Amnistía técnica de facto: Ciberataque al MTC y elusión de sanciones empresariales en el Perú

Durante la primera semana de noviembre de 2025, el portal periodístico El Comercio Perú divulgó la noticia de un ciberataque dirigido contra el Ministerio de Transportes y Comunicaciones (MTC) que habría afectado aproximadamente 65,000 documentos institucionales, incluyendo expedientes de sanción a empresas del sector transporte. Este incidente se inscribe en una serie de ataques cibernéticos contra entidades estatales peruanas durante 2025, liderados por el colectivo hacktivista Deface Perú, quienes previamente habían comprometido sistemas del Diario Oficial El Peruano y la Dirección de Inteligencia de la Policía Nacional (Dirin). La gravedad del evento radica no solo en la magnitud de los datos potencialmente afectados, sino en las implicaciones que la pérdida de información regulatoria tiene para la integridad del control estatal sobre el sector transporte.

El colectivo Deface Perú ha sido identificado como el actor responsable del incidente, consolidándose como uno de los principales agentes de hacktivismo en el país. Su actuación se caracteriza por la explotación de vulnerabilidades en infraestructura tecnológica gubernamental obsoleta y la publicación selectiva de información con objetivos políticos explícitos. En el caso del MTC, el ataque habría comprometido servidores que almacenaban documentación sancionatoria, lo que sugiere un reconocimiento previo de la estructura de datos críticos por parte de los atacantes. La reincidencia de este grupo en blancos estatales—habiendo atacado previamente El Peruano el 28 de septiembre durante la publicación del reglamento del octavo retiro de AFP—demuestra una capacidad operativa sostenida y un patrón de selección de objetivos vinculados a momentos de alta sensibilidad política.

Previo al incidente reportado, el MTC presentaba condiciones estructurales que aumentaban su exposición a ciberamenazas. El 22 de octubre de 2025, el medio Infobae documentó que el ministro Aldo Prieto Barrera había procedido al retiro de accesos administrativos a funcionarios clave del área de tecnología de la información, generando un vacío de gestión ciberseguritaria interna. Esta decisión administrativa, sumada a la falta de protocolos de respuesta rápida y la ausencia de auditorías de seguridad periódicas, configura un escenario de "vulnerabilidad institucional inducida" donde factores organizacionales contribuyen a la materialización de riesgos técnicos. La falta de continuidad en la gestión de seguridad informática constituye una falla de gobernanza que trasciende la mera dimensión tecnológica.

Una particularidad significativa de este caso es la radical contradicción entre el reportaje periodístico y la respuesta oficial. Mientras El Comercio Perú y medios especializados confirmaron la vulneracion de 65,000 archivos, el MTC emitió un comunicado categórico en sus redes sociales negando que sus servidores hubieran sido vulnerados y desestimando la existencia de pérdida de información. Esta disonancia cognitiva entre la realidad técnica reportada y la narrativa institucional genera un "déficit de credibilidad gubernamental" que, según la teoría de la comunicación de crisis, incrementa la percepción pública de riesgo y desconfianza. La negación sistemática, lejos de proteger la institución, evidencia una estrategia de gestión de crisis inadecuada para el entorno digital contemporáneo.

La posible destrucción de expedientes sancionatorios en el MTC representa una amenaza directa al principio de legalidad y la continuidad administrativa en un sector estratégico. La pérdida de registros de infracciones a empresas de transporte compromete la capacidad del Estado para aplicar sanciones escalonadas, hacer cumplir normativas de seguridad vial y transparentar los procesos de fiscalización. Desde una perspectiva de gobernanza digital, este incidente ilustra cómo la "infraestructura de memoria institucional" puede ser utilizada como blanco para erosionar la autoridad regulatoria, creando vacíos legales que beneficiarían a actores que operan al margen de las normas.

El principal vector de beneficiarios identificado corresponde a empresas del sector transporte que enfrentaban procesos sancionatorios vigentes. La eliminación de expedientes borra evidencias documentales de infracciones, multas pendientes y patrones de incumplimiento, generando una "amnistía técnica de facto"  . Este fenómeno se enmarca en la teoría económica de la captura regulatoria, donde actores privados obtienen beneficios mediante la erosión de la capacidad estatal de supervisión. Si bien no existe evidencia directa de colusión entre los atacantes y empresas sancionadas, el efecto práctico de la pérdida de información beneficia directamente a estas últimas, independientemente de la motivación inicial del ataque.

Más allá de los beneficiarios económicos inmediatos, el actor Deface Perú persigue una agenda política explícita contraria al gobierno. Su patrón de ataques—Dirin, El Peruano, y ahora MTC—demuestra una estrategia de "desestabilización digital selectiva" que busca exponer las debilidades del aparato estatal peruano. Este hacktivismo político, al estar dirigido contra entidades reguladoras, genera un efecto colateral no intencionado; la creación de oportunidades para la elusión de controles por parte de actores privados. La dicotomía entre objetivos políticos de los atacantes y beneficios económicos de terceros refleja la complejidad de los ciberconflictos contemporáneos, donde las consecuencias superan las intenciones originales.

El Perú cuenta con una legislación de ciberseguridad dispersa—Ley No. 26972 de Delitos Informáticos y Decreto Legislativo No. 1239 sobre seguridad de información—que no ha evolucionado acorde a la sofisticación de las amenazas. La respuesta del MTC, basada en la negación pública sin auditoría forense independiente, viola los principios de la gestión de incidentes de seguridad cibernética establecidos en normativas internacionales como la ISO/IEC 27035. La ausencia de un CSIRT (Computer Security Incident Response Team) gubernamental funcional y de protocolos de notificación obligatoria perpetúa un ciclo de impunidad y riesgo acumulativo. Esta deficiencia normativa y operativa convierte a las instituciones estatales en blancos de bajo costo y alto impacto.

Desde una perspectiva de teoría institucional, la combinación de vulnerabilidad técnica y respuesta comunicativa deficiente erosiona el capital de confianza del Estado. La ciudadanía y el sector privado observan cómo entidades que ejercen autoridad coercitiva—como el MTC en materia de sanciones—son incapaces de proteger sus propios activos de información. Esta percepción de incompetencia genera un "efecto contagio" que afecta a otras instituciones gubernamentales y dificulta la implementación de políticas digitales futuras. Los costos de reputación no se limitan al MTC, sino que se externalizan a todo el aparato estatal, reforzando narrativas de crisis de gobernabilidad.

El incidente del MTC sintetiza una crisis multidimensional: técnica, institucional y política. Para revertir esta tendencia, se requiere: primero, institucionalizar auditorías ciberforenses independientes en cada ataque reportado, eliminando la posibilidad de negación arbitraria; segundo, implementar un sistema de respuesta a incidentes con transparencia obligatoria; tercero, fortalecer la protección de bases de datos sancionatorias mediante cifrado y backups off-site inmutables; y cuarto, sancionar administrativamente las decisiones que erosionan la ciberseguridad interna. Solo mediante la adopción de un modelo de gobernanza digital basado en la rendición de cuentas y la resiliencia técnica podrá el Estado peruano recuperar la legitimidad y funcionalidad de sus instituciones regulatorias en el entorno digital.

Referencias:

• El Comercio Perú. "Ciberataque a Dirin y El Peruano: Deface Perú ataca otra vez".

• Ministerio de Transportes y Comunicaciones. Comunicado oficial en redes sociales, noviembre 2025.

• Infobae. "Retiro de accesos administrativos en MTC genera vulnerabilidades", 22 de octubre 2025.

• El Comercio Perú. "Hackean sistema del MTC y afectan 65,000 documentos", noviembre 2025.

• Cronosegura. "Ciberataque afecta 65,000 archivos del MTC incluyendo expedientes sanción".

• ADN. "Filtración de Dirin expone seguimiento a congresistas y críticos del gobierno", septiembre 2025.

• Security 3 Hats. "Grupo Deface Perú ataca el MTC", noviembre 2025.