Según la telemetría de ESET, compañía líder en detección proactiva de amenazas, el 62% de los ciberataques en el país durante los primeros meses de 2025 tuvo como vector inicial campañas de phishing. Este dato no solo refleja la consolidación de una técnica que continúa siendo eficaz para los atacantes, sino también la urgencia de fortalecer las capacidades defensivas de empresas, organismos públicos y usuarios en general.
En relación con 2023, las detecciones de phishing crecieron un 9%, lo que confirma una tendencia en alza. El phishing no solo persiste, sino que evoluciona, adaptándose con mensajes cada vez más personalizados y realistas, que buscan engañar a los usuarios para que entreguen credenciales, datos financieros o permitan la instalación de malware.
Uno de los tipos de malware más prevalentes en este contexto es el infostealer, que tiene como objetivo robar información confidencial. Dentro de esta categoría, se destacaron en Perú las siguientes variantes:
- Win32/Spy.LummaStealer con un 18%: especializado en el robo de contraseñas, criptomonedas y datos del navegador, distribuido principalmente por phishing.
- MSIL/Spy.AgentTesla con un 11%: troyano espía que registra pulsaciones de teclado y datos del sistema, propagado por correos maliciosos.
- MSIL/Spy.RedLine con un 7%: enfocado en extraer credenciales y datos financieros, suele ocultarse en cracks de software o sitios fraudulentos.
“Los infostealers han ganado terreno porque combinan discreción y eficacia. Ingresan a través de engaños como el phishing y se ejecutan sin que el usuario lo note, exfiltrando información valiosa que luego puede venderse o usarse para fraudes más complejos”, explica Fabiana Ramírez, Security Researcher de ESET Latinoamérica. “Esta realidad exige no solo tecnología de protección avanzada, sino también usuarios y empresas más informadas y atentas”.
Los ciberatacantes también están abusando de tecnologías legítimas para ejecutar sus ataques. Según los datos de ESET, PowerShell (27%), Python (18%) y WinGO (14%) son los entornos más utilizados para persistencia, evasión de antivirus y ejecución remota de comandos, lo que les permite operar sin dejar huellas visibles. A esto se suman vulnerabilidades antiguas que, por falta de actualizaciones, siguen siendo explotadas:
- CVE-2012-0143 (43%): falla crítica en Windows que permite ejecución remota de código.
- CVE-2017-0199 (16%): usada para comprometer equipos mediante archivos de Office.
- Log4Shell – CVE-2021-44228 (4%): vulnerabilidad en Apache Log4j que sigue siendo explotada en entornos desactualizados.
En paralelo al aumento de las amenazas, Perú ha dado pasos concretos para fortalecer su marco legal en el entorno digital. La reciente publicación del nuevo Reglamento de la Ley de Protección de Datos Personales representa un avance significativo en la protección de la privacidad de los ciudadanos. Este reglamento establece nuevas responsabilidades para organizaciones públicas y privadas, promueve el consentimiento informado, la transparencia y el tratamiento ético de la información.
Asimismo, el país se consolida como un actor emergente en el desarrollo regulado de inteligencia artificial (IA). La Ley N.º 31814 y su reglamento proponen una estrategia clara para la adopción ética y segura de esta tecnología, priorizando la innovación responsable, la privacidad y la participación plural. La Estrategia Nacional de Inteligencia Artificial (ENIA) impulsa este camino con ejes como la formación de talento, el desarrollo de infraestructura tecnológica, la ética en el uso de algoritmos y la colaboración nacional e internacional.
En este contexto, Perú ha obtenido 54.87 puntos en el Índice de Preparación del Gobierno para la IA 2023, ocupando el sexto lugar en América Latina y destacando especialmente en el pilar de Gobernanza (70.15 puntos). Además, en el Índice Latinoamericano de Inteligencia Artificial 2024, Perú mostró avances relevantes en I+D, adopción de tecnología y vinculación internacional, lo que refleja un ecosistema digital cada vez más robusto.
“El desarrollo tecnológico y la ciberseguridad son dos caras de la misma moneda. Una IA poderosa, pero sin límites éticos o sin seguridad en los datos, puede convertirse en un riesgo. Necesitamos marcos normativos flexibles y ambiciosos que acompañen esta transformación y preparen al país para los desafíos que vienen”, destaca Jorge Zeballos, gerente general de ESET Perú.
Para enfrentar este panorama de amenazas, ESET recomienda:
- Implementar autenticación multifactor en todas las plataformas y accesos críticos.
- Capacitar a los equipos en reconocimiento de campañas de phishing y prácticas seguras.
- Mantener todos los sistemas actualizados y aplicar parches de seguridad.
- Adoptar soluciones de ciberseguridad capaces de detectar malware polimórfico y ataques dirigidos.
- Evaluar y adaptar las políticas de privacidad para alinearse al nuevo reglamento peruano.
ESET continúa comprometida con el fortalecimiento del entorno digital en Perú, ofreciendo tecnologías de protección de última generación, análisis constante de amenazas y soporte local especializado. En un mundo cada vez más digital, proteger la información no es solo una responsabilidad técnica, sino también una decisión estratégica.
