Estrategia Nacional de Ciberseguridad del Perú 2026-2028: Análisis crítico y propuestas de fortalecimiento

La publicación de la Estrategia Nacional de Ciberseguridad del Perú 2026-2028 (ESNACIB) constituye un paso trascendental en el fortalecimiento de las capacidades digitales del Estado. Como instrumento rector, busca orientar la prevención, detección, gestión y respuesta ante incidentes cibernéticos que puedan afectar al sector público, privado y a la ciudadanía en general. Sin embargo, su alcance plantea desafíos conceptuales, normativos y prácticos, especialmente en relación con la ciberdefensa, ámbito estratégico de competencia exclusiva del Ministerio de Defensa y las Fuerzas Armadas.

Este análisis aborda los aspectos centrales del documento en torno a tres ejes:

1. Contexto general y aspectos conceptuales de la ciberseguridad y ciberdefensa.
2. Alineación normativa de la ESNACIB con el marco legal peruano.
3. Comentarios y aportes específicos sobre pilares estratégicos, indicadores, seguimiento de responsabilidades, conclusiones, referencias y anexos.

El objetivo es aportar un enfoque académico y crítico que permita reforzar la complementariedad civil-militar, mejorar la coherencia normativa y garantizar la resiliencia digital del país.

I. Contexto general y aspectos conceptuales

En el Perú, la legislación distingue claramente entre ciberseguridad y ciberdefensa, aunque ambas se encuentran interrelacionadas:

• Ciberseguridad (ámbito civil y multisectorial):

De acuerdo al Decreto de Urgencia N.º 007-2020, es la «capacidad tecnológica de preservar el adecuado funcionamiento de las redes, activos y sistemas informáticos y protegerlos ante amenazas y vulnerabilidades en el entorno digital».

Se orienta a la protección de infraestructuras críticas civiles (electricidad, telecomunicaciones, agua, banca y servicios del Estado), así como a la seguridad de la información de empresas y ciudadanos.

• Ciberdefensa (ámbito militar y de seguridad nacional):

Según la Ley de Ciberdefensa N.° 30999, se entiende como «la capacidad militar que permite actuar frente a amenazas o ataques realizados en y mediante el ciberespacio cuando estos afecten la seguridad nacional».

Su misión se enmarca en la soberanía nacional, la seguridad estratégica y la respuesta frente a ciberataques de gran escala que comprometan al Estado en su conjunto.

• Conclusión conceptual:
  • Ciberseguridad: prevención y protección civil multisectorial.
  • Ciberdefensa: respuesta militar ante amenazas que comprometen la seguridad nacional.

La ESNACIB, al ser de carácter civil y multisectorial, debe coordinar con el Ministerio de Defensa, pero sin sustituir ni absorber la ciberdefensa. Ambas se articulan en virtud del Decreto Legislativo N.° 1129 y de la Ley de Ciberdefensa 30999, siendo la ciberdefensa una capacidad militar, parte de la Defensa Nacional, con coordinación obligatoria con entidades civiles.

«La Estrategia Nacional de Ciberseguridad debe reconocer y coordinar con la ciberdefensa, pero no absorberla, ya que esta última se rige por el Sistema de Defensa Nacional y es competencia exclusiva de las Fuerzas Armadas».

II. Alineación normativa de la ESNACIB

La revisión del documento evidencia que la ESNACIB no se encuentra plenamente alineada con la normativa vigente. Entre los principales puntos de desajuste se encuentran:

• Ley de Ciberdefensa 30999,
  • Articulo 1. Objeto: «La presente ley tiene por objeto establecer el marco normativo en materia de ciberdefensa del Estado peruano, regulando las operaciones militares en y mediante el ciberespacio a cargo de los órganos ejecutores del Ministerio de Defensa dentro de su ámbito de competencia, conforme a ley».
  • Artículo 14. Modificación del artículo 32 del Decreto Legislativo 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital Modifícase el artículo 32 del Decreto Legislativo 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, el cual queda redactado de la siguiente manera: «Artículo 32.- Gestión del Marco de Seguridad Digital del Estado Peruano El Marco de Seguridad Digital del Estado Peruano tiene los siguientes ámbitos: a. Defensa: El Ministerio de Defensa (MINDEF), en el marco de sus funciones y competencias, dirige, norma, supervisa y evalúa las normas en materia de ciberdefensa.[…]».

• Decreto de Urgencia N.º 006-2020, que crea el Sistema Nacional De Transformación Digital, Artículo 8.- Funciones del ente rector: «8.2 Dichas funciones se ejercen sin afectar las autonomías y atribuciones de cada sector en el marco de sus competencias».
• Decreto de Urgencia N.º 007-2020, Aprueba el Marco de Confianza Digital y Dispone Medidas para su fortalecimiento, Artículo 6. Atribuciones del Ente rector. «[D]ichas funciones se ejercen sin afectar las autonomías y atribuciones de cada sector en el marco de sus competencias».
• Decreto Supremo N.° 017-2024-PCM, Reglamento de la Ley de Ciberdefensa, Articulo 1: «[E]l Ministerio de Defensa, es la entidad encargada de gestionar la ciberdefensa. Asimismo, dicta políticas y lineamientos para el planeamiento y conducción de operaciones militares en y mediante el ciberespacio».

El Ministerio de Defensa debe dar las Políticas (definición de objetivos, lineamientos y prioridades) de Ciberdefensa y después la estrategia (acciones, programas y mecanismos para implementar la política).

En el Perú, ciberseguridad y ciberdefensa no son lo mismo. La primera es un ámbito civil multisectorial, la segunda es un ámbito militar de seguridad nacional.

La Estrategia Nacional de Ciberseguridad debe reconocer y coordinar con la ciberdefensa, pero no absorberla, ya que esta última se rige por el Sistema de Defensa Nacional y es competencia exclusiva de las Fuerzas Armadas.

«[R]esulta prioritario anticipar, simular y gestionar escenarios de cibercrisis, reforzando capacidades de inteligencia, resiliencia y respuesta coordinada entre el ámbito civil y militar, con participación del sector privado».

III. Comentarios y aportes específicos

1. Sobre el numeral 3.2.4: Ley de Ciberdefensa y su Reglamento

Aporte propuesto:

La Estrategia Nacional de Ciberseguridad (ESNACIB) mantiene una relación complementaria con la Ley N.º 30999 – Ley de Ciberdefensa y su reglamento, al reconocer que la ciberseguridad y la ciberdefensa son ámbitos distintos pero interdependientes. La primera corresponde al ámbito civil y multisectorial, orientado a la prevención, detección y respuesta ante incidentes en el ciberespacio; mientras que la segunda es una capacidad militar estratégica, exclusiva del Ministerio de Defensa y las Fuerzas Armadas, destinada a contrarrestar ciberamenazas que comprometan la seguridad nacional en el marco del Sistema de Defensa Nacional.

En este sentido, la ESNACIB no sustituye ni absorbe las competencias de la ciberdefensa, sino que colabora con su consolidación, estableciendo mecanismos de coordinación interinstitucional y público-privada que permitan la protección conjunta de infraestructuras críticas, el intercambio de información y la resiliencia nacional ante escenarios de cibercrisis o ciberguerra.

Este aporte introduce el concepto de «colaboración con la consolidación», reforzando la complementariedad civil-militar.

2. Sobre el pilar 4.5: Consolidar la ciberdefensa

Comentario:
La actual redacción puede interpretarse como una intromisión del ámbito civil en competencias militares.

Aporte propuesto:

Modificarlo por «Colaborar con la consolidación de la ciberdefensa», lo que:

• Refuerza la autonomía del Ministerio de Defensa y las Fuerzas Armadas.
• Establece que la ESNACIB cumple un rol de apoyo, coordinación y complementariedad.
• Se alinea a la Ley N.º 30999 y al DL N.º 1129.

Nueva redacción sugerida (4.5.6):

El Perú debe estar preparado para enfrentar eventos sistémicos derivados de ciberataques de gran escala que puedan afectar la seguridad nacional. La ciberseguridad y la ciberdefensa son ámbitos distintos pero complementarios: la primera de carácter civil y multisectorial, orientada a la protección de sistemas, redes e infraestructuras críticas; la segunda de naturaleza militar y estratégica, bajo responsabilidad del Ministerio de Defensa y el Comando Conjunto de las Fuerzas Armadas, en el marco del Sistema de Defensa Nacional y conforme a la Ley N.º 30999 – Ley de Ciberdefensa y su reglamento.

En este pilar, la Estrategia Nacional de Ciberseguridad reconoce la autonomía de la ciberdefensa, estableciendo como prioridad la coordinación interinstitucional con el Consejo Nacional de Seguridad y Defensa (CNSD), la Secretaría de Gobierno y Transformación Digital (SGTD-PCM) y los sectores responsables de la protección de infraestructuras críticas. Esta coordinación es esencial para garantizar la resiliencia del Estado y la protección de la soberanía digital, frente a escenarios de ciberamenazas de carácter estratégico o bélico.

OEGC6: Fortalecer la coordinación entre ciberseguridad y ciberdefensa para anticipar y gestionar escenarios de incidentes masivos que puedan comprometer operaciones nacionales y afectar a la población, particularmente en contextos de ciberguerra o ciberataques de impacto estratégico.

En consecuencia, resulta prioritario anticipar, simular y gestionar escenarios de cibercrisis, reforzando capacidades de inteligencia, resiliencia y respuesta coordinada entre el ámbito civil y militar, con participación del sector privado. Ello permitirá mitigar daños, garantizar la continuidad del Estado y proteger a la ciudadanía frente a ataques cibernéticos que trasciendan la capacidad civil y activen la respuesta de la ciberdefensa.

Acciones estratégicas de ciberseguridad vinculadas al OEGC6.1:

AEC6.1.1: Establecer protocolos de coordinación permanente entre el Sistema de Ciberseguridad Nacional y la Ciberdefensa, definiendo responsabilidades claras para la prevención, detección temprana y mitigación de incidentes cibernéticos que puedan escalar a nivel de amenaza nacional.

AEC6.1.2: Desarrollar ejercicios conjuntos de cibercrisis y ciberguerra simulada entre las Fuerzas Armadas, sectores civiles y operadores de infraestructuras críticas, para evaluar la resiliencia nacional.”

3. Sobre conclusiones, referencias y anexos

• Conclusiones: deben reforzar la idea de complementariedad civil-militar, evitando confusión conceptual.
• Referencias: incluir bibliografía específica de ciberdefensa, como:
  • Guía de Ciberdefensa (Junta Interamericana de Defensa, 2020)
  • Doctrina de Operaciones en el Ciberespacio (CCFFAA, 2017)
  • TOF 11-113 Ciberdefensa (Escuela de Comunicaciones del Ejército, 2020)
• Anexos: incluir comentarios y aportes del Ministerio de Defensa, dado que la ciberdefensa ha sido incorporada en los pilares estratégicos de la ESNACIB.

Conclusiones

El análisis demuestra que la «Estrategia Nacional de Ciberseguridad del Perú 2026-2028» constituye un avance normativo y político de gran relevancia. Sin embargo, su efectividad requiere:

1. Diferenciar claramente ciberseguridad (ámbito civil multisectorial) y ciberdefensa (ámbito militar y estratégico).
2. Sustituir el pilar “Consolidar la Ciberdefensa” por “Colaborar con la consolidación de la Ciberdefensa”.
3. Incorporar indicadores de desempeño y mecanismos claros de seguimiento interinstitucional.
4. Alinear la estrategia con la Ley N.º 30999 y su reglamento, así como con los decretos legislativos vigentes.
5. Incluir formalmente los aportes del Ministerio de Defensa en el documento.

Solo mediante una estrategia que respete competencias, promueva la cooperación civil-militar y se sustente en normas sólidas, el Perú podrá consolidar un ecosistema nacional de ciberseguridad y ciberdefensa eficaz, resiliente y soberano.