Hay un momento específico del año en que millones de colombianos hacen exactamente lo que los ciberdelincuentes necesitan que hagan, actuar rápido, sin verificar, bajo presión. Se llama temporada de impuestos.

No es una ventana de oportunidad accidental. Es una fecha marcada en el calendario del cibercrimen con la misma anticipación con que un contador marca las fechas límite de la DIAN. El estrés por cumplir plazos, la expectativa legítima de comunicaciones oficiales, el miedo a una sanción o a perder un beneficio. Todo eso construye el estado mental ideal para que un correo falso, un mensaje de WhatsApp o una notificación urgente funcionen exactamente como fueron diseñados para funcionar.

El phishing y el compromiso de correos electrónicos representan aproximadamente el 47% del total de incidentes cibernéticos durante esta época, según el análisis de Olubukola Sanni publicado en Futurity Proceedings en 2025. Y el 78% de los especialistas en ciberseguridad identifica al empleado sin formación, no al sistema sin parche, como la principal vulnerabilidad en este período. La tecnología no es el eslabón más débil, pero si las personas bajo presión.

Lo que están haciendo en Colombia ahora mismo

La suplantación de la DIAN es el vector más activo y el más efectivo porque explota algo que los colombianos tienen muy presente durante la declaración de renta, el miedo a cometer un error frente a la autoridad tributaria.

Las autoridades han detectado el envío masivo de correos fraudulentos desde direcciones como asesor.juridico@dian.gov.org y asesorjuridico@dian.gov.org. El detalle que muchos pasan por alto es que el dominio legítimo de la DIAN termina en @dian.gov.co, no en .org ni en ninguna otra variación. Esos correos contienen enlaces que instalan troyanos diseñados específicamente para capturar claves bancarias. No cifran archivos ni piden rescate, operan en silencio mientras el usuario continúa su rutina sin saber que alguien más tiene acceso a sus credenciales financieras.

En paralelo, circulan por WhatsApp y Facebook mensajes que ofrecen remates de vehículos a precios bajos en ciudades como Tunja, Popayán y Barrancabermeja, supuestamente incautados por la DIAN o el Ministerio de Hacienda. El mecanismo psicológico es diferente al del miedo, es la codicia, que funciona igual de bien. También circulan cobros urgentes por aranceles de importación de envíos retenidos, usando la misma lógica de urgencia pero desde el ángulo de la amenaza en lugar de la oportunidad.

Pero no es solo un problema colombiano. En Estados Unidos, el IRS documentó páginas falsas que prometían devoluciones de impuestos para capturar números de seguridad social. En España, la Agencia Tributaria alertó sobre correos maliciosos enviados desde una dirección que parecía oficial pero no lo era. El patrón es idéntico en todos los países porque explota el mismo estado mental universal.

El daño que nadie reporta en las estadísticas financieras

Cuando un ciberataque fiscal ocurre, el relato estándar se centra en cuánto dinero se perdió. Esa métrica, aunque real, deja fuera el costo que los afectados describen como más duradero.

Un estudio de la Universidad de Portsmouth titulado Victims of Computer Misuse entrevistó a víctimas de delitos informáticos y encontró algo que contradice la intuición de muchos: el impacto psicológico de un ciberataque es comparable, o incluso peor, al de delitos físicos como el robo con violencia. Las cifras que emergen de ese estudio son difíciles de ignorar.

• El 75% de las víctimas reportó niveles altos de estrés.
• El 70% sufrió ansiedad.
• El 53% tuvo dificultades para dormir.
• El 45% experimentó episodios de pánico.

Y dos datos que hablan de algo más profundo que la pérdida económica: el 51% sintió vergüenza por haber caído en el engaño, y el 43% experimentó aislamiento, la sensación de que nadie más entendería cómo alguien "inteligente" puede ser víctima de esto.

Esa vergüenza tiene consecuencias prácticas que van más allá del bienestar personal. Una víctima que siente vergüenza no reporta el delito. No advierte a sus contactos. No busca ayuda. Y el ciberdelincuente que sabe esto, y lo sabe, puede seguir operando sin que nadie lo documente. El subregistro de ciberdelitos en Colombia y en toda la región latinoamericana está directamente relacionado con ese silencio.

Lo que las víctimas entrevistadas describieron con más angustia no fue la pérdida del dinero sino la violación de la privacidad. Sentir que alguien tuvo acceso a sus cuentas, sus documentos, potencialmente información de sus familias. Esa sensación de exposición permanente no desaparece cuando se cambian las contraseñas.

Cómo funciona la ingeniería emocional del atacante

Un ciberdelincuente que diseña una campaña de phishing fiscal no está probando suerte. Está aplicando principios de psicología del comportamiento con la misma precisión que aplicaría un publicista de alto presupuesto.

1. El principio de autoridad hace que un correo con el logo de la DIAN, un número de radicado y lenguaje formal active en el receptor el mismo reflejo condicionado que activa una carta física de la entidad.
2. El principio de urgencia, con frases como "tiene 48 horas para regularizar su situación o se iniciará proceso sancionatorio", desactiva la verificación crítica porque el cerebro humano bajo amenaza de consecuencia inmediata prioriza la acción sobre la reflexión.
3. El principio de escasez aplicado al remate de vehículos, con mensajes como "solo quedan 3 unidades disponibles", activa el mismo mecanismo pero desde el deseo en lugar del miedo.

Lo que hace especialmente efectiva la temporada fiscal es que combina los tres al mismo tiempo. El usuario espera comunicaciones de impuestos, tiene fechas límite reales que cumplir, y sabe que las consecuencias de no actuar pueden ser sanciones económicas. En ese estado, la capacidad de verificación crítica está sistemáticamente comprometida.

Qué hacer antes de hacer clic

La defensa más efectiva contra estos ataques no tiene precio de licencia anual ni requiere configuración técnica. Es un hábito: la pausa antes de hacer clic.

Antes de abrir cualquier enlace o adjunto que supuestamente provenga de la DIAN, hay que verificar que el remitente termina exactamente en @dian.gov.co, no en .org, no en .gov.org, no en ninguna variación. Si hay duda sobre si un enlace es legítimo, la Policía Nacional habilitó una herramienta pública de sandbox para esto: https://cc-csirt.policia.gov.co/servicios/sandbox. Se pega el enlace sospechoso, el sistema lo analiza en un entorno seguro y reporta si contiene elementos maliciosos.

Si recibiste un correo o mensaje sospechoso, o si ya caíste en uno, el canal oficial para reportarlo es el CAI Virtual de la Policía Nacional: https://caivirtual.policia.gov.co. Reportar no recupera el dinero perdido, pero sí alimenta la inteligencia que permite identificar las campañas activas y proteger a otros.

Los trámites y pagos legítimos de la DIAN se realizan únicamente en www.dian.gov.co. No existe una DIAN que contacte por WhatsApp para ofrecer remates de vehículos ni que envíe cobros urgentes desde dominios .org.

La ciberresiliencia como decisión y no como tecnología

Colombia avanza en la dirección correcta con la Estrategia Nacional de Seguridad Digital 2025-2027, que entre sus ejes incluye la construcción de una cultura de ciberresiliencia y la mejora de la capacidad de respuesta ante incidentes. Pero las estrategias nacionales tienen un límite, no pueden llegar al momento exacto en que un contribuyente estresado abre su correo a media noche y en la fecha límite de declaración con un mensaje de la DIAN diciéndole que tiene una notificación urgente.

Ese momento es individual y la defensa en ese momento es individual también.

El antivirus más caro no protege a alguien que voluntariamente descarga un archivo adjunto convencido de que es un formulario oficial. El firewall más robusto no intercepta a un usuario que entrega sus credenciales bancarias en una página falsa que parece idéntica a la real. La tecnología defiende perímetros. La educación defiende decisiones.

La pregunta que muchos evitan hacerse es la más importante: si recibes ahora mismo un correo con el logo de la DIAN diciéndote que tienes una notificación pendiente con fecha límite de 24 horas, ¿verificarías el dominio del remitente antes de hacer clic, o harías clic primero y revisarías después?

La respuesta honesta a esa pregunta define tu nivel real de exposición durante la temporada de impuestos.