[09/04/2025] En una reciente reunión con la prensa especializada, ESET, compañía especialista en ciberseguridad, advirtió sobre los avances de la cibercriminalidad en el país, y la necesidad de que tanto organizaciones como personas y gobierno tomen conciencia sobre la importancia de tomar medidas de ciberseguridad.
El llamado fue realizado por el propio Jorge Zeballos, gerente general de ESET Perú, y contó con la información proporcionada por Fabiana Ramirez, security researcher de ESET Latinoamérica.
Jorge Zeballos, gerente general de ESET Perú, y Fabiana Ramirez, security researcher de ESET Latinoamérica.
Tomar conciencia
"En nuestro ámbito, la ciberseguridad, esto sí está generando realmente cambios importantes. No solo en la depuración de códigos, sino en la forma para encontrar caminos sobre e cómo atacar mejor a un objetivo. Los criminales, que siempre han estado en competencia con nosotros, hoy día también están usando para sus propósitos la inteligencia artificial”, indicó Zeballos, durante su presentación.
El ejecutivo indicó que ahora las amenazas se pueden encontrar en las redes, los datos, las conversaciones e identidades digitales.
"La nueva frontera está aquí, se llama ciberseguridad y ante ella el país necesita algo que no puede comprar con tecnología ni construir con código: una conciencia colectiva y una cultura de defensa digital; y es ahí donde todos ustedes tienen un rol muy importante”, indicó dirigiéndose a la prensa.
El llamado de Zeballos es a construir una conciencia en cada ciudadano y para ello la prensa debe convertir las amenazas técnicas en lenguaje humano, traducir el riesgo en conciencia y lograr que la ciberseguridad no sea un tema técnico sino de país.
Por supuesto, no se puede defender lo que no se entiende, y por ello, luego de la alocución de Zeballos, la investigadora Fabiana Ramirez realizó una detallada presentación de los peligros que se han encontrado hasta el momento.
Según la telemetría de ESET, el 62% de los ciberataques en el país durante los primeros meses del 2025 tuvo como vector inicial las campañas de phishing. Este dato no solo refleja la consolidación de una técnica que continúa siendo eficaz para los atacantes, sino también la urgencia de fortalecer las capacidades defensivas de empresas, organismos públicos y usuarios en general.
En relación con el 2023, las detecciones de phishing crecieron 9%, lo que confirma una tendencia en alza. El phishing no solo persiste, sino que evoluciona, adaptándose con mensajes cada vez más personalizados y realistas, que buscan engañar a los usuarios para que entreguen credenciales, datos financieros o permitan la instalación de malware.
Uno de los tipos de malware más prevalentes en este contexto es el 'infostealer', que tiene como objetivo robar información confidencial. Dentro de esta categoría, se destacaron en Perú las siguientes variantes: Win32/Spy.LummaStealer con un 18%, especializado en el robo de contraseñas, criptomonedas y datos del navegador, distribuido principalmente por phishing; MSIL/Spy.AgentTesla con un 11%, troyano espía que registra pulsaciones de teclado y datos del sistema, propagado por correos maliciosos; y MSIL/Spy.RedLine con un 7%, enfocado en extraer credenciales y datos financieros, suele ocultarse en cracks de software o sitios fraudulentos.
"Los infostealers han ganado terreno porque combinan discreción y eficacia. Ingresan a través de engaños como el phishing y se ejecutan sin que el usuario lo note, exfiltrando información valiosa que luego puede venderse o usarse para fraudes más complejos”, explicó Ramírez. "Esta realidad exige no solo tecnología de protección avanzada, sino también usuarios y empresas más informadas y atentas”.
Los ciberatacantes también están abusando de tecnologías legítimas para ejecutar sus ataques. Según los datos de ESET, PowerShell (27%), Python (18%) y WinGO (14%) son los entornos más utilizados para persistencia, evasión de antivirus y ejecución remota de comandos, lo que les permite operar sin dejar huellas visibles. A esto se suman vulnerabilidades antiguas que, por falta de actualizaciones, siguen siendo explotadas.
Entre estas vulnerabilidades se encuentran la CVE-2012-0143 (43%), falla crítica en Windows que permite ejecución remota de código; la CVE-2017-0199 (16%), usada para comprometer equipos mediante archivos de Office; y la Log4Shell - CVE-2021-44228 (4%), vulnerabilidad en Apache Log4j que sigue siendo explotada en entornos desactualizados.
A pesar de estas cifras, la investigadora destacó que el Perú ha dado pasos concretos para fortalecer su marco legal en el entorno digital. La reciente publicación del nuevo Reglamento de la Ley de Protección de Datos Personales representa un avance significativo en la protección de la privacidad de los ciudadanos. Este reglamento establece nuevas responsabilidades para organizaciones públicas y privadas, promueve el consentimiento informado, la transparencia y el tratamiento ético de la información.
Asimismo, anotó Ramírez, el país se consolida como un actor emergente en el desarrollo regulado de inteligencia artificial (IA). La Ley N.º 31814 y su reglamento proponen una estrategia clara para la adopción ética y segura de esta tecnología, priorizando la innovación responsable, la privacidad y la participación plural. La Estrategia Nacional de Inteligencia Artificial (ENIA) impulsa este camino con ejes como la formación de talento, el desarrollo de infraestructura tecnológica, la ética en el uso de algoritmos y la colaboración nacional e internacional.
En este contexto, Perú ha obtenido 54,87 puntos en el Índice de Preparación del Gobierno para la IA 2023, ocupando el sexto lugar en América Latina y destacando especialmente en el pilar de Gobernanza (70,15 puntos). Además, en el Índice Latinoamericano de Inteligencia Artificial 2024, Perú mostró avances relevantes en I+D, adopción de tecnología y vinculación internacional, lo que refleja un ecosistema digital cada vez más robusto.
Jose Antonio Trujillo, CTOPerú