Kenneth Tovar Roca, es gerente país de Palo Alto Networks para Perú y Bolivia, empresa donde trabaja desde hace casi nueve años. Antes fue inversionista ángel y experto de seguridad en IBM. En esta entrevista evalúa los desafíos en ciberseguridad que enfrentan las empresas y propone el camino a seguir.
¿Cuáles han sido las principales incidencias o ataques de este año a nivel local y latinoamericano? ¿Qué tipo de ataque se ha dado con mayor incidencia y por qué? ¿Se ha sentido ya el impulso de la IA en los ataques locales?
En lo que va del 2025 y en el 2024, hemos observado un crecimiento sostenido de ataques tipo ransomware y phishing más sofisticados, tanto en Perú como en Latinoamérica. Unit 42 de Palo Alto Networks publicó en su «Informe global de respuesta a incidentes 2025», que el 86% de los principales incidentes cibernéticos en 2024 provocaron paradas operativas, daños a la reputación o pérdidas financieras. Esto es porque desde el año pasado, el uso de la IA por parte de los ciberdelincuentes ha decantado en factores como la tendencia al sabotaje de operaciones, ciberataques que son más sofisticados y van más rápido que nunca, auge de los ataques múltiples, ataques a la nube, etc.
¿Cuál el caso más llamativo o nocivo en el país?
En el caso peruano, ha habido incidentes significativos, tanto en entidades privadas como en públicas, que generaron preocupación ciudadana. Desde hace unos años, Lockbit viene siendo una de las bandas cibercriminales que filtra la mayor cantidad de información sobre empresas peruanas, una situación que llegó a su pico entre 2023 y 2024.
Asimismo, ya se perciben otros usos de inteligencia artificial en los ciberataques locales, sobre todo en la generación de correos phishing más creíbles, la automatización de reconocimiento de víctimas y en deepfakes utilizados para fraudes corporativos. Finalmente, el actual contexto político podría generar ataques a empresas de Estados Unidos y se pueden ver comprometidas sus operaciones, no solo en Perú, sino también en otros países de Latinoamérica.
¿Qué necesita el país para sufrir menos incidentes dañinos? ¿Las empresas están tomando consciencia de los riesgos a los que están expuestos?
Perú necesita, entre otras cosas, madurez organizacional en ciberseguridad. Las empresas deben pasar de ver la ciberseguridad como un gasto a entenderla como una inversión estratégica. Esto implica integrar la ciberseguridad desde el diseño (lo que llamamos Security by Design), hacerla parte del gobierno corporativo y entrenar a todos los niveles del personal.
Esto nos lleva a un segundo nivel que es contar con tecnología de prevención avanzada. Necesitamos dejar atrás los enfoques reactivos en entornos complejos, causados por muchos productos puntuales de un gran número de proveedores de seguridad y adoptar plataformas integradas y automatizadas, con inteligencia artificial, Zero Trust y detección proactiva de amenazas para mejorar significativamente los resultados en materia de seguridad.
«Perú necesita, entre otras cosas, madurez organizacional en ciberseguridad. Las empresas deben pasar de ver la ciberseguridad como un gasto a entenderla como una inversión estratégica».
Un gran ejemplo que ayuda con este enfoque es Precision AI de Palo Alto Networks, que combina el aprendizaje automático (machine learning) y el aprendizaje profundo (deep learning) con la accesibilidad de la IA generativa (GenAI) para lograr una seguridad impulsada por la inteligencia artificial en tiempo real que permita superar los ataques maliciosos y proteger de forma proactiva las redes y la infraestructura.
¿Qué consejo daría hoy a las empresas?
El consejo básico para las empresas es que no esperen a ser víctimas para actuar. Hoy, los atacantes ya están a menudo dentro de las redes; la clave es detectarlos a tiempo y contar con una arquitectura resiliente con IA para combatirlo.
¿Y a nivel normativo cómo vamos? ¿Qué opinan sobre la evolución normativa en torno a la ciberseguridad del país?
La evolución normativa en ciberseguridad en Perú ha sido positiva, pero aún hay cosas por hacer. Se destacan esfuerzos como establecer marcos legales como la Ley de Ciberdefensa y el desarrollo de planes estratégicos como la Política Nacional de Transformación Digital. Sin embargo, todavía existen vacíos en lo que respecta a la obligatoriedad de reportar incidentes, la protección efectiva de infraestructuras críticas y la implementación de estándares internacionales de ciberseguridad por parte de algunas empresas.
«[S]e podría reforzar el Reglamente incorporando aspectos específicos de ciberseguridad operativa, como la gestión de vulnerabilidades, los controles de acceso, la segmentación de redes y la obligación de notificar brechas de seguridad, al igual que lineamientos para una evaluación continua».
¿Cuál es su opinión sobre el Reglamento de Confianza Digital que está en revisión? ¿Están conformes con lo que propone?
El Reglamento de Confianza Digital es un paso relevante hacia establecer un entorno digital seguro y resiliente en Perú porque busca establecer lineamientos para el uso de tecnologías emergentes, la protección de datos personales y la seguridad en la prestación de servicios digitales.
Otro buen aspecto es que reconoce la necesidad de un enfoque integral de confianza digital que va más allá de la tecnología y contempla la gobernanza, la ética y la protección del usuario. En ese sentido, se podría reforzar el Reglamente incorporando aspectos específicos de ciberseguridad operativa, como la gestión de vulnerabilidades, los controles de acceso, la segmentación de redes y la obligación de notificar brechas de seguridad, al igual que lineamientos para una evaluación continua.
¿Qué falta y que se puede mejorar?
En Palo Alto Networks creemos que es clave fomentar el cumplimiento normativo, pero también es imprescindible la iniciativa propia de proteger sus activos con soluciones de ciberseguridad que estén a la vanguardia de las ciberamenazas actuales. Las empresas deben trabajar también en la maduración de una cultura de seguridad digital.
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
Adicionalmente, pueden complementar la información con los siguientes contenidos sobre el nuevo Rgto. de la Ley de Datos Personales:
