Datos de clientes de múltiples bancos colombianos están siendo vendidos activamente en Dark Web. Los bancos afectados no fueron comprometidos directamente el vector de acceso fue a través de dos proveedores de servicios de cobranza BPO que manejan carteras de clientes de varias instituciones financieras.
Dos empresas de cobranza con presencia regional están en el centro de la investigación. Los propios bancos afectados confirmaron públicamente que el incidente ocurrió en un proveedor externo, no en su infraestructura.
Bancos confirmados afectados: BBVA Colombia · Banco Serfinanza · Nu Colombia (Nubank).
Bancos con posible impacto colateral: Davivienda · Banco Falabella.
Datos expuestos: historiales de cobranza, datos personales completos (cédula, teléfono, dirección), saldos financieros, logs de WhatsApp con agentes, grabaciones de audio de llamadas.
Volumen: millones de registros en circulación activa datos ya disponibles para compra en foros especializados.
¿Por qué es crítico?
El modelo de negocio que hizo posible este incidente es idéntico en toda LATAM. Las instituciones financieras subcontratan cobranza a empresas que, para operar, necesitan acceso completo a datos sensibles de clientes. Eso crea un tercer actor con exposición masiva a PII financiera, con controles de seguridad que raramente reciben el mismo escrutinio que los del banco mismo.
Uno de los proveedores comprometidos declara tener operaciones en 27 países de Centroamérica y el Caribe. El riesgo no es exclusivo de Colombia es regional y estructural. Lo que ocurrió en Colombia puede replicarse en cualquier país donde se use el mismo modelo de externalización de cobranza.
Este patrón ya tiene precedentes en LATAM: el caso Bankingly 2024 comprometió simultáneamente a múltiples instituciones financieras a través de un solo tercero proveedor. La historia se está repitiendo.
Implicaciones para su organización
Si su organización usa proveedores externos para cobranza, soporte o contact center con acceso a datos de clientes, debe responder estas preguntas hoy:
¿Qué datos de sus clientes tienen esos proveedores, exactamente? ¿Pueden exportar la base completa? Si alguien en el proveedor extrajera un millón de registros esta noche, ¿usted lo sabría?
Con los datos ya circulando, espere también una oleada de fraude altamente contextualizado: vishing con contexto de deudas reales, phishing con datos exactos de acuerdos de pago, y suplantación de equipos de cobranza con información que sus propios clientes solo podrían esperar que venga del banco.
Recomendaciones Prioritarias
Máxima Prioridad
Identificar qué datos de sus clientes tienen sus proveedores BPO de cobranza
Si su proveedor puede exportar la base completa de clientes, usted tiene el mismo riesgo que los bancos colombianos. Audite los accesos y controles hoy, no cuando aparezca en un titular.
Crítica
Activar monitoreo de fraude con contexto de cobranza
Espere oleada de vishing y phishing usando datos de deudas, acuerdos de pago y datos personales. Los estafadores ahora tienen el script perfecto y los datos reales para usarlo.
Alta
Auditar accesos de proveedores a bases de datos de clientes
Revisar logs de consultas masivas, exportaciones de alto volumen, accesos fuera de horario. Implementar controles DLP sobre las conexiones del proveedor BPO.
Alta
Revisar contratos y controles de seguridad de BPOs
¿Qué exige contractualmente a sus proveedores? ¿Lo verifica? ¿Tiene derecho a auditoría? Los contratos que solo dicen “medidas adecuadas” no protegen a nadie.
