Hay una figura en la historia militar que resuena con inquietante claridad en el contexto de la gestión del riesgo público corporativo colombiano del año 2026: el caballo de Troya. Un regalo aparentemente inocente, una propuesta que encaja perfectamente con la necesidad del momento, un proveedor que llega con todas las credenciales en regla — y por dentro, la estructura criminal que lleva meses esperando que la empresa le abra la puerta.
Esta metáfora no es una exageración retórica, sino una representación fiel de la realidad actual. En abril de 2026, la Superintendencia de Vigilancia y Seguridad Privada suspendió las licencias de 31 empresas del sector de vigilancia privada en Colombia, confirmando un patrón que las investigaciones de inteligencia venían documentando desde años antes: compañías que operaban bajo la formalidad de la legalidad pero prestaban sus servicios a organizaciones criminales.
El Clan del Golfo, estructuras paramilitares y otras redes delincuenciales encontraron en el contrato de prestación de servicios un vector de infiltración más efectivo que cualquier acción directa de violencia. Les permitió acceder a información estratégica, instalaciones protegidas, esquemas de escolta y la cobertura legal de portar armas de fuego.
La investigación periodística regional "Contratistas y Criminales" (noviembre de 2024) documentó que, al cruzar las bases de datos de más de 600 personas identificadas en operativos contra estructuras criminales en Ecuador con los registros de contratación estatal y privada, se encontraron 449 contribuyentes ligados a las bandas que habían obtenido contratos formales.
En Colombia, la Fiscalía ha documentado casos en los que gobernadores del departamento de Arauca entregaron contratos públicos a un enlace del ELN. La JEP investiga si contratistas de operaciones petroleras en el Magdalena Medio tuvieron vínculos con estructuras paramilitares. Y los archivos secretos de Calarcá revelaron en 2025 el patrón más sofisticado documentado hasta la fecha: estructuras de las disidencias de las FARC que no solo buscaban infiltrar al Estado sino crear empresas de seguridad fachada para facilitar el movimiento armado del grupo ilegal.
"El agente de infiltración no entra por la puerta principal. Entra por la cadena de contratos. Es un profesional impecable, recomendado por gente de peso, que gana confianza rápidamente y se mueve en los espacios informales donde se toman las decisiones críticas."
Análisis de inteligencia corporativa, Zehirut Colombia, 2025Si el crimen organizado puede llegar a la Dirección Nacional de Inteligencia del Estado, ¿puede también llegar a la junta directiva de una empresa mediana de construcción en el Magdalena, a la cadena de suministro de un operador de energía solar en La Guajira o al equipo de contratistas de mantenimiento de una planta industrial en el Urabá?
El ecosistema de contratistas como mapa de vulnerabilidades
Una empresa que opera en los sectores energético o de construcción en Colombia no gestiona un solo tipo de contratista: gestiona simultáneamente docenas de relaciones contractuales que abarcan diez áreas funcionales completamente diferentes, con más de setenta tipos de contratistas identificados en la práctica sectorial.
Lo que esta diversidad crea no es solo complejidad operacional: crea una verdadera complejidad de factores de riesgo público. Cada tipo de contratista tiene un perfil de vulnerabilidad diferente, expone a la empresa a amenazas diferentes y requiere controles de seguridad diferentes.
La pregunta que toda organización que opera en Colombia debe hacerse no es si alguno de sus contratistas podría estar vinculado a economías criminales. La pregunta correcta es cuáles de sus contratos representan el mayor factor de riesgo público de ser utilizados como vector de infiltración, qué información o accesos podría obtener un contratista comprometido y qué controles existen hoy para detectar si eso está ocurriendo.
Los cinco mecanismos de infiltración criminal a través del contrato
Entender cómo operan los grupos criminales cuando utilizan el contrato como vector de penetración es la condición para diseñar las barreras que los detienen. Los cinco mecanismos documentados no son mutuamente excluyentes y con frecuencia operan de manera simultánea o secuencial.
El mecanismo más documentado y más difícil de detectar es la creación de empresas formalmente constituidas, con RUT activo, con experiencia acreditada y con capacidad técnica aparente, cuyo propósito real es obtener contratos que les permitan acceder a recursos, instalaciones o información de la empresa objetivo.
El caso Agusegpro en Ecuador ilustra este mecanismo con precisión: empresa de seguridad dirigida por miembros de una estructura criminal que obtuvo contratos con empresas del sector energético por 2,4 millones de dólares, ejecutaba los contratos con aparente normalidad y pasaba sin problemas los filtros de verificación rutinarios.
La detección requiere debida diligencia ampliada: análisis de estructura societaria real, identificación de beneficiarios finales y cruces con fuentes de inteligencia especializada. Las herramientas de verificación convencionales son prácticamente ineficaces frente a este mecanismo.
El segundo mecanismo no requiere que toda la empresa contratista esté comprometida. Requiere solo que una persona específica, con el perfil técnico necesario, sea insertada dentro del equipo del contratista para ocupar una posición con acceso privilegiado a lo que la organización criminal necesita.
Este mecanismo explota una vulnerabilidad estructural que existe en prácticamente todos los procesos de contratación en Colombia: la debida diligencia se aplica a la empresa contratista como persona jurídica, pero raramente con la misma profundidad a las personas naturales que esa empresa asignará para ejecutar el contrato.
El tercer mecanismo no requiere que el contratista tenga ninguna intención delictiva inicial. Requiere solo que el contratista tenga una vulnerabilidad que el agente agresor pueda explotar para convertirlo en un vehículo de sus intereses.
Un mensaje que podría ignorarse. Una petición pequeña, casi inocente.
Una información pequeña. Solo esta vez. El camino ya ha comenzado.
Ya no puede retroceder. El costo parece mayor que continuar.
La modalidad más sofisticada es la corrupción progresiva: el grupo criminal no pide todo de una vez. Pide primero algo pequeño, casi inocente. Luego algo un poco más comprometedor. Y cuando la persona ya ha dado varios pasos en la dirección equivocada, el compromiso es suficientemente grande como para que el retroceso parezca más costoso que continuar.
¿Tiene su empresa canales de reporte seguros para que un contratista extorsionado pida ayuda antes de convertirse en su mayor amenaza? El contratista que cedió a la extorsión no la reporta porque teme consecuencias. La empresa sigue creyendo que tiene un contratista legítimo cuando en realidad tiene uno comprometido.
El cuarto mecanismo no busca principalmente infiltrar la operación de la empresa sino utilizar sus contratos como vehículo para dar apariencia de legalidad a recursos de origen ilícito. La empresa contratante se convierte, sin saberlo, en instrumento de lavado de activos.
El SAGRILAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo) y el Decreto 1122 de 2024 fueron creados precisamente para abordar este factor de riesgo público. Los estudios de casos mostraron que la estructura societaria de muchas empresas fachada era suficientemente opaca como para pasar los filtros básicos de verificación.
El quinto mecanismo es el más estructural y el más difícil de contrarrestar porque opera a nivel del territorio en lugar de a nivel del contrato individual. En las zonas donde los grupos armados tienen control territorial consolidado, la empresa que quiere operar no tiene siempre la opción de elegir libremente a sus contratistas.
Este mecanismo convierte a la empresa en un financiador involuntario de la economía criminal del territorio, no a través de pagos directos sino a través de la cadena de contratos que inevitablemente pasa por actores bajo influencia o control del grupo armado.
Contrarrestar este factor de riesgo público no es posible únicamente desde el diseño del proceso de contratación. Requiere inteligencia territorial, relacionamiento estratégico con las comunidades y con las autoridades locales, y una política de transparencia en las operaciones que reduzca los espacios de opacidad que el grupo armado necesita.
Arquitectura de prevención: del cumplimiento normativo a la seguridad estratégica
La diferencia entre una empresa que cumple con las normas antilavado y anticorrupción y una empresa que tiene una arquitectura real de prevención del riesgo público es la diferencia entre una empresa que responde a los requisitos regulatorios y una que entiende el riesgo. La primera tiene documentos. La segunda tiene cultura, sistemas y personas que funcionan en la realidad del campo.
Construir esa arquitectura requiere actuar en cinco dimensiones simultáneas. Ninguna es suficiente por sí sola. Todas juntas construyen la barrera estratégica que hace que la infiltración criminal encuentre un costo operacional demasiado alto para ser viable.
La debida diligencia convencional verifica que el contratista no esté en listas de control, que esté al día con sus obligaciones tributarias y que tenga la capacidad técnica declarada. Esta verificación es necesaria pero insuficiente, porque los grupos criminales más sofisticados conocen perfectamente cuáles son esos filtros y saben cómo pasarlos.
La debida diligencia ampliada incluye adicionalmente:
- Identificación del beneficiario final real de la empresa y análisis de cadenas de propiedad
- Verificación de antecedentes en fuentes de inteligencia abierta: denuncias periodísticas, reportes de organismos de control
- Evaluación de la coherencia entre la capacidad declarada y el historial real de operaciones
- Para los contratos de mayor riesgo, verificación de las personas naturales asignadas a ejecutar el contrato
El contrato no es solo el documento legal que regula la relación comercial. Es también el instrumento mediante el cual la empresa puede establecer condiciones que hacen más difícil la infiltración criminal y más fácil la detección temprana cuando ocurre.
Las cláusulas de seguridad que las empresas más avanzadas están incorporando incluyen:
- Obligación del contratista de reportar cualquier intento de presión, extorsión o contacto inusual
- Autorización para que la empresa contratante verifique en cualquier momento la identidad del personal asignado
- Prohibición de subcontratación sin autorización previa
- Obligación de notificar cambios en la composición accionaria o en la dirección de la empresa contratista
- Cláusulas de terminación inmediata si se detecta cualquier vínculo con actividades ilícitas
Una empresa que adjudica contratos en zonas con presencia de grupos armados sin tener un análisis actualizado del contexto de seguridad está tomando decisiones de negocio críticas con información incompleta sobre uno de los factores de riesgo público más determinantes.
Esta inteligencia puede construirse con fuentes abiertas: informes de la Fundación Ideas para la Paz, del CERAC, del Observatorio de Seguridad del Consejo Gremial Nacional, de InSight Crime y de los análisis sectoriales de las cámaras de comercio regionales.
La debida diligencia antes de la adjudicación no es suficiente porque las condiciones que hacen que un contratista sea seguro al momento de la firma pueden cambiar durante la ejecución. Los supervisores e interventores no solo controlan la calidad técnica: también prestan atención a señales que pueden indicar que algo está cambiando.
- Rotación planificada de supervisores en contratos de mayor exposición al riesgo público
- Canales de reporte anónimo para trabajadores del contratista que necesiten comunicar presiones
- Conductas inusuales del equipo del contratista, actitudes sospechosas en relaciones externas
La barrera más poderosa no es ningún sistema tecnológico ni ningún protocolo de verificación: es una cultura organizacional donde la prevención es responsabilidad de todos los niveles de la empresa.
Las empresas que lograron detectar infiltraciones lo hicieron en la mayoría de los casos no a través de sus sistemas formales de control sino a través de personas que notaron algo inusual y reportaron.
El activo más valioso del sistema de alerta temprana no es la tecnología ni el protocolo: son las personas que han aprendido a ver los riesgos invisibles y que tienen la confianza de reportarlos sin temor a consecuencias.
Alertas tempranas: el lenguaje que el agente agresor usa antes de actuar
En el proceso de selección y adjudicación: conductas inusuales
- Propuesta significativamente más competitiva que las demás, sin contacto previo con la empresa
- Recomendación con insistencia inusual por personas sin relación aparente con el proceso
- Estructura societaria opaca que dificulta identificar a los propietarios reales
- Escasa huella digital pero referencias de contratos similares que no pueden verificarse fácilmente
- Actitud sospechosa y resistencia a proporcionar información sobre composición accionaria u origen de recursos
- En construcción: empresa local que surge con capacidad financiera desproporcionada para su historial de operaciones
Durante la ejecución del contrato: conductas inusuales y actitudes sospechosas
- Cambios inexplicados en la composición del equipo asignado, especialmente en roles con acceso a información sensible
- Presencia de personas no autorizadas en las instalaciones acompañando al equipo del contratista
- Conducta inusualmente curiosa sobre procesos, sistemas o personas no relevantes para el objeto del contrato
- Señales de que el personal del contratista está bajo presión o miedo
- Solicitudes de información sobre sistemas que exceden el alcance técnico del contrato
En los patrones financieros: riesgos invisibles de lavado
- Solicitudes de pagos en efectivo o esquemas de pago que evitan la trazabilidad financiera
- Facturación de servicios con descripciones vagas que no permiten verificar su ejecución real
- Subcontrataciones con empresas que no tienen capacidad aparente para las actividades declaradas
- Flujos de dinero inconsistentes con el objeto del contrato
- Estructuras de precios que no corresponden a los valores de mercado
La vulnerabilidad del agente agresor como ventaja estratégica
En la dinámica del riesgo público a través de contratos, el agente agresor tiene vulnerabilidades propias que la empresa bien informada puede explotar como ventaja preventiva.
- Necesidad de opacidad: Los grupos criminales necesitan que sus operaciones sean invisibles. Cualquier acción que incremente la visibilidad y trazabilidad de los procesos contractuales aumenta el costo operacional del actor criminal.
- Dependencia de la complicidad pasiva: Necesitan que los supervisores no vean lo que ven, que los trabajadores no reporten conductas inusuales y que los procesos de control sean lo suficientemente débiles para que las irregularidades no sean detectadas.
- Miedo a la judicialización: Los grupos criminales calculan siempre la probabilidad de ser detectados. Una empresa con documentación precisa, que reporta oportunamente a la Fiscalía, la UIAF y los organismos de control, incrementa significativamente el riesgo percibido.
El modelo: de la norma al sistema de inteligencia contractual
La empresa que quiere estar realmente un paso adelante del agente agresor criminal no puede limitarse a cumplir simplemente con las normas SARLAFT, SAGRILAFT y PTEE. Esas normas son el piso mínimo, no el techo.
El modelo de gestión que realmente protege a la empresa es lo que podría denominarse un sistema de inteligencia contractual: una arquitectura integrada que combina los elementos normativos de cumplimiento con los elementos de inteligencia de seguridad y con los elementos de cultura organizacional que hacen que el sistema funcione en la realidad del campo.
Aprueba la política de prevención del riesgo público y garantiza que los recursos necesarios para implementar el sistema están disponibles.
Colaboran de manera coordinada en el diseño y aplicación de controles específicos para cada proceso de contratación.
Son el sistema de alerta temprana más efectivo: tienen acceso directo a las señales de conducta inusual que preceden a los incidentes de riesgo público.
Casos que enseñan: lecciones de la experiencia colombiana
-
Los sectores más obvios no son necesariamente los más vigilados. El sector de vigilancia y seguridad privada debería haber sido el más cuidadosamente supervisado, precisamente porque su acceso a instalaciones y armas lo hace particularmente atractivo para los grupos criminales. Sin embargo, la infiltración prosperó durante años antes de ser detectada (escándalo de las 31 empresas sancionadas en 2026).
-
Operar en ambientes históricamente afectados por el conflicto crea una presunción de riesgo que no puede ser ignorada en el proceso de debida diligencia, aunque la empresa contratista sea una víctima de ese contexto y no un actor criminal. El caso Inemec en Cusiana y Cupiagua documentó que los contratistas en esa región habían sido objeto de amenazas y extorsiones sistemáticas.
-
Las organizaciones criminales más sofisticadas no usan un solo contrato sino una red de contratos en diferentes sectores y niveles. Solo cuando se cruza la información de múltiples contratos con múltiples empresas es cuando el patrón de riesgo público se hace visible. La debida diligencia no puede ser un proceso aislado: debe ser un sistema integrado que genera y analiza información agregada sobre todos los contratistas de la empresa.
La cultura de prevención como decisión estratégica irreversible
En el contexto de la economía criminal colombiana de 2025 y 2026, con grupos armados que han entendido que no necesitan ganar militarmente porque les basta con capturar procesos y actores estratégicos, la pregunta que deben hacerse los líderes empresariales no es si pueden permitirse invertir en un sistema real de prevención.
¿Puede su empresa permitirse no invertir en un sistema real de prevención de la infiltración criminal a través de sus contratos?
Las consecuencias de una infiltración exitosa van mucho más allá del daño operacional inmediato: incluyen la responsabilidad penal de los directivos por acción o por omisión, las sanciones administrativas de los organismos de control, la pérdida de contratos con clientes que exigen estándares de cumplimiento demostrados, el daño reputacional irreversible y la posibilidad de extinción de dominio sobre bienes de la empresa.
Frente a ese escenario, invertir en debida diligencia ampliada, en contratos bien diseñados, en inteligencia territorial, en supervisión continua y en cultura organizacional de prevención del riesgo público no es un gasto: es la inversión de seguridad con mayor retorno posible para una empresa que quiere operar con legitimidad y con sostenibilidad en los territorios complejos de Colombia.
El agente agresor que llega por el camino del contrato cuenta con que la empresa no lo está esperando ahí. La empresa que entiende los factores de riesgo público y diseña su estrategia de contratación con ese conocimiento ya tiene la ventaja más importante disponible: la de haber cerrado la puerta antes de que el caballo de Troya llegara a ofrecerse como regalo.
