El alto costo de la cibercriminalidad | Un especial de eBIZ Noticias

Los ataques de los cibercriminales a ciudadanos y empresas en el país no solo se vienen incrementando en forma considerable en los últimos años dada la mayor digitalización de la sociedad, sino que implican cada vez mayores estragos en el ámbito económico y social.
El alto costo de la cibercriminalidad | Un especial de eBIZ Noticias

Si observamos a un grupo pequeño de personas conversando, no falta alguien comentando que le robaron recientemente el celular y la billetera, otro que recibió una llamada de un estafador, o le clonaron la tarjeta de crédito, o que sacaron una cuenta falta en el Facebook con su nombre y escribieron a sus contactos pidiendo dinero. Es el pan de cada día.

INEI tiene un sistema integrado de estadísticas por departamento llamado Data-Crim en donde se puede apreciar que se reportan más delitos en ciudades con más de 20 mil habitantes, sobre todo si están en la costa. Los más comunes son el robo de dinero o cartera y celular, seguidos de las estafas. Todos ellos se agrupan en la categoría de Delitos contra el patrimonio (379,357), se incrementaron 26% en el último año y representan el 66.45% del total de incidentes a nivel nacional, según la Policía Nacional del Perú (PNP).

campaña-beneficios-gif-B-1
campaña-beneficios-gif-B-2
campaña-beneficios-gif-3
campaña-beneficios-gif-4
campaña-beneficios-gif-5

Pero estos delitos no se dan solo en el ámbito físico, sino también en el digital, donde han aumentado mucho luego de la transformación en los hábitos de consumo que trajo la pandemia. Un Yape falso, una estafa por WhatsApp o un prestamista online que en realidad roba datos son solo algunos ejemplos. En el país las denuncias por estos ciberdelitos se multiplicaron por siete en cinco años (2018-2022) y superaron la 22 mil en el 2023, según datos de la PNP.

En el 2024, se han incrementado sustancialmente las denuncias por delitos informáticos y, hasta agosto, la Divindat (División de Investigación de delitos de Alta Tecnología de la PNP) tenía registrados 27,934 denuncias, donde prima el Fraude informático (19,067) y va en segundo lugar la Suplantación de identidad (6,196). Solo en la modalidad extorción “gota a gota”, muy usual a través de aplicativos de préstamos que se descargan en el móvil, hubo 81 denuncias.

MODALIDADES ENE – AGO 2024
Fraude informático 19,067
Suplantación de identidad 6,196
Acceso ilícito 724
Fraude informático agravado 706
Atentado a la integridad de datos informáticos 324
Abuso de mecanismos y dispositivos informáticos 285
Suplantación de identidad agravado 227
Atentado a la integridad de sistemas informáticos 149
Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos 92
Interceptación de datos informáticos 61
Otros delitos 103
TOTAL 27,934
Delitos informáticos denunciados en 2024 en el Perú | Fuente: Divindat/PNP
Elaboración propia

Si hacemos un comparativo semestral del reporte, encontramos que hubo 20,704 denuncias en 2024, esto es casi 61% más de lo registrado en 2023 en el mismo periodo (12,904) y el triple de lo que se reportó en 2021 (6,507). Si bien hay más distritos considerados este año, la tendencia creciente es consecuente con la mayor digitalización de la sociedad peruana.

AÑO Delitos informáticos (1er semestre) Delitos informáticos (reporte anual)
2020 3,483 8,897
2021 6,507 14,673
2022 10,012 29,153
2023 12,904 21,498
2024 20,704 27,934 (hasta agosto)
Reporte semestral y anual de delitos informáticos entre 2020 y 2024 en el Perú | Fuente: Divindat/PNP
Elaboración propia

El efecto de esta realidad no solo se traduce en temor e inseguridad, sino que tiene un impacto económico, afectando desde las inversiones extranjeras hasta el turismo. La Sociedad de Comercio Exterior del Perú (ComexPerú) publicó un estudio en donde cita que, según el Banco Interamericano de Desarrollo (BID), el crimen le cuesta US$261 mil millones anuales a la región, lo que equivale al 3.5% del PBI anual.

En Perú el costo es de S/ 31,500 millones al año (US$8,510 millones), es decir el 3.07% del PBI. Era el 2.7% diez años atrás, lo cual refleja un alza sustancial, entendible si consideramos que el índice delictivo del INEI subió cuatro puntos en el segundo semestre del 2023 y las personas detenidas se elevaron 9.8% en el último año.

En el 2024, se han incrementado sustancialmente las denuncias por delitos informáticos y, hasta agosto, la División de Investigación de delitos de Alta Tecnología de la PNP tenía registrados 27,934 denuncias, donde prima el Fraude informático (19,067) y van en segundo lugar la Suplantación de identidad (6,196).

Érase una vez un celular

El smartphone es una pequeña computadora que porta no solo la agenda de lo que se tiene que hacer y el registro de actividades laborales, sino mucha data personal y el acceso a billeteras electrónicas o cuentas bancarias. Quizás por eso es el preferido de los delincuentes.

Según Statista, el 12% de peruanos ha sufrido un robo de dinero o celular en 2023. De hecho, un reporte difundido en Ampliación de Noticias de RPP, señaló que desde 2017 hubo 16 millones de celulares perdidos o robados en el país, lo que generó pérdidas de unos S/ 8 millones diarios. Es decir, S/ 2,920 millones al año, un aproximado de S/ 29,200 millones (US$7,890 millones) en una década.

En el primer cuatrimestre del 2024 estos robos o hurtos fueron la actividad delictiva más común, según el INEI. Las empresas operadoras han reportado al Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel) 536,728 casos. Solo en abril fueron 125,520 robos; es decir, 4,184 por día. En el mismo periodo del 2023 era una cifra muy parecida: unos 4,566 celulares robados a diario.

Si cada uno de los afectados comprara un nuevo teléfono a un precio promedio de S/ 370, tendríamos que los robos generan a los usuarios un gasto diario de S/ 1.5 millones. Pero la mayoría de los robos son de equipos de gama alta, valorados por encima de los S/ 2,000.

La Asociación de Bancos del Perú (Asbanc) lanzó el mes pasado “1820”, una línea de emergencia para bloquear cualquier cuenta bancaria si te roban el celular (con billeteras digitales incluidas) o las tarjetas físicas.

Para combatir esta práctica, se diseñó un programa que incluye el bloqueo del código IMEI, la creación de una lista negra (números reportados como robados) y una blanca (números importados registrados). En abril del 2024 arrancó la tercera fase, que implicó el bloqueo automático de la Lista negra y la creación de la Lista blanca.

Desde el Osiptel se informó que el nuevo sistema en línea generó 614,512 órdenes de bloqueo en todas las operadoras por identificar IMEI clonados y 13,220 bloqueos sobre IMEI inválidos, es decir, códigos que no figuran en la lista de la GSMA (organización mundial de operadores) y que fueron modificados para poder funcionar.

En la prensa diferentes gremios cuestionaron el bloqueo de la Lista blanca y se estableció que perjudicaría a los usuarios que compraron de buena fe equipos que no estaban registrados. Se estableció que esta medida afectaría a 8 millones de teléfonos en un año, según Comex, y obligaría a gastar US$75 millones en nuevos equipos.

Al final se suspendió el bloqueo y se creó un comité para estudiar cómo se trataría a la Lista blanca. Por lo pronto, la Asociación de Bancos del Perú (Asbanc) lanzó el mes pasado “1820”, una línea de emergencia para bloquear cualquier cuenta bancaria si te roban el celular (con billeteras digitales incluidas) o las tarjetas físicas, que cada vez se usan menos.

Un reporte difundido en Ampliación de Noticias de RPP, señaló que desde 2017 hubo 16 millones de celulares perdidos o robados en el país, lo que generó pérdidas de unos S/ 8 millones diarios.

Delincuencia digital

«Los cibercriminales son, sin duda, una fuente significativa de inseguridad ciudadana en Perú», afirmó Julio Seminario, especialista en ciberseguridad de Intecnia Corp, country partner de Bitdefender en Perú. A medida que las actividades diarias, como las transacciones financieras, se trasladan al ámbito digital, el impacto económico y social es mayor, explicó, porque abarca el ámbito personal y corporativo. No solo implican redoblar el gasto en incorporar soluciones de seguridad a nivel de las empresas, sino solventar las pérdidas por fraudes financieros y las multas por pérdida de datos personales de los clientes.

El año pasado expertos de Canvia estimaron que un solo ataque le puede costar a una empresa local desde US$13 mil hasta más de US$5 millones. En promedio, según IBM, en la región una brecha de seguridad declarada bordea los US$1.1 millones y, de acuerdo a los cálculos de eBIZ, en Perú la cifra asciende a US$350 mil por incidente, añadió el Dr. Erick Iriarte Ahon, CEO de eBIZ.

Cybersecurity Ventures calcula año a año el daño que genera la ciberdelincuencia en el mundo. Se pasó de US$3 billones por ataques en 2015 a US$6 billones en 2021, US$8 billones en 2023, unos US$9.5 billones para el año en curso y se estima serán por US$10.5 billones para 2025. Solo el ransomware o secuestro de datos alcanzó un costo de US$20 mil millones en 2021, que fue 57 veces más que en 2015.

En el Perú, explicó Julio Seminario, los ataques de ransomware se vienen incrementando y están dirigidos principalmente a infraestructuras críticas y medianas empresas, que suelen carecer de defensas cibernéticas avanzadas. Bitdefender, dijo, estableció que las principales formas de ataque locales fueron el robo de credenciales (35%), los ataques de red (30%), páginas web con código malicioso (13%) y los ataques por falta de actualizaciones o parches (7%).

PNP declaró al diario El Comercio que el año pasado se registraron 1,487 denuncias de estafas digitales en 2023 con pérdidas que sumaron S/ 53 millones y US$26.9 millones. Las pymes están entre las más vulnerables, y son conscientes de eso, porque un 88% reconoció la necesidad de reforzar sus medidas de protección y 36% aceptó haber sufrido un ataque informático en el último año, recordó Movistar Empresas. De hecho, junto a los usuarios con menor conocimiento en ciberseguridad y los niños − siete de cada 10 sufren ataques −, son los blancos más fáciles para los cibercriminales, remarcó Seminario.

En la región ha habido una evolución en el tipo de ataques perpetrados, volviéndose cada vez más complejos y sofisticados, incluyendo hasta inversiones y pagos por criptomonedas inexistentes. Según ESET, hasta antes del 2010, primaban los virus y gusanos que aprovechaban vulnerabilidades y causaban daños a los archivos de forma masiva. La década siguiente primó la profesionalización del cibercrimen con ayuda del phishing y el ransomware, o el secuestro de datos a cambio de un rescate.

Actualmente, la reina es la Inteligencia Artificial (IA), usada para ataques dirigidos muy sofisticados, afirmaron desde ESET. También están cobrando protagonismo los APT (Amenazas Persistentes Avanzadas), que se centran en el espionaje y el sabotaje a largo plazo con fuerte incidencia en el sector público con móviles económicos, geopolíticos o ideológicos, como el reciente hackeo al régimen de Maduro dado el irrespeto de los resultados electorales en Venezuela.

La IA implica riesgos incluso cuando no la usan los criminales en ataques, advierten desde ESET, porque al emplearla en el perfeccionamiento de algún software por brindar un menor servicio, quedan sin respetarse los derechos de autor, que pueden llevar millonarias demandas, o la violación de la privacidad de los datos, que en manos equivocadas pueden ser usados de forma delictiva.

El año pasado expertos de Canvia estimaron que un ataque le puede costar a una empresa local desde US$13 mil y hasta más de US$5 millones. En el Perú, explicó Julio Seminario (de Bitdefender), los ataques de ransomware se vienen incrementando y están dirigidos principalmente a infraestructuras críticas y medianas empresas.

«El manejo de los datos que requieren estas tecnologías y la administración de la información para nutrirla, hace necesarios contratos que sean claros y concisos, que no presten a confusión o descontento», comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. Por ejemplo, en Windows Recall de PC Copilot+, se hace un recuento de todas las actividades del usuario, incluyendo el registro de conversaciones y correo, que son datos personales, para facilitar la búsqueda de imágenes y texto con lenguaje natural.

ESET informó que un entusiasta de la ciberseguridad demostró, antes de que se lanzara la solución, que esta función almacena las capturas de pantalla en una base de datos sin cifrar y puede ser extraído de una manera muy sencilla con una herramienta llamada “TotalRecall”. En manos equivocadas es muy peligroso, advirtieron.

En el Perú existen ya antecedentes de aprovechamiento de datos personales para robos o chantajes sin necesidad de mucha sofisticación. En 2022, recordemos, unos delincuentes filtraron y comercializaron los datos personales de 30 millones de peruanos que estaban registrados en la Reniec. Un año después, el Juzgado les impuso 15 meses de prisión preventiva a los implicados, pero el problema no murió ahí.

Aún existen quienes practican este delito, a los que sumamos quienes venden un Yape falso, que se descarga incluyendo la opción de encontrar los teléfonos de los usuarios registrados en el sistema. Y a nivel del sector público, en el primer semestre fue sonado el secuestro de la data del Instituto Geológico, Minero y Metalúrgico (Ingemmet), organismo público a cargo del almacenamiento de la información geo científica del país.

En la región ha habido una evolución en el tipo de ataques perpetrados, volviéndose cada vez más complejos y sofisticados, incluyendo hasta inversiones y pagos por criptomonedas inexistentes.

También tenemos ataques más sofisticados. Se puede recordar en 2023 la presencia de un troyano peruano que se apropiaba de celulares de sus víctimas para vaciar sus cuentas bancarias: Zanubis. Kaspersky informó en su momento que este troyano de acceso remoto (RATs) lideró el ranking de intentos de ataque porque burlaba las defensas en la banca móvil dado su alto nivel de complejidad en su desarrollo. No es casualidad, entonces, que los fraudes financieros crecieran el año pasado un 50% en América Latina y 92% en el Perú.

Un sendero por seguir

A nivel país en los últimos años se observa una mejora en el cuidado de la seguridad digital, coinciden los expertos. Uno de esos pasos favorables es la publicación del Reglamento de la Ley de Ciberdefensa y la creación del Centro Nacional de Seguridad Digital, que emite alertas de seguridad diarias. Además, se está avanzando en la creación de las autoridades respectivas y la capacitación de funcionarios.

De acuerdo con la Secretaría de Gobierno y Transformación Digital, el 94.74% de los ministerios ha designado su Oficial de Seguridad y Confianza Digital y el 84.21% cuenta con un equipo de repuesta ante incidentes de seguridad digital. Pero todavía falta mucho por hacer, porque a nivel de Gobiernos Regionales solo el 46.15% cuentan con el equipo de repuesta y apenas un 20.52% de los gobiernos locales (municipalidades) designó al Oficial de Seguridad y Confianza Digital.

Uno de los problemas por resolver es la falta de personal especializo en la materia, dado que hay un déficit de unos 50 mil profesionales en la materia, advirtió Erick Iriarte Ahon, CEO de eBIZ. Otro reto es asignar presupuesto suficiente para aplicar una adecuada estrategia de ciberseguridad, añadió Jorge Zeballos, gerente general de ESET Perú. Según el ESET Security Report 2024, remarcó, el 62% de las organizaciones en América Latina considera que sus presupuestos de ciberseguridad son insuficientes. 

«La ciberseguridad en Perú exige una respuesta coordinada entre lo sectores público y privado […] Asimismo, es necesario incentivar la inversión en tecnologías de seguridad avanzadas y fortalecer la colaboración internacional para combatir a los cibercriminales que operan desde otros países».

Jorge Zeballos, gerente general de ESET Perú

El general de Brigada Ernesto Castillo Fuerman, jefe de la Oficina General de Tecnologías de la Información y Estadística del Ministerio de Defensa, añadió que los encargados de combatir el cibercrimen adolecen limitaciones en el manejo de tecnología punta, porque los criminales están en constante evolución, con ataques cada vez más complejos que son difíciles de identificar e investigar. Además, dijo, falta preparar a la ciudadanía en mecanismos de ciberdefensa para evitar que caigan en las estrategias de ingeniería social de los delincuentes.

Por ejemplo, ahora ya no solo se realiza el phishing vía correo electrónico – un millón de ataques en el primer semestre según ESET – sino que se usan deepfake, videos con imágenes falsas, que muchas personas no saben identificar. Se necesita un trabajo integrado de formación en ciberdefensa entre todos los sectores e involucrados, ya sean consumidores finales o empresas, según sus propios requerimientos de protección, comentó Castillo.  

«La ciberseguridad en Perú exige una respuesta coordinada entre los sectores público y privado. Es importante promover la formación continua de profesionales en ciberseguridad y educar a la ciudadanía sobre la importancia de adoptar prácticas seguras en el entorno digital. Asimismo, es necesario incentivar la inversión en tecnologías de seguridad avanzadas y fortalecer la colaboración internacional para combatir a los cibercriminales que operan desde otros países», añadió Jorge Zeballos. 

Se requiere adoptar una serie de medidas, remarcó Castillo. Invertir en tecnología y capacitación, promover la colaboración público-privada, fortalecer la legislación y sensibilizar a la población. «Es fundamental que el Estado, las empresas y los ciudadanos trabajen de manera conjunta para construir un entorno digital más seguro. El control del cibercrimen en Perú es un desafío complejo que requiere una respuesta integral», apuntó.  

campaña-beneficios-gif-C-1
campaña-beneficios-gif-C-2
campaña-beneficios-gif-3
campaña-beneficios-gif-4
campaña-beneficios-gif-5

El esfuerzo se ha de mantener con estrategias y políticas de aplicación permanente, que incluyan campañas de concientización en todos los estratos. Actualmente, las organizaciones cibercriminales operan de manera similar a las empresas legítimas, con estructuras jerárquicas y muchos servicios que pueden ser provistos por gran cantidad de agentes o “empleados”, añadió Julio Seminario. «Aunque la conciencia sobre estos riesgos está creciendo, especialmente en el ámbito empresarial, aún persisten grandes brechas en la comprensión y prevención a nivel individual, lo que expone a muchos ciudadanos a peligros significativos», advirtió.  

El eslabón más débil, por donde suelen encontrar una puerta abierta los criminales, suele ser el usuario final, recordó Iriarte, por lo cual es vital desarrollar una cultura de ciberseguridad tanto en las organizaciones como en las escuelas. El problema en la actualidad es que aumentó la población conectada, pero no se han desarrollado las capacidades de ciberseguridad en la población, advirtió Iriarte. «No se trata solo de encontrar una solución tecnológica, sino de formar a las personas. Además de una adecuada regulación se requiere formar a la policía, los jueces, fiscales y a todos los ciudadanos en ciberdefensa», remarcó.

El costo de no hacerlo es enorme, no solo por la pérdida directa de dinero generada por el robo o secuestro de datos, sino que en el caso corporativo vienen las demandas de los clientes – Indecopi acaba de multar a Interbank por una falla del año pasado – y las sanciones por no proteger los datos de los clientes. Sumemos a ello las menores ventas o pérdida de clientes regulares si se dañó la imagen de la compañía.

La sacudida económica que uno se puede imaginar que genera un ataque “exitoso” se queda corta frente a la realidad. «El impacto es brutal. Muchas organizaciones no declaran las brechas de seguridad que experimentan o no usan herramientas de mitigación. Entonces estamos ante miles de millones de dólares perdidos no contabilizados», advirtió Iriarte.

«No se trata solo de encontrar una solución tecnológica, sino de formar a las personas. Además de una adecuada regulación se requiere formar a la policía, los jueces, fiscales y a todos los ciudadanos en ciberdefensa».

Erick Iriarte Ahon, CEO de eBIZ

Ante este panorama, no es una opción ignorar este tipo de delincuencia o no darle la relevancia debida en el diseño de estrategias de contención de la inseguridad a nivel país, coincidieron todos los expertos consultados. «La ciberseguridad no es un lujo, es una necesidad. Es hora de que todos nos unamos para combatir este flagelo que amenaza nuestra tranquilidad y nuestra economía», remarcó Castillo.

¿Cuáles son los ciberdelitos más frecuentes en el Perú?

Los ciberdelitos son conductas ilegales realizadas en Internet, o usando dispositivos electrónicos, que perjudican a individuos, empresas o gobiernos. Uno de los tipos más frecuentes de ciberdelitos en el país es el phishing, donde los delincuentes envían mensajes fraudulentos para engañar a las víctimas y llevarlas a sitios web falsos con el objetivo de robar información personal y datos bancarios.

El uso de inteligencia artificial ha hecho que estos engaños sean cada vez más sofisticados y convincentes. Según datos de ESET, Perú experimentó más de un millón de ataques únicos de phishing en el primer semestre de 2024, destacando la gravedad del problema y la necesidad de estar alerta frente a estas amenazas digitales.

Evoluciones del phishing:

  • Vishing: Son llamadas telefónicas fraudulenta con información previamente obtenida bajo otros engaños. El objetivo es robar dinero en transacciones financieras.
  • Smishing: se da por mensajes de texto o de WhatsApp. El delincuente finge ser funcionario del banco para robar datos confidenciales. Incluso dan número falso para devolver llamada al banco.
  • Whaling: ataques a personas de alto rango de una organización con correos personalizados que buscan obtener datos confidenciales, instalar malware o inducirlos a realizar transferencias fraudulentas. Es un spearphishing, o pesca con arcón, porque tiene un objetivo particular: capturar un “pez gordo”.
  • Carding: fraude perpetrado con datos de tarjetas de crédito que han sido robados. Se valen de dichos datos para hacer compras en línea.
  • Pharming: usan malware para redirigir a los usuarios hacia versiones falsificadas de sitios web, con el fin de que introduzcan sus datos personales.
  • Ransomware: toman control del equipo o sistema infectado y lo “secuestran”, e impiden los accesos. Piden dinero a cambio de devolver lo raptado. ESET estima que el 23% de empresas en Perú fue víctima de estos ataques en los últimos dos años.

Modalidades de phishing más usadas en la región según ESET

Explotación de vulnerabilidades antiguas

Es frecuente aprovechar vulnerabilidades conocidas, pero no parcheadas en software, como por ejemplo la CVE-2017-11882 en Microsoft Office. Gracias a ello instalan malware, secuestran datos o generan fallos en los sistemas.

Las vulnerabilidades de Microsoft Office más explotadas

Troyanos bancarios

Programas creados para robar datos de la banca móvil o en línea. Kaspersky advierte de la existencia de variedad de modelos brasileños, pero también hay modelos creados en Perú. Además, advierten que se está adoptando cada vez más como ATS (Sistema de Transferencia Automatizada).

Los Troyanos de Acceso Remoto (RAT) más activos en la región según ESET

Para profundizar más en el tema los invitamos a revistar las siguientes entrevistas:

ÚLTIMAS NOTICIAS

NOTICIAS RELACIONADAS

¿Qué tipos de estafas se pueden sufrir al pagar con el celular?

La Policía advierte sobre el uso de tecnologías como el código QR falso o Qhishing para el pago con billeteras móviles. También recomiendan estar alertas a los nuevos riesgos que enfrentan los usuarios móviles, como la clonación de datos NFC de las tarjetas de pago físicas.