Fraude de Nómina en Empresas Colombianas: El Riesgo Que Viene de Adentro y Cómo Identificarlo Antes de que Escale

En 2023-2024, una red delictiva infiltró 16 empresas colombianas mediante una técnica simple pero devastadora: correos electrónicos falsificados. Se hacían pasar por gerentes de finanzas o recursos humanos, accedían a portales de nómina, y desviaban depósitos de salarios a cuentas controladas por los criminales. Las pérdidas superaron $500 millones.

Lo paradójico es que en la mayoría de esos casos había cómplices internos. Empleados que facilitaban acceso a portales, compartían credenciales, o desactivaban alertas de seguridad.

Este es el fraude de nómina de nuevo tipo: no viene de afuera. Viene de adentro, aprovechando la confianza operativa que otorga un puesto en administración, TI, o finanzas.

Las empresas colombianas están expuestas a dos riesgos simultáneamente: ataques externos sofisticados de suplantación, y vulnerabilidades internas creadas por empleados con acceso a sistemas críticos que nunca fueron validados adecuadamente antes de ser contratados.

EL NUEVO RIESGO

El fraude de nómina ha evolucionado en tres olas. Hoy estamos en la más peligrosa: redes organizadas que reclutan cómplices internos. Organizaciones criminales identifican empleados en compañías objetivo, los contactan, los comprometen mediante chantaje o dinero, y los convierten en puntos de acceso.

El empleado no comete el fraude activamente. Solo habilita acceso. El daño escala exponencialmente.
¿Por qué ocurre esto ahora? Cuatro factores convergieron:

Saturación de defensas externas:

Las empresas invirtieron en firewalls y autenticación multifactor. Las brechas externas se hicieron más difíciles. Los criminales optimizaron: si no pueden entrar de afuera, reclutan desde adentro.

Exposición de datos de empleados:

Las bases de datos de empleados se filtran en foros delictivos. Los criminales saben qué personas trabajan dónde y quién tiene acceso a qué sistemas.

Presión económica y debilidad de integridad documentada:

Un empleado con antecedentes de fraude anterior o reporte de insolvencia en centrales de riesgo es estadísticamente más vulnerable a ser reclutado. Y si fue contratado sin validación, la empresa nunca supo el riesgo.

Tecnología de suplantación sofisticada:

Es relativamente fácil falsificar un correo de un gerente. Si hay un cómplice interno que valida la orden, la barrera psicológica cae.

CÓMO SE HACE HOY

El fraude de nómina se ejecuta en esta secuencia:

1. Identificación del objetivo: Los criminales obtienen lista de empleados (LinkedIn, bases filtradas). Identifican personas en roles de acceso crítico: contador, especialista en nómina, administrador de sistemas.
2. Contacto y compromiso: Se ofrece dinero fácil o se usa chantaje con información personal obtenida de brechas de datos.
3. Habilitación de acceso: El empleado comparte credenciales, crea un usuario fantasma con permisos administrativos, o desactiva alertas de seguridad.
4. Desvío: Los criminales envían correos suplantando a gerentes y autorizan transferencias. Con complicidad interna validando, las órdenes son aprobadas.
5. Escalada: Una vez que funciona la primera transferencia, se repite hasta que alguien lo detecta.

Limitaciones del proceso actual:

Sin validación previa de integridad:

La empresa contrata a alguien para un rol crítico sin consultar si tiene antecedentes de fraude, insolvencia, o investigaciones administrativas.

La verificación la hace alguien sin perfil de Compliance ni seguridad:

En la mayoría de empresas medianas, quien verifica antecedentes es un auxiliar de RRHH con múltiples funciones simultáneas y sin formación en gestión de riesgo. La verificación se convierte en una lista de chequeo, no en un análisis de riesgo real.

Documentos editados con IA antes de entregarse:

El candidato descarga sus propios antecedentes o certificados y los entrega. Con herramientas de IA hoy disponibles, un PDF puede ser editado de forma imperceptible a revisión visual. Si no se consulta directamente en INPEC, Rama Judicial o Policía Nacional, la empresa está validando un archivo modificable, no un registro oficial.

Confianza operativa excesiva:

Una vez que alguien está en nómina con acceso técnico, se asume que es confiable. No hay re-validaciones periódicas.

Detección posterior débil:

Las empresas descubren el fraude cuando empleados reportan que no recibieron salario completo. Para entonces, el dinero ya se movió.

Culpabilidad compartida mal definida:

¿El empleado fue chantajeado o fue voluntario? Las líneas se difuminan, complicando la acción legal.

«El cómplice interno no hace el fraude. Solo habilita al que sí lo hace. Y si no lo validas antes, no tienes forma de detectarlo después.»

SOLUCIÓN:

La solución tiene dos fases:

Fase 1:

Validación previa exhaustiva. Antes de dar acceso a sistemas financieros, se hace validación completa de integridad. No es optativa. La persona sabe desde la oferta que esto ocurrirá.

Fase 2:

Monitoreo continuo de riesgo. Después de la contratación:

• Alertas de acceso desde IPs inusuales a sistemas de nómina
• Notificaciones de cambios en datos bancarios de empleados
• Revisión periódica (trimestral o anual) de información de integridad
• Auditoría de acceso: quién accedió a qué, cuándo, desde dónde

IMPACTO ESTRATÉGICO

Riesgo Legal:

Si ocurre fraude y se comprueba que no se hizo validación previa de un empleado en rol crítico, la empresa puede ser acusada de negligencia grave. La Superintendencia Financiera puede aplicar sanciones.

Riesgo Operativo:

Si hay fraude de nómina, la función se paraliza hasta que se investiga. Empleados no reciben salarios. Es crisis operativa inmediata.

Riesgo Reputacional:

Los trabajadores pierden confianza en que la empresa gestiona sus salarios correctamente. Socios comerciales cuestionan la estabilidad y governance de la empresa.

CONCLUSIÓN

El fraude de nómina evolucionó de ataques externos sofisticados a reclutamiento de cómplices internos. La puerta de entrada es siempre la misma: un empleado contratado sin validación previa de integridad para un rol de acceso crítico.

La solución no es técnica. No se trata de más firewalls. Se trata de saber quién está accediendo a qué antes de darle la llave.

Una consulta de 4 minutos en HunterX previene pérdidas de $8.5 millones. El ROI es tan claro que es difícil justificar no hacerlo.

Valida integridad en 5 días. Monitoreo continuo incluido.

HunterX consulta antecedentes penales, judiciales, administrativos y reportes de riesgo para roles de acceso crítico. Informe centralizado. Trazabilidad total. Protección legal documentada.

Solicitar Demo → HunterX

REFERENCIAS

1. El Tiempo. «Caen cinco integrantes de red que infiltraba empresas con correos falsos y desvió pagos de nómina.» 2024.
2. Noticias RCN. «Red delictiva desvió más de $500 millones desde 2023 mediante suplantación de correos.» 2024.
3. Policía Nacional de Colombia. Dirección de Delitos Cibernéticos. Reportes de fraude de nómina 2023-2024.
4. Rama Judicial. www.ramajudicial.gov.co
5. Procuraduría General de la Nación. Investigaciones administrativas por fraude laboral.
6. DataCrédito. Central de Riesgo.
7. OFAC. Listas de personas sancionadas.
8. INTERPOL. Aviso rojo y bases de datos.
9. Superintendencia Financiera de Colombia. Directrices de control interno en gestión de nómina.