Banca móvil segura en Colombia 2026: consejos y qué hacer si le roban

La banca móvil segura en Colombia es posible si conoce los tipos de fraude y los mecanismos de protección. Los bancos colombianos están obligados por la Circular 029/2014 de la Superintendencia Financiera a implementar medidas de seguridad en sus canales digitales, y la Ley 1328/2009 (Estatuto del Consumidor Financiero) establece sus derechos cuando es víctima de fraude. Si una transacción no autorizada ocurre, tiene entre 24 y 48 horas para notificar al banco y activar el proceso de reversión. Consulte sus derechos en superfinanciera.gov.co.

En 2026, más del 60% de las transacciones bancarias en Colombia se realizan desde el celular. Esto ha convertido la banca móvil en el principal canal de fraude: estafadores simulan ser bancos, crean apps falsas y realizan llamadas engañosas para obtener claves y acceder a las cuentas. Conocer los métodos de ataque es la mejor defensa.

Los cinco tipos de fraude más comunes en banca móvil

Tipo de fraudeCómo operaSeñal de alerta
PhishingCorreo o SMS falso con enlace que imita el bancoURL diferente al dominio oficial; pide clave completa
VishingLlamada telefónica fingiendo ser el bancoPide OTP, clave o datos de tarjeta por teléfono
App falsaAplicación que imita la app del banco en tiendas no oficialesNo está en Google Play o App Store oficiales
SIM swappingEngañan al operador móvil para duplicar su SIM y recibir OTPSu celular pierde señal sin razón aparente
Ingenería socialSe hacen pasar por soporte técnico del banco por chat o WhatsAppEl banco no contacta por WhatsApp para pedir claves

Reglas básicas de seguridad en la app del banco

  • Descargue solo desde Google Play o App Store: nunca desde enlaces en correos, SMS o WhatsApp. Verifique que el nombre del desarrollador sea el banco oficial.
  • Active la autenticación biométrica (huella o face ID) en la app. Es más seguro que el PIN numérico.
  • Use redes Wi-Fi públicas solo para consultas: nunca para hacer transferencias. En redes públicas, los hackers pueden interceptar el tráfico.
  • No comparta su OTP (clave de un solo uso) con nadie. El banco jamás le pedirá el OTP por teléfono, chat o correo.
  • Revise el extracto móvil semanalmente. La detección temprana de transacciones extrañas es clave para revertirlas a tiempo.
  • Bloquee la tarjeta desde la app si la pierde antes de llamar al banco: en Bancolombia, Davivienda, Nequi y la mayoría de bancos la app permite bloqueo instantaneo.

Qué hacer si detecta una transacción no autorizada

  1. Notifique al banco de inmediato: llame a la línea de fraudes del banco (disponible 24/7 en todos los bancos grandes) o reporie en la app. La Circular 029/2014 SFC establece que debe notificar “en el menor tiempo posible” para activar el mecanismo de reversión.
  2. Bloquee la tarjeta o cuenta comprometida desde la app o en la llamada.
  3. Cambie sus claves: contraseña de la app, PIN de la tarjeta, correo electrónico vinculado.
  4. Solicite formalmente la reversión o reclamo: el banco tiene la obligación de atender el reclamo y responder en los plazos establecidos por la SFC (generalmente 15 días hábiles).
  5. Si el banco niega el reclamo sin justificación: presente queja ante la SFC (superfinanciera.gov.co → “Servicio al ciudadano”) o ante el Defensor del Consumidor Financiero de la entidad.

Sus derechos según la Ley 1328/2009

El Estatuto del Consumidor Financiero (Ley 1328/2009) le otorga:

  • Derecho a recibir información completa y veraz sobre los productos y sus riesgos.
  • Derecho a presentar reclamos y recibir respuesta en los plazos establecidos.
  • Derecho a acceder al Defensor del Consumidor Financiero de cada entidad (de forma gratuita).
  • Derecho a presentar queja ante la SFC si la entidad no responde o responde de forma injustificada.

Si el fraude ocurrió por falla en los sistemas del banco (no por descuido del usuario), el banco es responsable de restituir los fondos. Si ocurrió porque el usuario entregó voluntariamente su clave a un tercero (aunque mediara engaño), la responsabilidad puede ser compartida o del usuario, dependiendo del caso. La SFC ha expedido doctrina sobre estos casos.

Ejemplo: Luz Marina y el vishing de “Bancolombia”

Luz Marina recibió una llamada de un número que parecía el de Bancolombia. El “asesor” le dijo que su cuenta había sido comprometida y le pidió el OTP para “protegerla”. Luz Marina lo compartió y en segundos le transfirieron $2.800.000. Llamó al banco en 20 minutos. Bancolombia bloqueó la cuenta y abrió el caso de fraude. Después de 12 días hábiles, el banco determinó que la transacción fue forzada por ingeniería social y le restituyó los $2.800.000. La clave: notificar rápidamente. Si hubiera esperado 48 horas, la reversión habría sido más difícil.

Cómo proteger la app del banco en su celular: configuración mínima

Más allá de no compartir claves, hay configuraciones específicas que reducen drásticamente el riesgo de fraude en banca móvil:

  • Active el bloqueo de pantalla biométrico: huella o reconocimiento facial para desbloquear la app son más seguros que el PIN, que puede observarse fácilmente.
  • Desactive el acceso a SMS de apps desconocidas: el fraude por SIM swapping funciona interceptando el código OTP que llega por mensaje. En ajustes del celular, revise qué apps tienen permiso para leer SMS.
  • Active las notificaciones push de su banco: cada transacción debe generar alerta inmediata. Si una compra se procesa y usted no recibe notificación, revise los ajustes de la app.
  • Use siempre la red móvil (datos del operador), no wifi público: las redes abiertas en aeropuertos, cafeterias y centros comerciales son vulnerables a ataques de intermediario (man-in-the-middle). El 4G/5G de su operador es cifrado y más seguro.
  • Actualice la app del banco cada vez que haya nueva versión: las actualizaciones incluyen parches de seguridad. La Circular 029 de la Superfinanciera obliga a los bancos a publicar actualizaciones de seguridad en menos de 30 días desde que se detecta una vulnerabilidad.

Preguntas frecuentes sobre banca móvil segura

¿Qué hago si me roban el celular con la app del banco abierta?

Llame de inmediato a la línea de emergencias del banco para bloquear el acceso. Luego, desde otro dispositivo, cambie las claves si el banco lo permite remotamente. Comunique el robo a la Policía y a su operador móvil para bloquear la SIM y evitar SIM swapping. La mayoría de apps bancarias se cierran automáticamente tras cierto tiempo de inactividad, pero no dependa de eso.

¿Cómo identifico una llamada falsa del banco?

El banco nunca le pedirá el OTP, PIN completo, número de tarjeta ni clave de internet por teléfono. Si una llamada entrante “del banco” le pide estos datos, cuelgue inmediatamente y llame usted al número oficial del banco (el que aparece en la app o en el reverso de su tarjeta) para verificar si había alguna alerta real. Los estafadores pueden hacer que su número parezca el del banco (“spoofing”), así que la identidad del número llamante no es garantía.

¿Qué pasa si instalé una app falsa del banco?

Desinstale la app falsa de inmediato. Cambie las claves de su cuenta bancaria y de su correo electrónico vinculado desde otro dispositivo. Contacte al banco para reportar el incidente y que monitoreen la cuenta. Si ya hubo alguna transacción irregular, repórtela también. Las apps falsas pueden estar diseñadas para robar credenciales en segundo plano, así que no espere a ver si “pasó algo”: actúe de inmediato.

¿Puedo recuperar el dinero si me hicieron una transferencia errónea?

Si usted envió la transferencia a la cuenta equivocada por error propio, el banco puede solicitar la reversión al banco receptor, pero no está obligado a garantizar la devolución: depende de si hay fondos en la cuenta destino. Notifique inmediatamente, radique el reclamo formal y si no hay respuesta positiva, acuda a la SFC. Si la transferencia fue parte de una estafa, el caso cambia y puede iniciar proceso penal.

¿Dónde reportar fraude en banca móvil?

Primero, directamente al banco a través de su línea de fraudes (disponible 24/7). Segundo, ante la Superintendencia Financiera (superfinanciera.gov.co) si el banco no atiende o niega el reclamo. Tercero, ante la Fiscalía si hay estafa o suplantación (fiscalia.gov.co). Si hubo amenazas o coacción, incluya también el reporte a la SIJIN (Policía Nacional).


Consulte más en el pilar de Bancario y Financiero. Le puede interesar recuperar plata después de estafa bancaria y Daviplata Colombia.

Scroll to Top