En el Perú, solo en la primera mitad de 2025, se detectaron más de 748 millones de intentos de ciberataques, según Fortinet. Los sectores más afectados fueron telecomunicaciones, manufactura y el sector público, pero nadie está a salvo. El ransomware ha evolucionado y no solo bloquea archivos, sino que amenaza con hacer públicos tus fallas de seguridad y denunciarte ante las autoridades si no pagas. En ese panorama, las empresas con soluciones de seguridad obsoletas o sin personal capacitado han sido las más vulnerables. Se estima que el 77% de las organizaciones ha sufrido incidentes de pérdida de datos, y solo el 47% confía en que su sistema de prevención es realmente eficaz.
Se trata de algo que afecta a todos. Los ciudadanos lo vivieron al ver sus datos circulando en la dark web y vendidos en redes sociales. Esto pasó por usar una app fraudulenta, abrir un mensaje que llegó al correo con el logo del banco o un mensaje de WhatsApp generado por inteligencia artificial (IA). Pero no solo les pasó a las pymes descuidadas. También cayeron Reniec, bancos de peso como Interbank y municipalidades como la de Miraflores, quienes sufrieron pérdidas de datos sensibles, los cuales fueron expuestos a ciberdelincuentes, quienes los usan para extorsionar, chantajear o simplemente espiar.
Ante esta realidad, desde el Ejecutivo aseguran que se ha venido trabajando en normas que garanticen un ecosistema seguro y transparente. Se elaboró y debatió un reglamento del Decreto de Urgencia N.° 007-2020, y en los primeros días de noviembre del 2025 se aprobó la versión final con el Decreto Supremo N.° 126-2025-PCM, presentando así una norma que desarrolla el marco de confianza digital en Perú. El mencionado decreto entra en vigor a los 90 días calendario de su publicación, es decir, en febrero del 2026.
¿De qué trata la norma?
El nuevo reglamento establece en sus principios que tiene como finalidad garantizar que las relaciones digitales se desarrollen de forma ética, transparente, segura, inclusiva y confiable, en línea con los principios de la Política Nacional de Transformación Digital al 2030. Establece además que la Secretaría de Gobierno y Transformación Digital (SGTD) de la PCM (Presidencia del Consejo de Ministros) es el ente rector encargado de coordinar la implementación y supervisión de la norma, crea el Centro Nacional de Seguridad Digital (CNSD) para gestionar incidentes y define las responsabilidades para sectores críticos, buscando fortalecer la ciberseguridad y la protección de datos.
Entre sus principales objetivos, el nuevo Reglamento del Marco de Confianza Digital busca fortalecer la seguridad digital, proteger los datos personales, fomentar la ética tecnológica y garantizar la protección del consumidor en el entorno digital. Establece roles, funciones y responsabilidades de los actores públicos y privados involucrados en la gestión digital y definen mecanismos para la gestión de incidentes digitales, así como directrices para la interoperabilidad segura entre sistemas.
El reglamento, informaron, busca fomentar la colaboración entre entidades públicas, sector privado, academia y ciudadanía, promoviendo la transparencia y la ética digital. Su ámbito de aplicación son las entidades públicas, las empresas del Estado, organizaciones de la sociedad civil y la academia. En el sector privado las disposiciones de seguridad digital son aplicables a proveedores de servicios digitales (PSD) del sector financiero, servicios básicos (energía eléctrica, agua y gas), servicios de internet, transporte de personas salud, servicios educativos y actividades críticas.
El nuevo Reglamento del Marco de Confianza Digital busca fortalecer la seguridad digital, proteger los datos personales, fomentar la ética tecnológica y garantizar la protección del consumidor en el entorno digital.
Los terceros que no presten un servicio digital y que operen como intermediarios con servicios de nube, alojamiento de contenido, procesamiento, disponibilidad o permitan mejorar su desempeño, no son considerados como PSD y no están obligados a cumplir las directivas de seguridad. Los PSD deberán notificar al CNSD los incidentes de seguridad digital, implementar controles y medidas de seguridad al brindar servicios digitales, gestionar riesgos de seguridad digital para generar valor, establecer mecanismos de autenticación para verificar la identidad de quienes acceden a un servicio digital y colaborar con la Autoridad Nacional de Protección de Datos Personales (ANPDP) conforme lo prevé la ley vigente. La SGTD tiene 120 días para emitir la clasificación de incidentes de seguridad.
Cuando ocurra un incidente de seguridad digital, la notificación al CNSD deberá ser a través de los canales oficiales –la plataforma digital que automatiza el registro o el correo electrónico cifrado o por teléfono– y deberá reportarse en máximo 48 horas desde que se conoció el incidente. Valga recordar que la Superintendencia de Banca y Seguros (SBS) ha trabajado una norma para que los bancos lo hagan en 24 horas, con lo cual no deberían tener problemas para hacerlo al CNSD dado que se trata de un plazo mayor.
Los supervisados se comprometen a rendir cuenta sobre las medidas y controles para gestionar los riesgos de la seguridad digital y deberán trabajar respetando la integridad de la persona. El Reglamento establece que «el diseño, implementación y mantenimiento de medidas y controles de seguridad digital en la prestación de servicios digitales, deben respetar los derechos humanos». Se especifica que han de garantizar que no se afecte la vida, la libre expresión, la autodeterminación de la persona, la igualdad de trato, la protección de los datos personales, entre otros.
El Reglamento establece que «el diseño, implementación y mantenimiento de medidas y controles de seguridad digital en la prestación de servicios digitales, deben respetar los derechos humanos».
La norma señala que la provisión de datos a través de tecnologías digitales, independientemente de donde se encuentren almacenados, sea efectiva, clara, visible, confiable, comprensible, coherente para el ciudadano y se gestione en sistemas o plataformas digitales fidedignos, completos, íntegros, coherentes, consistentes y precisos, de conformidad con las normas legales vigentes.
En relación con el Oficial de Seguridad y Confianza Digital (OSCD) que debe tener toda entidad pública, se especifica que será el responsable de coordinar la implementación y mantenimiento de acciones estratégicas y técnicas en materia de seguridad digital, además de coordinar las notificaciones de incidentes al CNSD y lo relativo a protección de datos con el Oficial de Datos Personales.
¿Es suficiente?
La norma fue estudiada y analizada antes de llegar a su versión final. ¿Es el reglamento todo lo que necesita el país para garantizar un entorno de confianza digital? ¿Se necesitan más normas? En el presente especial brindamos un panorama de cómo avanza el cibercrimen y la cantidad de denuncias que se han reportado ante la Fiscalía para tener una visión de la realidad. Luego se reúnen las voces de gremios y expertos en torno al contenido del nuevo reglamento, analizando los cambios en torno al borrador que se trató en un especial previo, junto a una visión de los expertos sobre qué es lo que se necesita en el país para tener un verdadero ecosistema confiable y transparente.
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
Juan Pacheco, gerente general de la Asociación para el Fomento de la Infraestructura Nacional (AFIN)
Giovanni Pichling, gerente de seguridad estratégica de la Asociación de Bancos del Perú (Asbanc)
Brenda Sparrow, gerente de Asuntos Legales y Regulatorios en la Sociedad de Comercio Exterior del Perú (ComexPerú)
Erick Iriarte, especialista en Derecho Digital y CEO de eBIZ
