«Necesitamos una ley integral de ciberseguridad» – Jorge Zeballos, ESET Perú | Especial Confianza y Ciberseguridad: aliadas de la Transformación Digital

Jorge Zeballos es gerente general de ESET Perú desde hace más de 10 años y define su labor como un camino para servir y ayudar a las personas a construir una sociedad más segura, donde la tecnología sea un aliado y no un enemigo. En esta entrevista comparte su perspectiva sobre cómo lograrlo.

¿Qué opinan sobre la evolución normativa en torno a la ciberseguridad del país? ¿Qué falta y que se puede mejorar?

Hay un avance, pero queda por desarrollar una ley integral, esa que genere los compromisos del sector público/privado. Es indispensable establecer la coordinación operativa en el sector público, también en establecer responsabilidades en la defensa de activos críticos (transporte, energía, salud, etc.), así como promover en la academia la generación de los recursos humanos competentes y dotar a este esfuerzo de los suficientes recursos económicos.

¿Cuál es su opinión sobre el Reglamento de Confianza Digital que se propuso en abril y está en revisión? ¿Están conformes con lo que propone, de cara a mejorar la seguridad local?

Es un avance importante, pero deja vacíos en términos de operación (CNSD), así como dotar recursos técnicos (apoyo) para el sector PYME y faltan definiciones en términos de multas y sanciones. Y mantiene las deficiencias en cuanto a los sectores con infraestructura critica (sin estándares, ni auditorias).

250527Bannergifautomatizaciona

250527Bannergifautomatizacionb

250526Bannergifautomatizacionc

250526Bannergifautomatizaciond

250526Bannergifautomatizacione

¿Cuáles han sido las principales incidencias o ataques de este año a nivel local y latinoamericano? ¿Qué familias, qué incidentes se han dado con mayor incidencia y por qué?

Según ESET, estos son los principales incidentes y familias de malware que han marcado la escena de ciberseguridad en Perú y Latinoamérica este año:

Principales incidentes y familias observadas:

1. Exposición masiva de credenciales
   ESET alertó en junio de 2025 que se expusieron más de 184 millones de credenciales, incluyendo correos y contraseñas, de plataformas populares como Apple, Google, Facebook, Instagram, Snapchat y Roblox. Esto facilita ataques de credential stuffing y phishing dirigidos, especialmente hacia usuarios peruanos.
2. Ataques con exploits antiguos en Office
   A nivel regional, los exploits CVE-2017-11882 y CVE-2012-0143 siguen siendo los más usados (45 % y 36% respectivamente) para distribuir malspam con RATs como Agent Tesla, Ramnit, Rescoms y Bundpil.
3. Ransomware y Malware-as-a-Service (MaaS)
   El ransomware sigue siendo una amenaza principal, afectando en los últimos dos años al 23% de empresas latinoamericanas. Se destaca el auge del Malware as a Service, con ataques en gran escala orquestados a través de Telegram.
4. Ataques dirigidos por APTs
   Aunque el enfoque fue principalmente en Europa y Asia, las campañas APT reveladas por ESET hasta marzo de 2025 muestran un arsenal creciente: nuevos wipers como ZEROLOT, espías como Mustang Panda, MuddyWater y Gamma-alike groups.  No [fue de] concentración local, pero están surgiendo señales de espionaje y ataques más enfocadas en infraestructura crítica regional.

¿Se ha sentido ya el impulso de la inteligencia artificial (IA) en los ataques locales?

ESET identifica un uso malicioso creciente de IA:

• Phishings más sofisticados con IA generativa.
• Automatización y perfeccionamiento de código malicioso.
• Empleo de deepfakes y malware polimórfico

En Perú y Latinoamérica ya se detectan campañas con clonación de voz con IA, aprovechadas en estafas telefónicas. Todavía no hay evidencia de uso de IA por APTs locales, pero sí de actores criminales organizados que utilizan IA para ingresar y escalar ataques.

«La amenaza IA ya está presente en casos como estafas con clonación de voz, y pronto veremos más phishing potenciado con IA o deepfakes».

¿Por qué estas amenazas tienen trascendencia?

• Credenciales expuestas amplifican ataques masivos y dirigidos.
• Vulnerabilidades viejas sin parchear siguen siendo altamente explotadas.
• La adopción de MaaS democratiza el acceso al cibercrimen.
• La IA maliciosa acelera y mejora la personalización de ataques, superando controles tradicionales.

En Perú y la región seguimos enfrentando amenazas varias décadas después: desde exploits conocidos hasta ransomware, sumado al nuevo factor de la IA maliciosa. La amenaza IA ya está presente en casos como estafas con clonación de voz, y pronto veremos más phishing potenciado con IA o deepfakes.

Es imprescindible:

• Parcheo inmediato de vulnerabilidades clásicas.
• Protección proactiva de credenciales.
• Implementación de defensas contra ataques con IA, como filtros antiphishing y análisis de comportamiento.

¿Qué necesita el país para entrar en una curva descendiente de incidentes (que generan daños de reputación o pérdidas económicas) y no al revés? ¿Las empresas están tomando consciencia de los riesgos a los que están expuestos? ¿Cuál es el consejo para ellas?

• Una ley integral de ciberseguridad y sobre todo que sea operativa (ejecutable)
• Educación a todo nivel, desde el personal operativo hasta los ejecutivos. Los altos ejecutivos deben asumir responsabilidad, porque de por medio hay riesgos reputacionales, legales y económicos.
• Mejor gestión y auditorías constantes así como adopción de manera seria de nuevas tecnologías ( no esperar que los sistemas lo resuelvan todo).
• Y finalmente promover e incentivar la colaboración público-privada, creando redes de confianza, compartiendo indicadores y alertas en tiempo real.

Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:

Adicionalmente, pueden complementar la información con los siguientes contenidos sobre el nuevo Rgto. de la Ley de Datos Personales: