Durante los últimos años diversas entidades públicas y privadas sufrieron ataques cibernéticos en el Perú. Una de las noticias más comentadas fue la brecha de seguridad que sufrió Interbank a finales del 20241. En aquella situación, el “hacker” estuvo negociando con la empresa y solicitó un pago de US$ 4 millones para no filtrar datos que afectarían a aproximadamente 3 millones de sus clientes.

Dicha situación evidencia lo expuestas y vulnerables que son las empresas frente a los ataques cibernéticos. Más aún, en un contexto donde la tecnología avanza a pasos agigantados. Tal es el caso de la inteligencia artificial (IA), que hoy en día se ha convertido en una herramienta para los ciberdelincuentes. “Así lo advierte CrowdStrike en su último Informe de Threat Hunting 2025, donde se confirma que los ciberdelincuentes están utilizando IA para escalar sus ataques, automatizar tácticas avanzadas y comprometer los propios sistemas autónomos implantados en las organizaciones2.”

Cada vez más se escuchan los términos como “Evil GPT”, “Dark GPT”, “Morris Worm II”, referidos a nuevas herramientas y/o malwares generados a través de la IA maliciosa. Estas novedades no solo generan ataques automatizados sino ataques más rápidos. Así lo evidenció KnowBe4 al examinar los ciberataques a la infraestructura crítica, revelando que “entre enero de 2023 y enero de 2024, la infraestructura crítica en todo el mundo sufrió más de 420 millones de ataques, equivalentes a 13 ataques por segundo3”. Bajo ese contexto, cabe preguntarse ¿la protección de datos es solo una carga legal?

Protección de datos en el Perú

En el Perú, la Ley No. 29733 y su reglamento obligan a las empresas a implementar medidas de seguridad para proteger los datos personales que tratan. En la misma línea, existen normas sectoriales que imponen obligaciones de seguridad de la información. Sin embargo, muchas empresas consideran que dichas obligaciones son solo una carga legal más que deben cumplir e incluso algunos lo consideran un tema de baja prioridad, cuando no es así. Una brecha de seguridad no solo puede generar el pago de una multa administrativa sino, además, pérdidas económicas cuantiosas (por extorsiones, pérdidas de operatividad, recuperación, impacto reputacional, entre otros). De acuerdo a lo informado por la IBM en su último informe del 20254, el costo promedio de una filtración de datos asciende a US$ 4.4M a nivel global. Y, a diferencia de lo que muchos podrían creer, no solo las “grandes empresas” sufren estas consecuencias.

Escenario de las pymes

El CEO de COASER en España, Juan Carlos García, afirmó que “aunque parezca que los ciberataques solo afectan a las grandes empresas, las pymes son un blanco fácil porque no están tan protegidas5”. Al estar en crecimiento, normalmente las pequeñas empresas se enfocan en aumentar su rentabilidad y presencia en el mercado, dejando de lado otros aspectos (como la seguridad). Esto los convierte en un objetivo para los “hackers” y también dificulta su recuperación frente a un ataque cibernético. Por ejemplo, en España el 60% de las pymes que sufrieron un ciberataque no tuvieron mayor opción que cerrar sus puertas6.

En el Perú, desde el año 2022, se detectaron “750,000 ataques de internet dirigidos a pymes peruanas7”. Dado los avances tecnológicos, es muy probable que dicha cifra haya variado a la fecha; por lo que es necesario que la protección de datos sea un aspecto no negociable en toda empresa (independientemente de su tamaño), sin que ello signifique incurrir en costosísimas soluciones de seguridad.

Conclusión

Hoy en día la protección de datos es más que solo una obligación legal, es una necesidad que toda empresa debe priorizar frente a los avances tecnológicos y nuevas herramientas que pueden utilizar los ciberdelincuentes. Es necesario que, internamente se identifiquen los activos críticos de la empresa, las amenazas y vulnerabilidades y sobre todo, que se concientice al personal. No es necesario incurrir en excesivos costos, únicamente basta con usar soluciones acorde a sus necesidades y modelo de negocio.

¹ https://www.infobae.com/peru/2024/10/31/caso-interbank-filtracion-de-datos-de-millones-de-clientes-se-habri a-dado-tras-fallidas-negociaciones-con-extorsionador-digital/

² https://www.silicon.es/la-ia-generativa-se-convierte-en-arma-y-objetivo-de-los-ciberataques-mas-avanzados-2 571252

³ https://www.knowbe4.com/press/knowbe4-report-reveals-critical-infrastructure-under-siege-with-cyber-attacks

-increasing-30-percent-in-one-year

⁴ https://www.ibm.com/mx-es/reports/data-breach

⁵ https://www.cope.es/emisoras/pais-vasco/noticias/parezca-ciberataques-afectan-grandes-empresas-pymes-s on-blanco-facil-protegidas-20250601_3160865.html

⁶ https://telefonicatech.com/blog/ciberamenazas-pymes-objetivo-prioritario

⁷ https://elperuano.pe/noticia/168541-pymes-enla-mira-de-la-ciberdelincuencia-modalidades-decibercrimen-ma s-frecuentes