Es martes a las 7:30 a. m. y Natalia, dueña de una pyme, recibe un correo con asunto “DIAN: declaración de renta 2024”. El logo parece real, el tono es urgente y hay un enlace para “regularizar su estado”. Su asistente le dice que entre de inmediato; ella duda y me escribe: ¿es auténtico? Revisamos dominio, redacción y el código de verificación. Detectamos errores y un remitente sospechoso. Era phishing. Historias así abundan en pymes, freelancers y gerencias que trabajan contra reloj. La buena noticia: existen señales claras, herramientas oficiales y protocolos simples para distinguir comunicaciones reales de la DIAN y proteger tus datos, tu dinero y tu tranquilidad. Desde la experiencia de más de 30 años en contabilidad y tributación, te explico cómo validar, prevenir y actuar sin caer en alarmas falsas ni descuidar tus obligaciones, con ejemplos y verificación oficial.
👉 LEE NUESTRO BLOG, te abrirá los ojos
Informativo + Educativo + Comercial
Me presento: soy Diana Cristina Cardona Cardona, contadora pública con más de 30 años de experiencia en contabilidad general, tributaria, laboral y financiera. En Mi Contabilidad acompaño a empresarios, gerentes e independientes a cumplir bien, sin sobresaltos, integrando normativa y tecnología con el apoyo estratégico de Julio César Moreno Duque, experto en automatización y transformación digital. Porque “La contabilidad no es solo números, es la base para decisiones sólidas y sostenibles.”
El problema real: correos “de la DIAN” que no lo son
Cada temporada de renta proliferan mensajes que presionan con supuestas “urgencias” o “embargos inminentes”. El delincuente sabe que el miedo tributario acelera decisiones. He visto a asistentes de gerencia, dueños de comercio electrónico y profesionales independientes hacer clic en enlaces que les pedían “actualizar datos” o “pagar ya”. Al hacerlo, exponen contraseñas, autorizan transferencias o instalan malware. ¿La constante? El correo no superaba una verificación básica: dominio oficial @dian.gov.co y código alfanumérico validable en el portal institucional. La DIAN dispone una página específica para Verificación de correos DIAN y dos vías de validación: por código alfanumérico o por código QR del comunicado.
Además, la propia herramienta oficial en MUISCA permite ingresar el código de verificación que trae el mensaje, confirmando su autenticidad sin depender del enlace recibido. Esta es la puerta segura para descartar suplantaciones.
Medios de referencia como El Tiempo y W Radio han explicado estos pasos durante la campaña AG 2024, reforzando la regla de oro: nunca pagues, ni des datos bancarios, ni abras adjuntos desde correos dudosos; primero verifica en el portal oficial.
Señales de autenticidad y señales de alerta (con sustento oficial)
En Colombia, las comunicaciones auténticas de la DIAN contienen, sin excepción, un código alfanumérico y pueden incluir un QR para validar el comunicado en el sitio oficial. El procedimiento está explicado en la sección Verificación de correos del portal.
La DIAN insiste en revisar la dirección del remitente: debe terminar exactamente en @dian.gov.co. Variaciones como @dian.co, @dian.org o cuentas gratuitas (@gmail.com, @hotmail.com) son apócrifas. El abecé oficial de seguridad digital lo enfatiza, junto con recomendaciones para no abrir adjuntos ni pinchar enlaces desconocidos.
Algunos boletines periodísticos recogieron cuentas de envío institucional (por ejemplo, comunicaciones@dian.gov.co y notificaciones@dian.gov.co), pero la comprobación definitiva no es “ver el nombre del buzón”, sino validar el código del comunicado en el sitio. Evita asumir autenticidad por “nombre bonito” o logo.
Contexto normativo y operativo actualizado (últimos 12 meses)
La DIAN consolidó en su portal las rutas para verificar comunicados y para educación en ciberseguridad, con materiales descargables y el acceso directo a MUISCA para validar la cadena del correo. Estas páginas han sido la referencia oficial durante 2024 y 2025 y siguen vigentes hoy (23 de octubre de 2025).
En las alertas de 2024 la recomendación fue insistente: no se envían enlaces para pagar ni se piden datos bancarios por correo; toda gestión se hace por canales oficiales, autenticándose en MUISCA.
Mi lectura profesional: la seguridad tributaria no se limita a “no caer en phishing”. Está entrelazada con control interno, SARLAFT/SAGRILAFT, protección de datos y gestión documental. Un clic impulsivo puede acabar en sanciones, fugas de información y reprocesos contables. Por eso articulamos la verificación técnica (con Julio César) y la gestión normativa y de riesgos (con Mi Contabilidad).
Lecciones del mundo: misma estafa, distintos acentos
Este fenómeno es global y los reguladores convergen en tres ideas: verifica en el portal, no confíes en enlaces, nunca compartas datos confidenciales por mensajes.
-
España (AEAT): durante la campaña de Renta 2024, la Agencia Tributaria advirtió campañas de smishing y phishing con supuestas devoluciones y enlaces. El consejo: entrar directamente a la sede electrónica y no descargar adjuntos.
-
Reino Unido (HMRC): recuerda que sus alertas genuinas no piden información financiera y publica ejemplos de correos trampa y avisos contra estafas cerca del plazo de Self Assessment.
-
Estados Unidos (IRS): subraya señales de estafas fiscales, puntualiza que no exige pagos por teléfono/email con amenazas, y mantiene páginas de reporte de suplantación.
Conclusión: el patrón delictivo es universal. En Colombia tenemos la ventaja de una herramienta oficial de verificación (código/QR) muy clara. Úsala siempre.
Historias que he atendido (nombres cambiados)
Caso “Valeria”, independiente de marketing en Cali. Le llegó un correo con tema “Requerimiento inmediato DIAN – riesgo de sanción”. Al abrir el PDF, saltó un “formulario” de banco. Dudó y nos consultó. Comprobamos que el correo no tenía código alfanumérico y el dominio no terminaba en @dian.gov.co. Validación negativa en el portal. Se evitó filtración de claves. Educamos al equipo: abrir MUISCA en navegador, entrar a Verificación de correos y comprobar.
Caso “Ricardo”, comerciante digital en Medellín. Un asistente clicó un enlace de “actualizar RUT por vencimiento”. Activamos protocolo: corte de accesos, cambio de contraseñas, revisión de sesiones, análisis del dispositivo y reporte. Paralelamente, verificación en el portal de la DIAN: inexistente. Aprendizaje: nadie hace “actualización” por link recibido; se entra por el sitio oficial y se autentica.
Caso “Lucía”, pyme de confección en Bogotá. Recibió un correo “legítimo” con código visible. Lo validamos en la herramienta MUISCA: auténtico. Atendimos el comunicado y cumplimos el requerimiento dentro del plazo, sin estrés. El proceso terminó en tranquilidad, no en pánico.
Método Mi Contabilidad para blindarte (análisis–definición–implementación)
Análisis inicial. Hacemos una revisión de tu bandeja y reglas del correo: mapeamos remitentes, patrones de fraude y brechas. Comprobamos si hay mensajes recientes sin verificación de código/QR. Integramos prácticas de control interno, revisoría fiscal y protección de datos personales. Resultado: línea base de riesgos y plan de mitigación.
Definición estratégica. Diseñamos un protocolo de verificación:
-
Nunca abrir enlaces/adjuntos de un supuesto correo de DIAN.
-
Ir a dian.gov.co → Verificación de correos y validar código alfanumérico o QR.
-
Confirmar autenticidad y, solo entonces, tramitar en MUISCA.
-
Documentar el flujo: quién revisa, quién valida, quién responde.
-
Registrar evidencias (capturas y folios internos).Esto baja drásticamente el riesgo y ordena la respuesta.
Implementación y acompañamiento. Aquí entra Julio César Moreno Duque con automatización y seguridad: endurecemos filtros, activamos MFA en cuentas críticas, definimos buzón “verificación”, bloqueamos ejecutables/URLs riesgosos y creamos alertas. Yo, como tu contadora, reviso normatividad diaria y los comunicados auténticos; tramito lo procedente y dejo registro. Cultura de prevención sobre la operación contable y tributaria. “Construyendo un mundo nuevo; trabajando inteligente para el ingreso de nuestros clientes a la nueva era contable y tributaria.”
Ofertas sin riesgo: primera consulta diagnóstica gratuita de 30 minutos enfocada en verificación de correos tributarios. Y revisión exprés de un correo sospechoso + protocolo mínimo por una tarifa plana asequible.
📅 Agenda: https://outlook.office.com/book/MiContabilidadCom@todoenuno.net.co/
Checklist práctico (narrado) para tu equipo
Cuando llegue un correo “de la DIAN”, la persona responsable respira, mira el remitente y lo coteja con @dian.gov.co. Encuentra un código alfanumérico y ve el QR; en lugar de hacer clic en “pagar aquí”, abre el navegador, entra a dian.gov.co, busca Verificación de correos y valida el código. Solo si el sistema lo reconoce como auténtico, registra el caso y continúa el trámite en MUISCA. Si no hay código, si la redacción es pobre, si hay amenazas de embargo inmediato o si piden datos bancarios, se clasifica como sospechoso: no abrir adjuntos, no responder, no pagar. Se informa al responsable y se archiva como intento de suplantación. Así se convierte en hábito y cultura.
📅 Agenda: https://outlook.office.com/book/MiContabilidadCom@todoenuno.net.co/
¿Por qué esto impacta tu contabilidad, nómina y UGPP?
Si caes en phishing, más allá del susto, llegará el costo oculto: pérdida de horas, reprocesos, exposición de datos de nómina y terceros, inconsistencias en libros y, en algunos casos, pagos indebidos difíciles de recuperar. La UGPP o la DIAN no “exoneran” por haber sido engañados si incumples obligaciones formales o sustanciales. Por eso cruzamos ciberseguridad con cumplimiento tributario y laboral: protocolos, capacitación y evidencia. Así reduces la probabilidad de sanciones, intereses y glosas. Y te concentrás en el negocio.
Comparativo de madurez: tu empresa hoy vs. tu empresa en 90 días
Hoy, sin protocolo, todo depende del “olfato” del asistente. El día que llegue el correo perfecto, ceden. En 90 días, con nuestro acompañamiento, la verificación es automática: cada comunicado auténtico se valida por código/QR y se gestiona eficientemente; los intentos de fraude se documentan y bloquean; el control interno mejora; la gerencia siente tranquilidad; y el contador se ocupa de lo estratégico. Esta es la forma de convertir un riesgo recurrente en una ventaja operativa.
Mirada de autoridad: por qué confiar en nosotros
He dedicado más de tres décadas a estudiar y aplicar normatividad contable y tributaria; me actualizo a diario con la DIAN, UGPP, CTCP, Supersociedades, MinTrabajo y SIC. Julio César complementa con la capa tecnológica que vuelve sencillo lo complejo. Esta combinación nos ha permitido ayudar a pymes de servicios, comercios digitales y profesionales independientes a no caer en fraudes, a verificar correctamente y a cumplir sin estrés. Tomamos inspiración de principios que cambian resultados: De Experto Desconocido a Autoridad Reconocida, Cómo superar el síndrome del impostor, Catapulta tus ventas y Producto Mínimo Viable: claridad, seguridad y rapidez orientadas a acción.
Si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.
