Escucha este artículo
Audio generado con IA de Google
0:00
/
0:00
Detrás de cada notificación judicial hay alguien cuya vida puede cambiar. Es necesario que la Rama Judicial, a través de todos los juzgados, implemente un servicio que permita comprobar la trazabilidad del envío, recibo y lectura de sus comunicaciones y notificaciones.
Entre el phishing y la nulidad
El correo electrónico se ha convertido en uno de los medios de comunicación más comunes alrededor del mundo, en todo tipo de entornos: desde los correos personales, pasando por entornos corporativos y comerciales y llegando hasta las entidades públicas, en el marco de procedimientos administrativos rigurosos.
La existencia del correo electrónico ha generado la transición de cartas físicas y telegramas a las comunicaciones digitales, permitiendo ahorrar tiempo y dinero, además de facilitar el diálogo con personas que no siempre se encuentran en un mismo sitio o que viven en otra ciudad o país.
Aunque la transición se vivió primero en entornos personales y comerciales, hoy en día es común que, por ejemplo, las entidades públicas remitan comunicaciones y notificaciones por medios digitales, algo que hasta hace unos años era impensable, pues se trata de procesos reglados con directrices más estrictas.
Según The Radicati Group, en 2024 se enviaron y recibieron 361.600 millones de correos electrónicos diarios en el mundo, lo cual demuestra el crecimiento de este servicio. Esta masificación del uso del correo electrónico también ha impactado a la Rama Judicial, sobre todo después de la pandemia: hoy en día el correo electrónico es la puerta principal de las notificaciones judiciales en Colombia.
Sin embargo, la facilidad del correo electrónico también ha generado al menos dos grandes retos relevantes: por un lado, la trazabilidad del mensaje, dado que no siempre se tiene certeza de que el correo ha llegado a su destino y, por el otro, la seguridad informática, porque los cibercriminales envían correos fraudulentos haciéndose pasar por juzgados.
La incertidumbre del “enviar y rezar”
Una empresa envía a un trabajador el preaviso de terminación del contrato laboral y se queda esperando una respuesta que nunca llega; un ciudadano radica una PQRS exigiendo respuesta pronta frente a una solicitud de un subsidio monetario; un abogado remite la contestación de una demanda antes del vencimiento del plazo fijado por la ley. Tres situaciones distintas que comparten las mismas preguntas: ¿el correo llegó? ¿Podré probarlo si la otra parte lo niega? ¿Cómo se puede probar el contenido del correo enviado y de sus archivos adjuntos?
La respuesta honesta es más compleja de lo que parece: la mayoría de las personas y empresas confía en el pantallazo del correo enviado, en el “✓✓" del cliente de mensajería o en las opciones de “confirmación de lectura” que ofrecen Outlook o Gmail; sin embargo, cuando esas pruebas se llevan a un proceso, se descubre algo incómodo, dado que ninguna de ellas demuestra, por sí sola, que el mensaje llegó al buzón del destinatario, ni mucho menos que el destinatario lo abrió. De hecho, un estudio de Validity, empresa especializada en correo, indica que cerca del 10 % de los correos enviados en contextos específicos no llegan a su destino.
Esta misma problemática también se observa en los distintos juzgados del país, dado que la gran mayoría de las notificaciones y comunicaciones son enviadas por correo electrónico normal, dificultando cualquier trazabilidad posterior. Este problema no es nuevo, pero se ha vuelto urgente porque esta falta de trazabilidad puede generar nulidades, retrasar trámites, abrir camino a fraudes de distinta índole, entre otras consecuencias negativas.
El correo electrónico no es una caja de cristal
Para entender por qué el “pantallazo del correo” no es la prueba que la gente cree, conviene mirar lo que pasa entre el clic en enviar y la lectura del mensaje por parte del destinatario.
Cuando una persona envía un correo, su programa de correo entrega el mensaje a un servidor de salida que lo traslada a la red. Ese servidor consulta el sistema de nombres de dominio para ubicar al servidor del destinatario y le entrega el mensaje (luego de estos pasos el remitente no podrá saber con certeza qué pasó con su mensaje).
El servidor del destinatario, por su parte, lo procesa, lo somete a filtros antispam y antivirus, lo clasifica y, solo si todo sale bien, lo deposita en la bandeja de entrada del usuario final.
Una vez explicado este proceso, debe subrayarse que cada uno de esos pasos puede fallar sin que el remitente se entere, lo cual significa que, contrario al imaginario que normalmente existe, el hecho de enviar un correo electrónico no brinda certeza acerca de su llegada exitosa.
Otro aspecto importante es que los proveedores de correo (como Outlook o Gmail) no siempre avisan cuando sucede algún problema o cuando el correo “rebota”. Para entender mejor esto se debe tener en cuenta que existen dos tipos de rebotes, los duros y los suaves.
Los rebotes duros, normalmente codificados con números 5xx, sí generan una notificación de error; algunos ejemplos de este tipo de rebotes pueden ser que el correo electrónico no existe, el dominio fue eliminado o el destinatario fue dado de baja.
Los rebotes suaves, codificados como 4xx, reflejan problemas temporales: bandeja llena, servidor caído, archivos demasiado pesados, límites de velocidad de recepción; dependiendo del tipo de falla, puede que la misma sea notificada al remitente o no.
Además de ello, hay un escenario que rara vez se contempla: el mensaje queda alojado en el servidor del destinatario, pero nunca baja al buzón específico del usuario porque un filtro lo desvió a cuarentena, lo marcó como graymail o lo bloqueó por una regla corporativa de seguridad. Para el remitente, el correo “salió bien”, pero para el destinatario, sencillamente nunca llegó. Esta situación es equivalente a enviar un paquete a un edificio y dar la dirección sin el número del apartamento: el paquete llegó al edificio, pero no va a llegar a su destinatario.
A lo anterior se suman otros problemas frecuentes que pasan inadvertidos: configuraciones de seguridad en empresas que bloquean adjuntos por extensión o por tamaño; reglas internas que mandan a spam o bloquean mensajes con ciertas palabras clave (Google bloquea 15.000 millones de correos no deseados al día); listas grises que retienen correos legítimos durante horas; reputaciones de IP castigadas que reducen la probabilidad de entrega o filtros que descartan adjuntos protegidos con contraseña.
¿Qué pasa con las “confirmaciones de lectura” que ofrecen Outlook o Gmail? Su nombre es engañoso. Técnicamente son notificaciones que dependen de la voluntad del destinatario: si el cliente de correo del receptor no admite estas configuraciones, si el usuario las rechaza al abrir el mensaje o si la organización las desactiva por defecto, no se generan y, por ende, no hay prueba de la recepción del mensaje.
¿Qué hace “certificado” a un correo?
El correo electrónico certificado nace para llenar exactamente ese vacío: ofrecer una prueba técnica y jurídica de que un mensaje fue enviado, recibido, leído y conservado sin alteraciones. Bajo la cobertura de la Ley 527 de 1999, que reconoció la equivalencia funcional entre los mensajes de datos y los documentos físicos, este servicio actúa como un intermediario tecnológico que documenta cada uno de esos cuatro extremos con evidencia verificable.
La diferencia, en términos simples, es la siguiente: al enviar un correo electrónico certificado, el operador del servicio captura, sella y conserva metadatos en cada eslabón del recorrido, contando con los registros técnicos del intercambio entre servidores, la confirmación de aceptación por parte del servidor del destinatario, el hash que prueba la integridad del contenido y el evento de apertura del mensaje por el destinatario.
La consecuencia práctica es decisiva, porque un correo común admitido como prueba queda sometido al criterio del juez sobre su autenticidad e integridad, de tal forma que si la contraparte lo cuestiona, suele ser necesario un peritaje informático que implica costos y demoras. Un correo electrónico certificado, en cambio, llega al expediente con la evidencia ya construida, reduciendo drásticamente el espacio de discusión sobre si el mensaje llegó, cuándo llegó y cuál es su contenido.
Esa diferencia explica por qué el correo electrónico certificado se usa cada vez más en negociaciones comerciales sensibles, cobranzas pre-jurídicas, notificaciones previas de reporte a centrales de riesgo, convocatorias a asambleas societarias, respuestas a derechos de petición, en comunicaciones laborales con efectos disciplinarios y, en general, en cualquier escenario donde un día alguien pueda preguntarse: ¿el correo si llegó?
La justicia digital y el uso del correo electrónico
La justicia colombiana cambió en la práctica con el Decreto Legislativo 806 de 2020 y la Ley 2213 de 2022, que volvió permanente la justicia digital. Hoy, el correo electrónico es el canal por defecto para casi todas las comunicaciones y notificaciones de un proceso.
La demanda se presenta como mensaje de datos, las partes deben informar canales digitales para recibir notificaciones, las providencias judiciales viajan por correo, los memoriales se cruzan por correo, los exhortos, oficios y comisiones se libran por correo y, lo más sensible, las notificaciones personales —el acto procesal de mayor jerarquía dentro del proceso, el que marca el inicio de los términos para contestar, recurrir o pagar— se realizan, como regla, enviando la providencia respectiva por mensaje de datos a la dirección electrónica del destinatario.
El artículo 8 de la Ley 2213 lo establece con claridad: la notificación personal se entiende realizada transcurridos dos días hábiles después del envío del mensaje, y los términos empiezan a correr cuando el iniciador recibe acuse de recibo o se puede constatar el acceso del destinatario al mensaje.
La Ley 2213 aceleró la justicia digital, pero también trasladó al correo electrónico una carga que antes descansaba en mecanismos físicos más controlados: probar que una persona fue efectivamente notificada y que desde ese momento empezaron a correr términos procesales.
La regla de notificación parece sencilla, pero la prueba de que efectivamente se cumplió no lo es tanto: ¿Cómo se demuestra que el mensaje llegó al servidor del destinatario y no quedó en una cola? ¿Cómo se acredita que el destinatario accedió al mensaje? ¿Cómo se prueba que el contenido no fue alterado en el camino?
La Corte Suprema de Justicia, en pronunciamientos como la sentencia STC-16733 de 2022, ha insistido en que el conocimiento efectivo del destinatario es un parámetro garantista del debido proceso. Sin embargo, sin evidencia técnica robusta, el conocimiento efectivo se vuelve una afirmación que cualquiera puede atacar solicitando la respectiva nulidad procesal.
Aunque no todas las comunicaciones judiciales tienen la misma naturaleza procesal ni activan los mismos términos, el problema técnico se repite: el juzgado necesita saber si el mensaje fue enviado, recibido, íntegro y oportunamente conocido por su destinatario.
Por ejemplo, cuando un juzgado libra un oficio con una medida cautelar a un banco, dicho juzgado no sabe si en efecto el oficio si llegó al correo del banco o no, impidiendo que se practique la medida cautelar. Esta misma circunstancia sucede con otras comunicaciones aun más importantes, como las medidas de protección personal que se dirigen a las autoridades de policía para proteger la vida e integridad.
El phishing también se viste de toga
Un ciudadano recibe un correo que parece venir de un juzgado. Tiene logos oficiales, lenguaje jurídico y una supuesta citación urgente. Si lo abre, puede caer en una estafa. Si lo ignora y resulta ser real, puede perder un término judicial. Esa es la nueva encrucijada de la justicia digital colombiana: el correo electrónico se volvió indispensable, pero todavía no ofrece certeza sobre su origen, recepción, lectura e integridad.
Por ello, la falta de una herramienta como el correo electrónico certificado no solamente genera inseguridad jurídica, sino otros problemas como la suplantación. El Consejo Superior de la Judicatura ha emitido alertas reiteradas sobre campañas de phishing donde los delincuentes se hacen pasar por juzgados reales, con cuentas falsas que enviaban supuestos comunicados oficiales.
En enero de 2024, la Corporación advirtió un incremento de correos fraudulentos que imitaban despachos judiciales con el fin de comprometer datos personales y financieros de los usuarios del servicio de justicia. En julio de 2024 reiteró la alerta, consistente en que los ciudadanos recibían correos con logos y características similares a los de un juzgado real para que ciudadanos desprevenidos entreguen información valiosa.
La oleada más reciente y preocupante quedó documentada en septiembre de 2025, donde el Consejo Superior reportó una campaña en la que los correos fraudulentos se presentaban como citaciones judiciales o notificaciones oficiales, utilizaban lenguaje técnico y simulaban provenir de direcciones institucionales aunque se originaban en dominios falsos.
El objetivo era que el destinatario descargara un archivo o abriera un enlace para instalar un troyano conocido como DCRat, que permite a los atacantes tomar control remoto del equipo y robar contraseñas e información sensible.
Lastimosamente, este entorno de inseguridad informática es especialmente conocido en Colombia, que se posicionó en 2025 como el quinto país más atacado de América Latina, con un rápido crecimiento de malware según el estudio de telemetría de ESET y en 2024 sufrió más de 36.000 millones de intentos de ciberataques registrados, según reportes de Fortinet, donde el 74 % de estos ciberataques tuvo su origen en un correo electrónico fraudulento.
Las denuncias por delitos informáticos ante la Policía Nacional alcanzaron 62.299 casos en 2025 y en ese panorama delincuencial suplantar a una autoridad judicial es uno de los anzuelos más eficaces que existen. La gente abre lo que parece venir de un juez, como una citación, una demanda, un anuncio de embargo, una providencia de tutela: cualquiera de esos rótulos genera la urgencia que el atacante necesita para que la víctima haga clic sin pensar.
Aquí es donde el correo electrónico certificado pasa de ser una garantía probatoria a ser, además, una herramienta de seguridad. Cuando los juzgados envían sus comunicaciones por un canal certificado y ese canal es conocido por la ciudadanía, los abogados y las entidades, surge un mecanismo natural de filtrado.
La regla simple si se implementa el correo electrónico certificado es esta: si la comunicación no llega por el canal certificado, no es del juzgado, permitiendo que la presunción se invierta. El destinatario deja de tener que revisar exhaustivamente dominios sospechosos, encabezados de correo o registros DKIM, lo cual permite, además, que la Rama Judicial cumpla con el deber de generar entornos informáticos seguros para toda la ciudadanía, adoptando medidas que mitiguen los riesgos indicados.
Mientras existan cuentas oficiales de juzgados que envían correos mediante el canal común, los atacantes seguirán intentando suplantarlas, pero implementar un canal certificado como la vía formal y exclusiva para actos como notificaciones personales, oficios con medidas cautelares o comunicaciones a entidades vigiladas, construye un perímetro de confianza que hoy simplemente no existe.
La solución para que la Rama Judicial pueda implementar este servicio y brindar más seguridad a sus comunicaciones electrónicas es dada por la misma norma: la Ley 1369 de 2009 consagra la franquicia postal y establece el servicio de correo electrónico postal certificado, prestado por el operador postal oficial de forma exclusiva de acuerdo con el artículo 15 de dicha ley. Si la Rama Judicial ya realiza sus envíos físicos a través del operador postal, puede y debe hacer lo mismo con las comunicaciones electrónicas.
Rama Judicial y un llamado a la acción
Detrás de cada notificación judicial hay alguien cuya vida puede cambiar: un demandante cuyo proceso se demora porque no pudo comprobar que el juzgado notificó en debida forma, una acción de tutela donde se generan nulidades porque no hubo notificaciones en debida forma a los accionados, un ciudadano que cae en una estafa porque un mensaje fingió venir de un juez, entre otros.
La justicia digital trajo eficiencia, ahorro y agilidad, pero esa velocidad no puede traer consigo la vulneración de garantías procesales ni inseguridad jurídica e informática.
El correo electrónico certificado no elimina por sí solo el phishing, no corrige todos los errores de dirección electrónica, no reemplaza la adecuada gestión de expedientes ni soluciona los problemas estructurales de congestión judicial. Su utilidad es más concreta, pero también más realista: reduce la incertidumbre sobre el envío, recepción, integridad y acceso a comunicaciones críticas. En una justicia digital, esa reducción de incertidumbre ya es muy relevante.
La cuestión de fondo, entonces, no es si la tecnología está disponible —lo está— ni si la norma lo ordena —ya lo hace—. Lo realmente necesario es que la Rama Judicial, a través de todos los juzgados, implementen un servicio que permita comprobar la trazabilidad del envío, recibo y lectura de sus comunicaciones y notificaciones, para garantizar el debido proceso digital y evitar la comisión de fraudes por medios digitales.
La justicia digital no puede seguir funcionando bajo la lógica de “enviar y rezar”. Cuando de una notificación dependen términos, embargos, tutelas, defensas y derechos fundamentales, el Estado no debería conformarse con saber que un correo salió, sino que debe poder probar que llegó, que no fue alterado y que el ciudadano tuvo una oportunidad real de conocerlo. En el mundo físico, nadie aceptaría una justicia que notificara a ciegas y en el mundo digital tampoco debe permitirse.
Por Héctor García
