La Superintendencia Financiera de Colombia mantiene publicadas recomendaciones de seguridad para prevenir el fraude en canales y operaciones financieras. Aunque muchas de esas alertas suelen leerse desde la óptica del consumidor, también son especialmente relevantes para empresas que autorizan pagos, reciben instrucciones por correo o WhatsApp, manejan banca virtual o dependen de tesorería, cartera, compras y gerencia para mover dinero.
Según la fuente consultada, el mensaje de fondo es claro: el fraude digital no solo es un problema tecnológico. También es un problema de procedimiento, validación interna, segregación de funciones y conservación de soportes.
¿Qué cambió y por qué importa a las empresas?
Más que una norma nueva, lo relevante es la insistencia de la autoridad en prácticas de prevención frente a suplantación, enlaces falsos, robo de credenciales, manipulación de instrucciones de pago y uso inseguro de canales digitales.
Para una empresa colombiana, esto importa porque un fraude de tesorería rara vez nace únicamente en el banco. Con frecuencia aparece por fallas internas como estas:
- Falta de doble validación para cambios de cuentas bancarias de proveedores.
- Aprobaciones de pago hechas solo por chat o llamada.
- Instrucciones urgentes sin confirmación independiente.
- Usuarios compartidos en banca empresarial.
- Soportes incompletos sobre quién pidió, revisó y aprobó una transferencia.
- Ausencia de protocolos cuando un proveedor informa cambio de cuenta o datos de contacto.
En otras palabras, la contingencia puede terminar siendo financiera, contractual, disciplinaria e incluso probatoria.
Riesgos empresariales que suelen pasar desapercibidos
Cuando una empresa sufre un fraude por suplantación o una transferencia irregular, el problema no se limita a la pérdida del dinero. También pueden abrirse otros frentes:
- Reclamaciones entre empresa y proveedor por pagos enviados a cuentas no autorizadas.
- Discusiones internas sobre negligencia de empleados o incumplimiento de protocolos.
- Debilidades de control que afectan auditoría, revisoría fiscal o gobierno corporativo.
- Exposición de datos personales o corporativos por uso inseguro de correos, formularios o mensajería.
- Dificultades para demostrar trazabilidad en eventuales procesos judiciales o administrativos.
Por eso, este tipo de orientación pública conecta directamente con temas de derecho comercial, derecho administrativo y con la necesidad de ordenar procesos mediante outsourcing legal para empresas.
Qué debería revisar una empresa colombiana de inmediato
Validación de instrucciones de pago
Toda instrucción sensible debería tener un canal de confirmación distinto al que la originó. Si el cambio de cuenta llegó por correo, no conviene validarlo respondiendo ese mismo correo sin más. Si llegó por WhatsApp, no debería ejecutarse solo con captura de pantalla o audio.
Revise al menos:
- Quién puede solicitar cambios de cuenta bancaria.
- Qué documentos mínimos exige la empresa para aceptarlos.
- Quién confirma la autenticidad con el proveedor o cliente.
- Qué evidencia queda de esa validación.
- En qué casos se activa una aprobación extraordinaria.
Segregación de funciones
Una sola persona no debería concentrar solicitud, validación, carga y aprobación final del pago, especialmente en montos altos o pagos no rutinarios.
Conviene verificar:
- Separación entre compras, tesorería y aprobación gerencial.
- Topes de autorización por cargo.
- Reemplazos temporales cuando hay vacaciones, incapacidades o ausencias.
- Controles para evitar claves compartidas o accesos genéricos.
Cambios de datos de proveedores y clientes
Uno de los fraudes más frecuentes ocurre cuando un tercero aparentemente legítimo avisa que cambió su cuenta bancaria.
Antes de modificar datos, revise:
- Si existe formato interno para actualización de datos.
- Si se exigen soportes consistentes con el titular real.
- Si la empresa hace verificación por un canal previamente conocido.
- Si queda trazabilidad de fecha, hora, responsable y soportes.
Este punto además se relaciona con protección de datos, archivo y manejo documental, no solo con tesorería.
Uso de banca virtual y credenciales
Las recomendaciones de seguridad de la autoridad son una alerta para no normalizar prácticas riesgosas dentro de la empresa.
Revise si hoy existe alguno de estos problemas:
- Claves compartidas entre áreas.
- Tokens o dispositivos usados por terceros sin control formal.
- Equipos sin restricciones para operaciones bancarias.
- Falta de bitácora sobre creación, modificación o retiro de usuarios.
- Empleados retirados que conservan accesos o información sensible.
Manejo de urgencias y pagos excepcionales
Muchos fraudes se apoyan en la presión: “páguelo ya”, “el gerente lo autorizó”, “se cae el negocio”, “estoy en reunión y no puedo contestar”.
La empresa debería tener un protocolo específico para pagos urgentes que incluya:
- Confirmación reforzada de identidad.
- Doble aprobación cuando no hay soporte habitual.
- Registro de la razón de la excepción.
- Revisión posterior por auditoría o control interno.
¿Qué áreas de la empresa deberían involucrarse?
Este no es un asunto exclusivo de sistemas. Normalmente deberían participar varias áreas:
- Gerencia, para definir topes y excepciones.
- Tesorería, para ejecutar pagos con control.
- Compras, para depurar altas y cambios de proveedores.
- Cartera, para validar instrucciones de recaudo y devoluciones.
- RR. HH., si el protocolo incluye responsabilidades disciplinarias o accesos de personal.
- Jurídica, para ajustar políticas, matrices, cláusulas contractuales y soporte probatorio.
Señales de alerta que justifican revisión jurídica y operativa
Una empresa debería revisar sus procesos con más cuidado si ya ocurrió alguna de estas situaciones:
- Pagos a cuentas distintas a las pactadas originalmente.
- Instrucciones relevantes recibidas solo por chat.
- Proveedores que cambian datos sin expediente completo.
- Falta de actas o matrices de autorización de pagos.
- Conflictos internos sobre quién aprobó una operación.
- Usuarios activos de exempleados o contratistas.
- Cobros difíciles de recuperar por mala trazabilidad documental.
Si su empresa ya detectó uno o varios de esos síntomas, no se trata solo de “mejorar el proceso”. Puede ser necesario ordenar contratos, poderes, accesos, soportes y protocolos de validación para disminuir exposición futura.
Cómo aterrizar esta alerta en decisiones concretas
Una salida práctica suele incluir tres frentes simultáneos:
- Ajuste documental de políticas, formatos y matrices de aprobación.
- Revisión contractual con proveedores y terceros sobre cambios de datos e instrucciones válidas.
- Entrenamiento interno para gerencia, tesorería, compras y cartera.
Esto permite que el control no dependa de la memoria de una persona ni de mensajes dispersos en correo o WhatsApp.
Una oportunidad para ordenar la operación, no solo reaccionar al fraude
En muchas pymes y empresas medianas, los riesgos de fraude digital revelan un problema más amplio: procesos sensibles sin diseño jurídico-operativo suficiente. Allí el apoyo continuo puede ser más útil que una reacción aislada cuando ya ocurrió el incidente.
Si su empresa necesita revisar matrices de autorización, protocolos de validación, manejo de proveedores, soportes para pagos o coordinación entre áreas, puede conocer nuestro servicio de outsourcing legal para empresas. Si prefiere una revisión puntual de su caso o de sus procesos actuales, también puede escribirnos a través de contacto.
Una revisión preventiva bien hecha no elimina todo riesgo, pero sí ayuda a que la empresa decida mejor, documente mejor y responda con más orden cuando aparezca una contingencia.