La publicista Claudia Torres es jefa comercial de Intecnia Corp, empresa peruana con más de 12 años en el rubro tecnológico, y country partner para la cuenta de Bitdefender desde el 2023. Intecnia Corp, además de brindar soluciones de ciberseguridad, se especializa en tecnología educativa con las marcas como Matatalab, Microduino y Snap Circuits. En esta entrevista nos brinda su perspectiva sobre la realidad y normativa que se tiene en el Perú en torno a la ciberseguridad.
¿Qué opinan sobre la evolución normativa en torno a la ciberseguridad del país?
La normativa peruana actual en materia de ciberseguridad aún se encuentra en una etapa incipiente. Si bien existen avances importantes con respecto a la protección de datos personales, todavía hay grandes desafíos pendientes en términos de implementación, cumplimiento y cultura de seguridad digital en el país.
¿Qué nos falta?
Sabemos que la mayoría de las empresas peruanas, especialmente las mypes o emprendimientos, desconocen o subestiman las regulaciones existentes y no integran la seguridad digital en su estrategia de continuidad operativa. Esto revela que no existe una conexión entre la normativa vigente y su aplicación práctica.
Asimismo, está muy vigente la percepción de que aún no se ha consolidado una estrategia nacional de ciberseguridad. Si bien se cuenta con un marco normativo orientado a delitos informáticos (Ley N.º 30096) y un régimen fortalecido de protección de datos (Ley N.º 29733 y su nuevo reglamento aprobado en 2024), no existe aún una específica y completa de ciberseguridad que articule políticas públicas, operadores críticos, posibles riesgos, coordinación entre empresas privadas y ciudadanía para la prevención, monitoreo y respuesta específica frente a amenazas digitales.
Además, el Reglamento actualizado de protección de datos (Decreto Supremo 016-2024-JUS), que entró en vigencia en 2025, representa un avance clave, al establecer nuevas obligaciones, pero su implementación será bastante desafiante para entidades pequeñas o con baja madurez digital, como es el caso de muchas mypes peruanas. Aquí es importante pasar de una postura reactiva a una estrategia preventiva, articulada, educativa y fiscalizable, con la finalidad de reducir la ciberdelincuencia y sus altos costos.
«[L]a mayoría de las empresas peruanas, especialmente las mypes o emprendimientos, desconocen o subestiman las regulaciones existentes y no integran la seguridad digital en su estrategia de continuidad operativa. Esto revela que no existe una conexión entre la normativa vigente y su aplicación práctica».
¿Qué o cómo se puede mejorar esta situación?
Se puede mejorar en los siguientes aspectos para cerrar brechas existentes, como, por ejemplo:
- Proponer una ley nacional de ciberseguridad que defina roles, responsabilidades, protocolos de actuación y estándares de seguridad mínimos, sobre todo para infraestructuras críticas.
- Integrar la educación digital desde temprana edad, a fin de construir una cultura de prevención a largo plazo.
- Incentivos y programas de financiamiento para que las mypes puedan implementar soluciones de protección digital, entendiendo la importancia y la implicancia de la ciberseguridad en sus negocios.
¿Cuál es su opinión sobre el reglamento de confianza digital propuesto en abril?
El reglamento de confianza digital aprobado es un avance significativo para fortalecer la ciberseguridad y la protección del ciudadano en entornos digitales, porque se reconoce la confianza como eje central de la transformación digital del país, considerando la seguridad digital, protección de datos, transparencia y el uso ético de tecnologías como la IA y otras.
¿Qué tiene de destacado?
Un aspecto que saludamos especialmente es la creación del Centro Nacional de Datos y el Centro Nacional de Seguridad Digital. El primero para gestionar, dirigir, articular y supervisar la operación, educación, promoción, colaboración y cooperación de datos a nivel nacional, y el segundo cumplirá el rol de identificar, proteger, detectar, responder, recuperar y recopilar información sobre incidentes de seguridad digital en el ámbito nacional para gestionarlos. Ambos promoverán y articularán la cooperación entre actores públicos y privados, así como canalizar los reportes de incidentes. Esto establece una mejor arquitectura institucional y pone al Perú en mejor sintonía con estándares internacionales.
«[E]s importante pasar de una postura reactiva a una estrategia preventiva, articulada, educativa y fiscalizable, con la finalidad de reducir la ciberdelincuencia y sus altos costos».
¿Qué se le puede agregar?
Desde nuestra experiencia en ciberdefensa y análisis de riesgos, consideramos que aún hay áreas que requieren refuerzo, tanto en el marco como en su implementación:
- No hay un mandato claro sobre la adopción mínima de tecnologías de protección, como sistemas de monitoreo continuo (MDR/XDR), ni obligaciones específicas para empresas que manejan información crítica más allá del reporte de incidentes. El reglamento técnico debe incorporar estándares operativos y tecnológicos obligatorios.
- Se menciona el uso ético de tecnologías digitales, pero sin protocolos claros de evaluación de riesgos de IA. Dado que las amenazas actuales (como el phishing con deepfakes o la automatización de ataques) que están impulsadas por IA, se necesita un capítulo específico sobre este punto.
- El enfoque hacia el sector privado es aún más consultivo que vinculante, lo que puede traducirse en una aplicación desigual. Sugerimos que se establezcan criterios diferenciados pero obligatorios para ciertos sectores, como salud, banca, educación y telecomunicaciones.
¿Están medianamente conformes con lo propuesto?
El país necesita un marco de confianza robusto para lograr una digitalización segura y sostenible. Su éxito dependerá de cómo se articule con otras normas ya vigentes y que se fortalezca la fiscalización, capacitación e interoperabilidad entre actores.
En ese sentido, desde Bitdefender estamos comprometidos a apoyar este proceso de confianza y seguridad digital desde el sector privado, con soluciones tecnológicas, campañas de información y concientización, así asistencia técnica a empresas locales. Por ejemplo, contamos con Scamio, una IA gratuita que permite detectar posibles estafas en enlaces, correos o mensajes.
¿Cuáles han sido las principales incidencias o ataques de este año a nivel local y latinoamericano? ¿Qué familias o incidentes han sido más comunes y por qué?
Entre los ataques más frecuentes reportados en Perú siguen siendo el phishing, ransomware y malware bancario, pero con un creciente uso de herramientas impulsadas por inteligencia artificial:
- Phishing e IA generativa: se crean correos altamente personalizados, imitando el lenguaje y estilo de ejecutivos, lo que incrementa el éxito del fraude.
- Deepfakes y manipulación de voz o video: ya existen registros de intentos de fraude con voces y videos generados con IA para suplantar identidades en llamadas comerciales.
Por otro lado, empresas del sector salud, financiero, e instituciones públicas se han visto afectadas por la vulneración de datos o hackeos. Los incidentes se dieron de la siguiente manera:
- Sector financiero (2024): un hacker logró acceder a la red del banco y sustraer datos confidenciales de sus clientes aprovechando una configuración de red vulnerable y herramientas de uso libre para mapear activos internos durante meses.
- Sector salud (2025): se filtraron datos de más de 3 millones de clientes, incluidos correos, teléfonos, fechas de nacimiento y registros de compras, involucrando información sensible de salud.
- Alerta global replicada por Perú (2025): el gobierno peruano advirtió a instituciones públicas y privadas sobre la filtración global de 16 mil millones de contraseñas y credenciales, conocida como el “megaleak” de RockYou2024.
- Fiscalía reporta más de 9 mil casos de ciberdelitos en 2025: los casos incluyen fraudes bancarios, estafas por suplantación de identidad y extorsiones digitales. Muchas empresas del sector telecomunicaciones y financiero ponen trabas al acceso de información, lo cual ralentiza las investigaciones.
¿Se ha sentido ya el impulso de la IA en los ataques locales?
El impulso de la inteligencia artificial ya se está sintiendo en la región, y Perú no es la excepción. Gracias a la proliferación de herramientas de IA generativa que son mal utilizadas por actores maliciosos para construir ataques más difíciles de detectar. La sofisticación de los ataques, sumada a las brechas normativas, técnicas y educativas, hacen urgente la implementación de una estrategia nacional coordinada y preventiva.
Por eso, además de un marco normativo y ético, recomendamos a las organizaciones, en general, educar constantemente a los equipos sobre ciberataques, realizar capacitaciones sobre los engaños más usados, fraudes y otros engaños, así como tener un protocolo de respuesta contra incidentes.
¿Qué necesita el país para entrar en una curva descendiente de incidentes que generan daños o pérdidas económicas?
Consideramos que el país necesita avanzar en cuatro frentes para reducir el impacto de los ciberataques:
- Incluir la educación en ciberseguridad como parte del currículo escolar y universitario.
- Establecer políticas obligatorias de seguridad para Mypes que incluyan gestión de accesos, respaldos de datos y uso de software especializado.
- Promover alianzas para el uso de herramientas gratuitas y accesibles como Scamio, que permiten a cualquier usuario verificar en segundos si un mensaje es una posible estafa
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
Adicionalmente, pueden complementar la información con los siguientes contenidos sobre el nuevo Rgto. de la Ley de Datos Personales:
