerlas parecer “tendencia” o “opinión mayoritaria” en momentos de gran confrontación por la subida de las tasas de interés del Banco de la República. Una vez la tengamos documentada, prometo publicarla.

(AV): Lamentablemente, en este momento de elecciones, el riesgo de utilizar data con ese fin es mayor: debilitar la democracia. Aumenta la desconfianza, la polarización y la posibilidad de que gobiernos o grupos usen la desinformación para sostener el poder sin un debate real.

(B/CDR): Como lo decía el mismo Director del equipo de Grupo Interno de Trabajo de Respuesta a Emergencias Cibernéticas de Colombia: En este contexto, la pregunta crítica para cada entidad no es si será objetivo de un ataque, la evidencia indica que ya lo es o lo será, sino si, al momento en que ese evento ocurra, existirán controles efectivos capaces de interrumpirlo, o si el atacante encontrará las mismas condiciones de exposición que ya fueron observadas de forma reiterada en múltiples organizaciones del país. Por eso resulta clave actuar con inmediatez ante esas condiciones de exposición ya conocidas.

(AV): A nivel global, las señales son igualmente contundentes. Informes recientes sobre ciberseguridad han evidenciado que prácticamente todos los sistemas empresariales de inteligencia artificial presentan vulnerabilidades críticas, con tiempos de compromiso de minutos. Este escenario ha llevado a gigantes tecnológicos como Nvidia y otros actores del ecosistema a acelerar el desarrollo de nuevas arquitecturas de seguridad para IA, reconociendo que la adopción ha avanzado más rápido que los controles. Más allá de los titulares o las interpretaciones, el mensaje es claro: la tecnología evoluciona a una velocidad que exige una respuesta coordinada. Y esto no es exclusivo del mundo tecnológico; es una advertencia directa para todas las industrias, como la de cobranza, donde los datos, los sistemas y la automatización convergen en un mismo punto de riesgo.

(B/CDR): Al respecto de lo que mencionas, el ThreatLabz AI Security Report 2026 indica que, en el universo de sistemas empresariales de inteligencia artificial analizados, prácticamente el 100% presentaba vulnerabilidades críticas, es decir, fallos que un atacante puede explotar de forma realista.

El informe destaca que el tiempo promedio para que un atacante comprometa un sistema de IA empresarial es de alrededor de 16 minutos, y que el 90% de los casos caían en menos de 90 minutos, lo que evidencia una superficie de ataque muy expuesta y un margen mínimo de reacción. ¿Crees que estamos ante una crisis silenciosa en la seguridad de la IA?

(AV): Evidentemente, estamos viendo cómo el fenómeno deepfake, la suplantación por inteligencia artificial se está disparando. Según datos del ColCERT, más del 20% del fraude ya se comete con mecanismos de inteligencia artificial. Al cierre de este año será superior al 30% y muy rápidamente escalará al 50%. Así que este es otro dolor de cabeza con el que lidiar.

(B/CDR): Volviendo a estas situaciones que se intensificaron a mediados de marzo y que se terminaron mezclando con otro tipo de ataques que iniciaron desde enero, - como ya lo habíamos anunciado en el Ciclo de Riesgo- , el ColCERT (Grupo Interno de Trabajo de Respuesta a Emergencias Cibernéticas de Colombia), del Ministerio TIC, sustentó con evidencia verificable la explotación activa de datos de ciudadanos colombianos, los cuales ya se encontraban comprometidos y en circulación en mercados clandestinos. En ese incidente, ColCERT identificó la actuación de nueve actores maliciosos distintos, quienes comprometieron más de 40 entidades colombianas, pertenecientes a ocho sectores estratégicos. Once instituciones educativas fueron comprometidas en un lapso de cinco días, 5 entidades del sector salud, 7 del gobierno nacional y 5 territoriales, incluyendo 3 entidades del sector financiero y dos del transporte y logística. Si bien las actividades observadas no involucraron herramientas de alto costo ni capacidades avanzadas de inteligencia, según el informe, los atacantes operaron principalmente mediante scripts en Python y módulos de Metasploit de libre acceso. En el caso más crítico de la campaña, la exfiltración de información se produjo a partir del acceso directo a una URL pública sin mecanismos de protección, lo que evidencia fallas básicas de control y exposición prolongada de datos.

Aprovecho para hacer un paréntesis aquí. Las entidades u organizaciones que deseen fortalecer su postura de seguridad digital pueden contactar directamente al ColCERT. A partir de esta solicitud, el equipo brindará orientación sobre el servicio más adecuado, de acuerdo con el perfil de riesgo, el nivel de madurez y las necesidades específicas de cada organización.

(AV): Como parte de nuestra operación en entornos CRM con múltiples integraciones y clientes, y a raíz de los escenarios recientes en el sector, estamos disponibles para acompañar a organizaciones que requieran entender cómo su operación está expuesta en la práctica y qué ajustes pueden implementar desde sus propios flujos, accesos e integraciones. Así que estamos dispuestos a colaborar con todo el ecosistema. La curva de aprendizaje del sector en estos eventos ha sido muy valiosa.

(B/CDR)¿En este caso qué estamos viendo hoy? ¿Cuál crees que es el nódulo de la cadena con mayor vulnerabilidad?

(AV): Hoy todos los eslabones de la cadena, puestos, accesos y puntos son vulnerables, y por fortuna todos los actores ya los tienen mapeados y están trabajando en ellos, pero es clave estar alerta y entre todos identificar los que nadie está mirando: ahí está el reto. También es clave asegurar los accesos de las personas en home office y fortalecer cargos, como el de los supervisores de campañas, que tienen acceso especial a la Data.

(B/CDR): Sí, como tú lo dices, estamos ante un reto de todo el ecosistema. Bancos, fintech, BPO, proveedores tecnológicos, reguladores y gremios comparten una misma realidad: La seguridad ya es un desafío sistémico. Y como tal, requiere, estándares comunes, mayor coordinación y espacios de diálogo sectorial. Yo, en lo personal, no estoy de acuerdo con que estas situaciones se traten de silenciar. Al contrario, creo que entre más información se tenga, más confianza se construye, y se logra activar una gran barrera de contención que es la actuación de todo el ecosistema con inteligencia colectiva. Nada más valioso que el aprendizaje de actores de la cadena que ya han superado estas situaciones y han salido fortalecidos.

Realmente estamos ante uno de los ecosistemas más fuertes de la industria. El sector de crédito y cobranza en Colombia ha demostrado resiliencia, innovación y capacidad de adaptación. Los BPO y Empresas de Cobranza son de los sectores más preparados, con más exigencias en tecnología; la mayoría cuenta con certificaciones del más alto nivel. La ciberseguridad siempre ha sido un eje estratégico y una prioridad.

Por esto, es clave pasar de la reacción individual, el silencio o la lectura de un caso aislado, a la prevención colaborativa para seguir construyendo un ecosistema más fuerte, más transparente y preparado. Porque en esta nueva realidad, proteger la información es proteger la confianza. Y la confianza es, sin duda, el activo más valioso de nuestra industria.

(B/CDR): Ya para terminar - Alejandro, cuál es tu mensaje final sobre esta situación:

(AV): No estamos hablando de un riesgo futuro. Ya está pasando. Los atacantes están encontrando sus detonadores más fáciles, en los bordes del ecosistema, no en el centro. Las organizaciones que saldrán fortalecidas de este momento serán aquellas que conviertan esta coyuntura en el impulso definitivo para madurar su postura de seguridad. No porque les toque, sino porque entienden que proteger la información de sus clientes es parte esencial de lo que significa hacer bien su trabajo.

(B/CDR): Ese es el mensaje que queremos dejarle a la industria: la seguridad ya no es un atributo individual, es un bien colectivo. Y si no actuamos como ecosistema, el mismo ecosistema se convierte en nuestra mayor vulnerabilidad.

Lo que está ocurriendo hoy en la industria no es un episodio aislado: es un punto de inflexión. Así como ocurrió en el mundo fintech, estamos entrando en una fase de selección natural, donde solo sobrevivirán los actores capaces de operar con estándares de seguridad, gobernanza y resiliencia equivalentes a los más altos del sistema. No es el fin del sector, es su madurez. Tal como pasó con el BNPL después de su purga global, los márgenes, las presiones regulatorias y los incidentes recientes no anuncian un colapso, sino una evolución inevitable: la transición hacia modelos más sólidos, más transparentes y más seguros. En este nuevo entorno, los eslabones más débiles —aquellos que no fortalezcan su tecnología, sus controles y su capacidad de protección de datos— enfrentarán el destino natural de los sistemas complejos: ser absorbidos, desplazados o volverse irrelevantes. En cambio, quienes entiendan que la única forma de competir en la siguiente etapa es elevar sus estándares al nivel más exigente del ecosistema, dejarán de ser puntos vulnerables y se convertirán en piezas críticas de una cadena que ya no tolera fragilidad. La industria está siendo puesta a prueba, y esta vez, la supervivencia no será cuestión de tamaño, sino de capacidad de adaptación.