Ciberseguridad en Perú: Un País Bajo Amenaza Digital

En un mundo cada vez más interconectado, la pandemia global no solo aceleró la transformación digital en todas las esferas de la sociedad, sino que también expuso una vulnerabilidad creciente: el drástico aumento de los ciberataques. Este escenario ha forzado a industrias y organizaciones a reforzar sus defensas digitales, pero ¿cómo se ha adaptado Perú a esta nueva y peligrosa realidad? La ciberseguridad, más que nunca, se ha convertido en una preocupación central, desafiando la capacidad del país para proteger su infraestructura digital, sus empresas y, en última instancia, a sus ciudadanos.

El desafío es inmenso. Mientras la tecnología se erige como un pilar fundamental para afrontar crisis, también abre las puertas a nuevas formas de delincuencia. La pregunta clave es si Perú está preparado para enfrentar esta marea de amenazas cibernéticas, o si aún tiene un largo camino por recorrer para consolidar una cultura de ciberseguridad robusta y resiliente.

El Panorama Actual: ¿Cómo Percibe y Gestiona Perú la Ciberseguridad?

La percepción y gestión de la ciberseguridad en Perú revelan un panorama de avances, pero también de significativas deficiencias. Según el ESET Security Report 2020 de Latinoamérica, aunque un considerable 61% de las empresas peruanas encuestadas afirma contar con políticas de seguridad, este número contrasta fuertemente con la preparación ante incidentes. Sorprendentemente, solo un 29% de estas empresas dispone de un plan de respuesta y continuidad del negocio, y apenas un 23% clasifica su información, un paso fundamental para identificar y proteger los activos más críticos.

Aún más preocupante es la falta de implementación de medidas de control básicas. Soluciones que se considerarían esenciales, como un software antivirus, un sistema de backup de información o una solución de Firewall, no están universalmente adoptadas. Solo el 78% de las empresas cuenta con antivirus, mientras que el backup de información y los Firewalls están presentes en un 62% de las organizaciones, respectivamente. Estas cifras sugieren una brecha importante entre la conciencia general de la seguridad y la implementación efectiva de herramientas de protección fundamentales.

La Encuesta Global de Seguridad de la Información 2019-2020 de EY corrobora estas tendencias, mostrando que la ciberseguridad a menudo es una consideración tardía en las iniciativas empresariales. Únicamente el 27% de las empresas peruanas integra la ciberseguridad desde la etapa de planificación de sus nuevos proyectos. Más de la mitad, un 51%, percibe la relación entre la ciberseguridad y sus líneas de negocio como inexistente o neutral. Esta desconexión es crítica, ya que implica que la seguridad no se ve como un habilitador estratégico, sino más bien como un costo o una barrera.

Elder Cama, Consulting Partner de EY Perú, destaca la paradoja: a pesar de que el 48% de los directorios cree que los ciberataques tendrán un impacto más que moderado en sus negocios en los próximos doce meses, solo un 27% de las empresas peruanas lo considera en sus planes a futuro. La prevención de crisis y el cumplimiento normativo siguen siendo los principales impulsores del aumento del presupuesto en ciberseguridad (81%), lo que explica por qué solo un 16% del presupuesto se destina a programas de transformación digital y un ínfimo 5% ve la ciberseguridad como un motor de innovación. Kris Lovejoy, Líder Global de Ciberseguridad de EY, subraya la necesidad de que la función de ciberseguridad "hable el idioma del negocio" para demostrar su valor y justificar sus gastos, transformando el debate de la simple reducción de riesgos a la habilitación de la innovación.

Comparativa de Medidas de Seguridad Básicas en Empresas Peruanas

El Factor Humano: La Concientización como Pilar Fundamental

La concientización y educación de los trabajadores sobre las amenazas informáticas son cruciales para garantizar la seguridad de la información. El factor humano es a menudo el eslabón más vulnerable en la cadena de ciberseguridad. Los atacantes explotan la falta de alfabetización digital y la tendencia innata del ser humano a confiar, para engañar a sus víctimas y lanzar ataques que, en última instancia, buscan infiltrar las redes corporativas.

La encuesta de EY revela una estadística alarmante: un 70% de las empresas peruanas encuestadas experimentó un incidente significativo causado por empleados en los últimos 12 meses. Esto subraya la urgencia de invertir en capacitación y sensibilización interna.

Los datos de ESET refuerzan esta necesidad: solo un 31% de las empresas peruanas realiza actividades de concientización periódicamente, mientras que un 49% lo hace ocasionalmente. Un 10% no las realiza en absoluto, y otro 10% planea hacerlo próximamente. Sin embargo, hay una luz de esperanza: la incidencia de ataques con códigos maliciosos (malware), el método más común de los ciberdelincuentes, se reduce del 34% al 29% en aquellas empresas que implementan capacitaciones de seguridad de forma periódica. Esta mejora es aún más notable en organizaciones que cuentan con un CISO (Chief Information Security Officer) u Oficial de Seguridad de la Información, donde la implementación periódica de estas actividades es significativamente mayor (61.3%) en comparación con empresas sin esta figura (38% con solo un CTO).

A pesar de la importancia de un rol de liderazgo en ciberseguridad, la encuesta de EY indica que un considerable 59% de las empresas peruanas no cuenta con un responsable de ciberseguridad que reporte al Directorio o que se encuentre a nivel de gerencia ejecutiva. Esta ausencia de liderazgo estratégico puede obstaculizar la implementación efectiva de programas de seguridad.

Alexander García, Socio de Consultoría de Negocios de PwC Perú, enfatiza que para fortalecer la cultura de ciberseguridad, es fundamental identificar los comportamientos inseguros de los trabajadores al interactuar con los sistemas y recursos tecnológicos. Con esta información, se puede reforzar la importancia de la ciberseguridad mediante cursos virtuales, talleres o simulaciones de ataques informáticos. Lo crucial es entender que es una tarea continua y periódica, no un evento único.

Marco Legal y Avances: ¿Estamos Protegidos por la Ley?

En el ámbito legislativo, Perú ha dado pasos importantes, aunque aún no cuenta con una estrategia nacional de seguridad cibernética integral, según el Reporte Ciberseguridad 2020 del BID y la OEA. No obstante, ha implementado una política nacional de ciberseguridad con los siguientes avances:

• En 2019, se aprobó el dictamen del proyecto de Ley de Ciberseguridad, que busca establecer un marco normativo en materia de seguridad digital.
• La Ley de Delitos Informáticos (Ley N.º 30096), renovada en 2013 y perfeccionada en 2014 (Ley N.º 30171), cubre vacíos normativos sobre ataques comunes como la vulneración de sistemas y datos informáticos.
• Desde 2011, la Ley de Protección de Datos Personales (Ley N.º 29733) busca proteger la disposición y uso de bases de datos por terceros, tanto públicas como privadas.
• La Policía Nacional del Perú cuenta desde 2005 con la DIVINDAT (División de Investigación de Delitos de Alta Tecnología), especializada en combatir delitos informáticos.
• Desde el año 2000, la Ley que Incorpora los Delitos Informáticos al Código Penal (Ley N.º 27309) establece las penas para los infractores.

A pesar de estos marcos legales, la gestión de riesgos y la ciberseguridad, aunque necesarias, no son infalibles. Surge la necesidad de protecciones adicionales para mitigar los efectos negativos de los delitos informáticos, como las pérdidas económicas por interrupción de operaciones, robo de información sensible, demandas por estafa o fraude, violación de la privacidad de datos personales, y daños a la reputación. En este contexto, la existencia de seguros de riesgo cibernético se ha vuelto vital. Estos seguros, como los disponibles en el mercado, ofrecen coberturas complementarias para responder y recuperarse rápidamente ante distintas modalidades de ataques, cubriendo daños propios y a terceros por pérdida de datos, violación de confidencialidad o privacidad, riesgo reputacional y responsabilidad civil por seguridad de la red. Además, suelen incluir sistemas de gestión de crisis y soporte, con asistencia permanente de expertos en seguridad de la información.

Delitos Digitales Más Comunes en Perú y Latinoamérica

La creciente digitalización en Perú expone al país a una variedad de ciberamenazas. Sang Chul Shin, especialista en redes informáticas y director del Centro Nacional de Cooperación en Gobierno y Transformación Digital Perú - Corea, enfatiza la vulnerabilidad de Perú, al igual que otros países de la región, a los ciberataques. Es crucial entender las modalidades más comunes de estos delitos para poder prevenirlos. Diversos estudios de instituciones de ciberseguridad revelan la gravedad y diversidad de estos crímenes:

• Phishing y Estafas en Línea: Según Kaspersky, son los delitos digitales más comunes en Latinoamérica. Los ciberdelincuentes emplean la ingeniería social para engañar a las víctimas, haciéndose pasar por entidades de confianza para solicitar información personal, contraseñas o datos financieros. Esta amenaza es significativa tanto para usuarios como para empresas, pudiendo resultar en pérdidas económicas y robo de identidad.
• Ransomware: Interpol lo identifica como prevalente en la región. Este ataque implica el secuestro de datos o sistemas informáticos, exigiendo un rescate para su liberación. Ha afectado especialmente a organizaciones empresariales y gubernamentales en Latinoamérica, causando interrupciones operativas y la pérdida de datos valiosos.
• Fraudes en Comercio Electrónico: ESET destaca su aumento en Latinoamérica. Los delincuentes utilizan técnicas como sitios web falsos y anuncios engañosos para estafar a los consumidores durante transacciones en línea. Se recomienda cautela al realizar compras en línea y verificar la autenticidad de los sitios y vendedores.
• Suplantación de Identidad en Redes Sociales: El uso masivo de redes sociales ha sido aprovechado para este fin. ESET informa que los perfiles falsos son una táctica común para difundir información engañosa o dañina, afectando la reputación y privacidad de las víctimas. Es esencial la cautela al interactuar en estas plataformas.
• Ciberacoso y Ciberbullying: La OEA ha identificado un aumento en el acoso e intimidación en línea, afectando especialmente a jóvenes y adolescentes, con graves consecuencias para su salud mental y bienestar.

Estrategias para Fortalecer la Ciberseguridad Nacional

Para mejorar la seguridad digital en Perú, Sang Chul Shin subraya varias acciones fundamentales. Una de las más importantes es la urgente necesidad de fortalecer la formación de expertos en respuesta a ciberataques. La escasez de profesionales capacitados es una debilidad que los atacantes pueden explotar.

El especialista también destaca la importancia de la regulación y políticas de ciberseguridad, el intercambio de información sobre ciberataques, la cooperación en tecnologías e infraestructura, y el intercambio constante entre instituciones públicas y privadas. Todos estos elementos son cruciales para gestionar eficazmente cualquier incidente de seguridad digital.

Un ejemplo concreto de cooperación internacional es la alianza entre Corea del Sur y Perú, que resultó en el establecimiento de la Escuela Profesional de Ciberseguridad en la Universidad Nacional de Ingeniería. Esta iniciativa representa un paso drástico y positivo para formar a la próxima generación de expertos en ciberseguridad.

Además, el Gobierno peruano, a través de la Presidencia del Consejo de Ministros (PCM) y en colaboración con la Agencia de Internet y Seguridad de Corea (KISA), tiene previsto impulsar el “Plan Maestro para el establecimiento del Centro Nacional de Seguridad Digital de Perú” (CNSD). Este centro, que ya ha demostrado su eficacia en países como Corea del Sur, busca ser un punto de contacto clave para articular respuestas proactivas y coordinadas ante los riesgos cibernéticos, gestionando, dirigiendo y supervisando la operación, educación, promoción y cooperación en seguridad digital en el país para fortalecer la confianza digital.

Sang Chul Shin reitera que la mejora de la capacidad y competencia en ciberseguridad se logrará expandiendo la cooperación internacional, especialmente con el gobierno surcoreano, dada su amplia experiencia. Propone establecer un foro de consulta entre ambos gobiernos sobre políticas de ciberseguridad y cooperar en la información y gestión de incidentes. Esta colaboración estrecha podría generar resultados notables.

La "Hoja de Ruta para el mercado digital regional" presentada por los países de la Alianza del Pacífico en 2021 también es un hito importante. A medida que la transición hacia la economía digital se acelera, la ciberseguridad se vuelve cada vez más crítica. Esta Hoja de Ruta contiene medidas concretas para fortalecer la seguridad digital, con el objetivo de impulsar el desarrollo conjunto en la región.

En resumen, Perú se encuentra en un camino de fortalecimiento de su ciberseguridad, pero aún tiene un largo trecho por recorrer. La inversión en educación, la consolidación de un marco legal robusto, la implementación de medidas básicas de seguridad en las empresas, la formación de especialistas y la cooperación internacional son pilares fundamentales para construir una era digital más segura y confiable para todos.

Preguntas Frecuentes sobre Ciberseguridad en Perú

¿Cuál es el principal impacto de los ciberataques en Perú?

El principal impacto es la exposición de deficiencias en la seguridad de la información y la protección de sistemas informáticos, con un incremento significativo de ataques durante la pandemia. Esto afecta a empresas y organizaciones que se vieron obligadas a acelerar su transformación digital, exponiéndolas a mayores riesgos de interrupción de operaciones, pérdidas económicas, robo de información sensible, y daños reputacionales.

¿Cómo se percibe la ciberseguridad en las empresas peruanas?

Aunque el 61% de las empresas peruanas encuestadas cuenta con políticas de seguridad, solo el 29% tiene un plan de respuesta a incidentes y el 23% clasifica su información. Además, solo el 27% de las empresas incluye la ciberseguridad desde la planificación de nuevas iniciativas, y un 51% la ve como inexistente o neutral en relación con sus líneas de negocio.

¿Los empleados son una vulnerabilidad en la ciberseguridad en Perú?

Sí, el 70% de las empresas peruanas encuestadas por EY reportó un incidente significativo causado por empleados en los últimos 12 meses. Esto subraya la importancia de la educación y concientización, ya que los atacantes a menudo explotan la falta de alfabetización digital y la confianza humana.

¿Existen leyes de ciberseguridad en Perú?

Sí, Perú ha avanzado en su marco legal. Cuenta con la Ley de Delitos Informáticos (Ley N.º 30096, perfeccionada en 2014), la Ley de Protección de Datos Personales (Ley N.º 29733) y la Ley que Incorpora los Delitos Informáticos al Código Penal (Ley N.º 27309). Además, en 2019 se aprobó el dictamen del proyecto de Ley de Ciberseguridad. Sin embargo, aún no hay una estrategia nacional de seguridad cibernética integral.

¿Cuáles son los delitos digitales más comunes en Perú y Latinoamérica?

Según estudios de Kaspersky, Interpol y ESET, los delitos más comunes incluyen el phishing y estafas en línea, ransomware, fraudes en comercio electrónico, suplantación de identidad en redes sociales, y ciberacoso/ciberbullying.

¿Qué se está haciendo para mejorar la seguridad digital en Perú?

Se busca fortalecer la formación de expertos en ciberseguridad, mejorar la regulación y políticas, fomentar el intercambio de información y la cooperación tecnológica. Un ejemplo es la creación de la Escuela Profesional de Ciberseguridad en la UNI, fruto de la cooperación con Corea del Sur. También se impulsa el establecimiento del Centro Nacional de Seguridad Digital (CNSD) para articular respuestas a riesgos cibernéticos.

Si quieres conocer otros artículos parecidos a Ciberseguridad en Perú: Un País Bajo Amenaza Digital puedes visitar la categoría Ciberseguridad.