La inteligencia artificial llegó para transformar industrias, acelerar procesos y abrir oportunidades que antes parecían imposibles. Pero también destapó una cara oscura que Colombia ya está pagando con cifras históricas.
Bogotá (22.432 casos), Medellín (6.520) y Cali (4.622) concentran más de la mitad de los delitos informáticos del país, liderados por hurto por medios informáticos, acceso abusivo a sistemas y suplantación de identidad potenciada con IA (2024).
Solo en el primer semestre de 2025, el país registró más de 7.100 millones de intentos de ciberataques (Fortinet), y concentró el 25 % de todos los incidentes de ciberseguridad documentados en América Latina durante ese período, lo que equivale a 16.500 de los más de 66.000 ataques ocurridos en la región.
Los delitos con IA se multiplicaron y los casos más frecuentes incluyen suplantación de identidad mediante deepfakes, clonación de voz para estafas y extorsiones, uso de plataformas criminales como WormGPT o FraudGPT para automatizar fraudes, y recolección masiva de datos sin consentimiento para entrenar modelos con información privada.
En Colombia, el 71 % de los usuarios reportó haber sufrido algún ataque en internet en el último año, y el 17 % fue víctima de robo de identidad digital entre 2024 y 2025, según el Global Online Safety Survey de Microsoft.
La brecha entre el crimen digital y la capacidad de respuesta del sistema judicial sigue siendo enorme, y el 60 % de las empresas colombianas reconoce no sentirse preparada frente a ataques con IA.
El marco legal ya existe y tiene dientes
Colombia respondió con legislación concreta. La Ley 2502 de 2025 modificó el artículo 296 del Código Penal para establecer que la suplantación de identidad realizada con IA —incluyendo deepfakes— es un agravante penal que puede incrementar las multas hasta en un tercio.
Por primera vez, la norma define conceptos como deepfake, identidad digital e imagen, y le ordena a la Fiscalía General garantizar la trazabilidad de estos casos. Las sanciones específicas por uso de IA entrarán en plena aplicación en julio de 2026, plazo que el Estado usará para desarrollar protocolos, tecnología de detección y cooperación internacional. Esto se suma a la Ley 1581 de 2012, que ya regulaba el tratamiento de datos personales y que se aplica sin distinción del medio tecnológico utilizado.
Lo que muchos desconocen es que la protección de datos no es opcional para quienes desarrollan o implementan sistemas de IA. Obtener consentimiento informado, garantizar los derechos de acceso, rectificación, cancelación y oposición (ARCO), aplicar principios de finalidad y proporcionalidad, e incorporar seguridad desde el diseño no son prácticas opcionales: son obligaciones legales vigentes hoy.
Además, el Proyecto de Ley 43 de 2025, radicado ante el Senado de la República, avanza hacia un marco integral que adopta el enfoque de riesgo del AI Act europeo y nombra a MinCiencias como autoridad nacional en IA.
Ética en IA: de principio abstracto a responsabilidad concreta
Más allá de la norma, el desarrollo responsable de la IA exige un conjunto de principios que todo analista, desarrollador o líder de datos debe dominar. La minimización de datos (recoger solo lo estrictamente necesario), la transparencia algorítmica (explicar cómo funcionan los modelos sin cajas negras), la equidad y la no discriminación (detectar sesgos antes de que el sistema decida sobre personas) y la accountability (documentar cada decisión y mantener auditorías) son el ABC de quien trabaja con esta tecnología.
Los términos de servicio de plataformas como LinkedIn o Instagram prohíben el scraping masivo, y la Ley 1581 protege los datos personales independientemente de dónde se encuentren. La regla es clara: público para ver no equivale a público para usar.
Otro punto crítico es la anonización real. No basta con eliminar el nombre o el número de cédula; la anonización legalmente válida debe ser completamente irreversible. Si con los datos disponibles y conocimiento externo es posible identificar a una persona específica, los datos no están realmente anonimizados, y eso puede derivar en sanciones bajo la normativa vigente.
Colombia como referente y la formación como ventaja competitiva
El país no está rezagado en este debate. Colombia y Brasil lideran los mejores puntajes regionales en marcos de regulación de IA, y con la legislación en curso, quien se forme hoy en estas competencias tendrá una ventaja diferenciadora frente a quienes esperen que la regulación los obligue.
Gartner proyecta que para 2026, el 30 % de los ciberataques de ingeniería social usará contenido generado por IA, lo que hace urgente contar con talento especializado. El MinTIC ya tiene como meta la formación de 10.000 nuevos profesionales en ciberseguridad, IA y datos para ese mismo año.
En Etraining S.A.S. no solo hablamos de IA responsable: la aplicamos en el desarrollo de nuestros propios procesos y la enseñamos en cursos diseñados para que profesionales y equipos dominen las últimas tecnologías con criterio ético, técnico y legal.
La IA es una herramienta poderosa. Usarla bien no es un lujo; es una responsabilidad que, en 2025 y 2026, ya tiene consecuencias penales concretas si se ignora.
¿Tu organización está lista para usar la IA de forma ética, segura y legal? Contáctanos hoy y descubre cómo los programas de Etraining pueden preparar a tu equipo para aprovechar la inteligencia artificial con responsabilidad y ventaja competitiva. Además, te invitamos de la mano de nuestros expertos a escuchar nuestro podcast Tech Life que ahonda este tema: 🎧 Escucha Ética Digital:
Escríbenos en www.etraining.co y da el primer paso hacia una transformación digital que no comprometa tu reputación ni tu cumplimiento normativo.
