En Perú, el cibercrimen no es una amenaza lejana ni un problema exclusivo de grandes corporaciones. Solo en 2023, siendo uno de los años en donde se registró un pico considerable, hubo más de 5 mil millones de intentos de ciberataque en Perú, con un crecimiento interanual del 14%, según datos citados por el periodista especializado en tecnología Jesús Véliz.
La magnitud es tal que, en promedio, se detectan 9,000 intentos de ataques por semana, muy por encima de la media global.
LEA TAMBIÉN: Perú se ha vuelto un mercado “atractivo” para la ciberdelincuencia: las amenazas más comunes
Un mediático fue el de Interbank, que implicó el robo de credenciales y datos financieros, que alcanzó, además del banco, a las empresas del grupo Intercorp, incluyendo universidades y cadenas de farmacias.
La filtración de bases de datos de más de 200 GB con información sensible expuso la fragilidad de muchas organizaciones y volvió a poner sobre la mesa una pregunta clave: ¿Cuánto es el costo real de un ciberataque para una empresa?
LEA TAMBIÉN: Perú busca fortalecer su defensa digital con simulacro de ataques cibernéticos
¿Impacto a gran escala?
El costo de un incidente de este tipo varía drásticamente según el tamaño y la preparación de la compañía.
Para una pyme, la recuperación puede superar fácilmente los US$ 10,000, pero en ataques más severos las cifras escalan.
“Hay empresas que han pagado más de US$ 300,000 en recuperación, y a nivel global, un ransomware exitoso puede costar más de US$ 1.5 millones”, explicó Jesús Véliz a Gestión.
El especialista advierte que el impacto no se limita al gasto técnico: “Un incidente grave puede reducir hasta en un 70% el valor de la empresa. El golpe reputacional genera una reacción en cadena: pérdida de confianza de clientes, cancelación de contratos, retiro de inversiones y caída en ventas”.
LEA TAMBIÉN: Ciberseguridad: ¿entidades financieras invierten lo suficiente para enfrentar amenazas?
En Latinoamérica, una de cada cuatro empresas ha reportado daño directo a su reputación tras un ciberataque.
Para Alexander García, socio de Ciberseguridad y Consultoría Tecnológica en PwC Perú, el cálculo del costo real debe considerar varios frentes: “Ingresos perdidos por la interrupción de la operación, costos para recuperar el negocio, multas regulatorias, gastos de reforzamiento de la seguridad y la investigación forense”.
Según sus estimaciones, este impacto puede representar entre el 3% y el 10% de los ingresos anuales de una empresa.
LEA TAMBIÉN: Microsoft Perú: “En los próximos tres años esperamos duplicar nuestra facturación”
Sectores más atacados y errores que los vuelven vulnerables
En el país, los ataques más frecuentes incluyen phishing (62% de los casos), ransomware, troyanos bancarios, ataques de fuerza bruta y, más recientemente, suplantación de identidad con deepfake.
Este último, apunta García, se ha convertido en el más común en el ámbito corporativo peruano.
Los sectores más expuestos son servicios financieros, minería, salud, retail, transporte, manufactura y, cada vez más, el sector público.
En ese sentido, Véliz recuerda que “la infraestructura más vulnerable es la de los municipios, con un 30% de brechas reportadas, debido a la falta de protocolos y llaves de acceso caducas”. Incluso RENIEC ha sufrido filtraciones masivas de datos de ciudadanos.
LEA TAMBIÉN: Más que tecnología: el enfoque de Sonda para competir en un mercado de US$ 262 millones
Ambos expertos coinciden en que el eslabón más débil es el factor humano. Véliz lo llama “error de capa 8”: “El 70% de los ataques reportados se deben a fallas humanas, como clics en enlaces maliciosos, contraseñas débiles o falta de capacitación”.
García añade otros factores críticos: la ausencia de una estrategia de ciberseguridad con enfoque en riesgos empresariales, la creencia de que la tecnología por sí sola es la solución y la falta de un responsable formal de ciberseguridad.
LEA TAMBIÉN: Contratación TI: ¿por qué la universidad no es un diferencial para conseguir empleo?
Baja inversión preventiva
La cultura preventiva sigue siendo deficiente, particularmente en este sector: solo 3 de cada 10 empresas peruanas invierten en ciberseguridad antes de un ataque, según un reporte de Cibertech.
Además, una información paralela sostiene que menos de 100 empresas cuentan con pólizas de riesgo cibernético, un producto que, según García, “puede ayudar a gestionar el impacto, pero con la condición de que las coberturas y costos estén alineados a las necesidades reales de la organización”.
En ese sentido, el presupuesto recomendado para ciberseguridad, según PwC, oscila entre el 5% y el 15% del presupuesto de TI, dependiendo del nivel de digitalización y del sector.
Esta inversión se vuelve aún más urgente con la entrada en vigor, en noviembre de 2024, del nuevo reglamento de protección de datos personales, que obliga a las empresas a adaptar procesos y tecnologías para cumplir con las disposiciones.
LEA TAMBIÉN: Ciberamenazas en Perú se multiplican por 9: ¿qué negocios están en la mira?
Claves para reducir el riesgo
Ante este panorama, tanto Véliz como García coinciden en que la preparación es la mejor defensa. Entre las medidas inmediatas que proponen:
- Designar un responsable de ciberseguridad, ya sea interno o tercerizado.
- Implementar un plan de respuesta a incidentes con niveles claros de escalamiento.
- Realizar copias de seguridad periódicas y fortalecer la resiliencia con pruebas y simulacros.
- Capacitar al personal para reconocer y reaccionar ante intentos de fraude o phishing.
- Actualizar y parchear sistemas, redes y dispositivos IoT.
El mensaje es claro: el ciberataque no es una cuestión de “si ocurrirá”, sino de cuándo.
La diferencia entre una crisis controlada y una catástrofe empresarial radica en el nivel de preparación y en la rapidez con que se reaccione. Como resume Véliz: “El ataque va a ocurrir; el asunto es qué tan desprotegido te encuentre”.
Escribo sobre política, economía, defensa y afines. Nueve años contando historias y analizando problemáticas en prensa escrita, radio y televisión.
