La inseguridad ciudadana continuó creciendo en el 2025 y el espacio digital no ha sido la excepción. Los celulares y computadoras son una fuente adicional de ingresos para los criminales, que no cesan de incrementar sus actos delictivos. En 2024 se observó un alza superior al 40% de denuncias, pasando los 42 mil casos. Y solo entre enero y febrero de este año, el Sistema Informático de Denuncias Policiales (Sidpol) reportó más de 6.000 denuncias por delitos informáticos. Ya para abril la Fiscalía estima que se han superado las 12 mil denuncias con la suplantación de identidad como la que más se ha elevado.
El robo de celulares es una de las formas en que los delincuentes acceden a contraseñas, datos privados para extorción o cuentas bancarias para hurto de capitales. En el primer semestre del 2025 se han registrado 728.493 celulares robados, según el Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel), lo que significa que al día se registran 4.200 robos de celulares, un 8,3% menos que el año anterior.
Pero ese no es el único método. No podemos olvidar que el 62% de los ciberataques en Perú en 2025 comenzó con campañas de phishing y correos fraudulentos para robar contraseñas. Además, están los robos en billeteras digitales usando imágenes de QR falsas, que llevan la transferencia de dinero a otro lado. Y aunque las agencias bancarias tienen altos presupuestos en ciberseguridad, también se dan ataque de fuerza bruta, cuando entran a los sistemas centrales, rompen las claves y acceden a las cuentas.
No todo son malas noticias. Algunos tipos de incidentes se han reducido, como por ejemplo el acceso ilícito a sistemas informáticos. Asimismo, se han observado avances en protección en el último año. El Centro Nacional de Seguridad Digital (CNSD) integró a 96 entidades públicas en los equipos de respuesta ante ataques, organizó 19 seminarios web con la participación de 6.618 personas, emitió un total de 632 alertas integradas de seguridad digital, brindó 1.551 asistencias técnicas especializadas a entidades públicas integrantes del Sistema Nacional de Transformación Digital y emitió 120 informes de análisis de vulnerabilidades en diversas entidades del Estado.
Ataques al alza
Fortinet informó que, tan solo en 2024, se registraron en Perú 45,5 mil millones de intentos de ciberataques, lo que coloca al país en sétimo lugar a nivel Latinoamérica, siendo estos cada vez más sofisticados. Lo más alarmante es que representa un aumento estimado de 810% respecto al 2023, cuando el país sufrió 5.000 millones de intentos de ciberataques.
Según ESET, el phishing se mantiene como la principal amenaza en el país en la primera mitad del 2025, con un 34% del total de detecciones. El segundo lugar lo ocupan los infostealers con un 16%, seguido de los filecoders (ransomware) con un 14%. Los infostealers, o ladrones sigilosos de datos confidenciales, han ganado popularidad entre los cibercriminales por su bajo costo, facilidad de distribución sin dejar rastros y su rápida monetización.
El robo de celulares es una de las formas en que los delincuentes acceden a contraseñas, datos privados para extorción o cuentas bancarias para hurto de capitales. En el primer semestre del 2025 se han registrado 728.493 celulares robados, según Osiptel.
En lo que va del año se ha disparado el accionar del ataque engañoso ClickFix, según ESET, que creció un 500% en comparación con el segundo semestre del 2024, convirtiéndose en el vector de ataque más común después del phishing. Los ataques ClickFix muestran un error falso que manipula a la víctima para que copie, pegue y ejecute comandos maliciosos en sus dispositivos y quede vulnerable a disposición de troyanos, infostearlers o ransomware, detallaron.
El panorama del robo de información también experimentó alzas. El agente SnakeStealer (o Snake Keylogger) tomó la delantera, convirtiéndose en el infostealer más detectado por ESET. SnakeStealer incluye en sus capacidades el registro de pulsaciones de teclas, el robo de credenciales guardadas, la captura de pantallas y la recopilación de datos del portapapeles. También tuvo mayor protagonismo Lumma Stealer (+21%) y Danabot (+52%), de acuerdo con las mediciones de ESET.
En cuanto al ransomware creció el número de ataques y bandas activas, pero los pagos de rescates experimentaron un descenso significativo. Y respecto a los ataques al sistema operativo Android, crecieron 160%, impulsados por una nueva y sofisticada amenaza apodada Kaleidoscope, que distribuye aplicaciones maliciosas y bombardea a los usuarios con anuncios intrusivos, degradando el rendimiento del teléfono. Y el fraude basado en NFC se disparó más de treinta y cinco veces, impulsado por ingeniosas campañas de phishing.
Según ESET, el phishing se mantiene como la principal amenaza en el país en la primera mitad del 2025, con un 34% del total de detecciones. El segundo lugar lo ocupan los infostealers con un 16%, seguido de los filecoders (ransomware) con un 14%.
La hora del crimen inteligente
La inteligencia artificial (IA) se ha erigido como una tecnología transformadora en múltiples sectores, para bien y para mal, si se carece de un marco ético de acción. En términos de ciberseguridad, la IA ofrece oportunidades significativas para mejorar la detección, prevención y gestión del cibercrimen, que se ha hecho más sofisticado justo gracias a la IA y su gran capacidad de procesamiento de datos.
Las empresas locales no son ajenas al apogeo de la IA y, según Bumeran, ya el 57% de los profesionales peruanos la utilizan en sus labores diarias, superando a Chile y Argentina. McKinsey & Company destaca que sectores clave peruanos, como banca y minería, ya utilizan la IA para transformar sus procesos y consolidar sus ventajas competitivas. Además, según un estudio de Tricentis, el 96% de empresas peruanas planean aplicar IA para detectar errores de software, dado que estas fallas les generan pérdidas de hasta US$5 millones al año, pues pueden ser aprovechados por los cibercriminales.
De acuerdo con el último reporte de FortiGuard Labs, el área de inteligencia contra amenazas de Fortinet, a nivel global se observa que los cibercriminales están utilizando cada vez más herramientas mercantilizadas con inteligencia artificial (IA) para sus delitos. Por ejemplo, hacen labores de reconocimiento cada vez más enfocadas y difíciles de detectar, lo cual se convierte en uno de los mayores retos de las empresas peruanas.
Las organizaciones deben tomar una estrategia proactiva enfocada en inteligencia e impulsada por IA, confianza cero y manejo continuo de exposición a amenazas, afirmaron desde Fortinet, para poder resistir. Los mercados de la dark web facilitan el acceso a kits de explotación empaquetados. A nivel global, en 2024, los foros de ciberdelincuentes sumaron 40.000 nuevas vulnerabilidades, un alza del 39% con respecto a 2023.
Asimismo, FortiGuard Labs observó un aumento del 500% en los registros disponibles de sistemas comprometidos por malware de robo de información, con 1.700 millones de registros de credenciales robadas compartidos en estos foros clandestinos y más de 100 mil millones de registros comprometidos, un aumento interanual del 42%.
Los investigadores de WatchGuard Threat Lab durante el primer trimestre de 2025 encontraron que, a nivel global, hubo un aumento del 171% (trimestre a trimestre) en el total de detecciones únicas de malware, el mayor registrado hasta la fecha. También observó un aumento del 712% de nuevas amenazas detectadas en endpoints (componentes situados en el extremo de una red), las cuales habían estado a la baja en los tres trimestres anteriores. Las amenazas continúan propagándose a través del correo electrónico en lugar de la web, una técnica tradicional de phishing, aprovechando que la IA facilita la creación de mensajes cada vez más convincentes, advirtieron.
Giovanni Pichling, gerente de seguridad estratégica de la Asociación de Bancos del Perú (Asbanc), remarcó que la clave es la educación del usuario, la inversión en tecnología para apoyarse de la IA ante las nuevas amenazas sigilosas y materializar mejor la colaboración público-privada a fin de contar con mejores mecanismos de respuesta.
Ante este panorama complejo y en constante evolución, las organizaciones necesitan una respuesta estratégica, integral y proactiva. Mónica Villavicencio, Head of Cyber Security en NTT Data Perú enfatizó la necesidad de una visión holística del ciclo de vida del fraude, a través de un «ecosistema resiliente» con el cliente en el centro y la excelencia operativa como pilar, además del apoyo de una regulación de todo el ecosistema de ciberseguridad, desde la gestión de incidentes hasta la generación de confianza para reportarlos y poder compartirlos con pares locales y extranjeros.
Las estrategias se deben orientar a la detección temprana y proactiva de esquemas fraudulentos mediante el monitoreo inteligente. Pero se requiere una colaboración estrecha con las entidades estatales, además de una formación en ciberseguridad de la ciudadanía. Giovanni Pichling, gerente de seguridad estratégica de la Asociación de Bancos del Perú (Asbanc), remarcó que la clave es la educación del usuario, la inversión en tecnología para apoyarse de la IA ante las nuevas amenazas sigilosas y materializar mejor la colaboración público-privada a fin de contar con mejores mecanismos de respuesta ante la evolución del cibercrimen y la pronta llegada del uso de la computación cuántica de forma criminal.
A nivel de ecosistema normativo se ha avanzado en ciberseguridad en los últimos años, pero quedan varios pendientes, destacando la falta de instrumentos para la investigación informática forense, comentó el Dr. Erick Iriarte, CEO de eBIZ. A nivel estratégico, añadió, también hay importantes carencias, empezando porque aún no se cuenta con una estrategia nacional en materia de lucha contra el cibercrimen. También urge resolver la falta de profesionales preparados para proteger las organizaciones, advirtió.
A nivel de ecosistema normativo se ha avanzado en ciberseguridad en los últimos años, pero quedan varios pendientes, destacando la falta de instrumentos para la investigación informática forense, comentó el Dr. Erick Iriarte, CEO de eBIZ
Fortinet estimó que en América Latina y el Caribe hay una demanda sin cubrir de alrededor de 1,3 millones de profesionales en la región y un estudio de la Escuela de Administración de Negocios para Graduados (ESAN) citado por Gestión advirtió en 2023 que para 2025 se necesitarían entre 7.000 y 13.500 profesionales de ciberseguridad en Perú.
Jaime Honores, secretario de la Secretaría de Gobierno y Transformación Digital (SGTD), advirtió que ya se está trabajando en una estrategia nacional de ciberseguridad, además de la revisión, para su pronta publicación, del reglamento de la norma de confianza digital y la capacitación del personal estatal en la materia. A través de estos medios, entre otros como la incorporación de disposiciones normativas para la continuidad operativa de las entidades públicas, se busca fortalecer la ciberseguridad en el corto y mediano plazo.
¿Será eso suficiente? ¿Qué nos falta como país para contar con un ecosistema seguro? En el presente especial recogemos la visión de quienes están a cargo de las modificaciones, así como de los representantes de las empresas de seguridad y el sector privado, con el fin de tener una mirada clara de cuál debe ser el sendero por seguir para lograr un Perú Digital Seguro.
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
Jaime Honores, secretario de Gobierno y Transformación Digital
Giovanni Pichling, gerente de seguridad estratégica de la Asociación de Bancos del Perú (Asbanc)
Erick Iriarte, especialista en Derecho Digital y CEO de eBIZ
Claudia Torres, jefa comercial de Intecnia Corp y country partner de Bitdefender
Jorge Zeballos, gerente general de ESET Perú
Kenneth Tovar, country manager de Palo Alto Networks para Perú y Bolivia
Adicionalmente, pueden complementar la información con los siguientes contenidos sobre el nuevo Rgto. de la Ley de Datos Personales:
