Esta vulneración permitió que terceros delincuentes tomaran el control de sus líneas telefónicas.
Bogotá – 29 de mayo de 2026La Superintendencia de Industria y Comercio (SIC) impuso una sanción financiera a Colombia Telecomunicaciones S.A. ESP BIC (Movistar). La multa asciende a 1.358.672.968 pesos. El motivo de la decisión judicial fue la vulneración de los derechos de los usuarios de servicios de comunicaciones. Específicamente, el ente de control comprobó que la compañía se abstuvo de utilizar herramientas tecnológicas idóneas para verificar la identidad de los ciudadanos en los trámites de reposición de tarjetas SIM.
Por lo tanto, la investigación administrativa se originó tras múltiples denuncias radicadas por usuarios afectados. Las víctimas manifestaron haber perdido de forma imprevista la señal de sus equipos móviles. Posteriormente, al comunicarse con el operador, descubrieron que se habían autorizado reposiciones de sus tarjetas SIM sin su consentimiento. Esta vulneración permitió que terceros delincuentes tomaran el control de sus líneas telefónicas. Como consecuencia de la pérdida de dominio del número celular, se ejecutaron transacciones financieras fraudulentas no autorizadas en sus cuentas bancarias.
En consecuencia, el organismo de vigilancia evaluó los protocolos internos de seguridad de la firma de telecomunicaciones. Tras el análisis técnico, la Dirección de Investigaciones de Protección de Usuarios de Servicios de Comunicaciones concluyó que Movistar omitió la adopción de mecanismos de validación biométrica o digital avanzados. Estos sistemas resultan indispensables para prevenir accesos no autorizados sobre las líneas telefónicas de los suscriptores.
El impacto operativo del fraude por suplantación de identidad
La conducta descrita por la autoridad reguladora se conoce en el entorno tecnológico y financiero como SIM Swapping. A pesar de que el operador de telecomunicaciones no ejecuta directamente el fraude, la normatividad vigente lo obliga a implementar barreras de protección eficaces. La falta de diligencia expone los datos personales de los clientes a riesgos sistemáticos de suplantación.
Adicionalmente, el expediente de la SIC demostró deficiencias en los procesos de atención al cliente de Movistar. La empresa telefónica negó la ocurrencia de los hechos reportados mediante las Peticiones, Quejas y Recursos (PQR) interpuestas por los afectados. De igual manera, la compañía no acreditó de forma suficiente ante los usuarios las razones técnicas de dicha negativa. Todo ello ocurrió a pesar de las pruebas aportadas por los ciudadanos sobre la pérdida de control de sus plataformas digitales y bancarias vinculadas.
Por esta razón, la superintendencia impartió una orden administrativa de carácter particular de ejecución obligatoria. La disposición exige a Movistar el fortalecimiento inmediato de sus metodologías de autenticación de identidad. Con esta instrucción, el ente rector busca reducir de manera drástica el riesgo de incidentes de seguridad hídrica e informática en los canales de atención del sector.
Recursos legales y debido proceso sectorial
A pesar de la contundencia de la resolución administrativa, la sanción pecuniaria adoptada por la SIC no se encuentra en firme. Contra el acto administrativo sancionatorio proceden los recursos legales contemplados en el ordenamiento jurídico colombiano. La compañía prestadora de servicios públicos puede interponer el recurso de reposición ante la propia Dirección de Investigaciones de Protección de Usuarios.
Asimismo, la firma tiene la opción de radicar el recurso de apelación ante la Delegada para la Protección del Consumidor. A través de estas herramientas de defensa, la multinacional podrá controvertir los hallazgos técnicos expuestos por el supervisor estatal. No obstante, el pronunciamiento actual de la superintendencia reitera el endurecimiento de la vigilancia estatal sobre las obligaciones de los operadores privados de conectividad en el país.
Para los analistas del sector de telecomunicaciones, los gestores de fondos de inversión y los oficiales de cumplimiento de la banca digital, esta sanción pone de presente el riesgo de correlación operativa entre las empresas de telecomunicaciones (Telcos) y el sector Fintech. El SIM Swapping debilita los esquemas de autenticación basados en mensajes de texto (segundo factor de autenticación o 2FA), trasladando el riesgo operativo del operador hacia las entidades financieras de depósito. Por consiguiente, los inversores deben prever un incremento en los gastos de capital (CapEx) de las empresas de telecomunicaciones para actualizar sus sistemas hacia tecnologías descentralizadas o biometría dactilar y facial obligatoria, con el fin de evitar contingencias legales que deterioren el valor de la marca.
