La ciberseguridad en las empresas peruanas: entre la urgencia del presente y la incertidumbre del futuro

En los últimos tres años, el Perú ha pasado de ser un país con incidentes digitales esporádicos a convertirse en uno de los destinos favoritos del cibercrimen en América Latina. El 70 % de las organizaciones privadas admite haber sufrido al menos un ataque exitoso en 2024, una cifra que duplica la registrada en 2021 y que coloca al país por encima del promedio regional. La explosión del comercio electrónico durante la pandemia, la acelerada migración a la nube sin estrategias de seguridad paralelas y la prolongada educación remota han creado una superficie de ataque inédita. A ello se suma la escasa inversión en protección; apenas el 3 % del presupuesto TI de las medianas y grandes empresas se destina a ciberseguridad, muy lejos del 10 % que recomiendan los estándares internacionales.

Los sectores que mueven dinero o datos sensibles son los más golpeados. La banca reportó pérdidas por 80 millones de dólares en fraudes digitales durante 2024, mientras que las municipalidades sufrieron 1.200 brechas de datos que expusieron información de más de dos millones de ciudadanos. El comercio electrónico, que creció 48 % interanual, recibió el 42 % del phishing detectado en el país. Incluso universidades han sido víctimas de ransomware que paralizaron sus sistemas de matrícula y exposición de notas, evidenciando que ningún nicho está exento. El costo promedio de un incidente para una empresa peruana de tamaño medio ya alcanza los 370.000 dólares, cifra que incluye multas, daño reputacional y horas de inactividad.

Los ataques más comunes ya no son los virus de antaño; han evolucionado a campañas de ingeniería social ultrasegmentadas. El phishing creció 360 % en lo que va de 2025, con mensajes que imitan perfectamente la imagen corporativa de bancos, SUNAT o plataformas de delivery. El ransomware dirigido, por su parte, permanece entre 30 y 45 días dentro de la red antes de activarse, tiempo que utilizan los atacantes para mapear backups y eliminar copias. A ello se suman los DDoS de alta duración que sirven de distracción mientras se extrae información. Según el CERT peruano, el 58 % de los incidentes reportados combina al menos dos técnicas distintas, lo que complica la respuesta y aumenta el impacto.

Detrás de las cifras hay una carencia estructural de talento. Se estima que en Perú faltan más de 5.000 profesionales especializados en ciberseguridad, número que podría duplicarse en los próximos dos años si no se modifican los planes de estudio. Las empresas compiten por el mismo grupo de certificados: CISSP, CISM y, más recientemente, los títulos de cloud security. La brecha es aún más dramática en las pymes, donde el 82 % no tiene ni un solo empleado dedicado exclusivamente a seguridad digital. Esta escasez eleva los salarios; un ingeniero con tres años de experiencia en SOC ya percibe entre 3.000 y 4.000 dólares mensuales, cifra inalcanzable para la mayoría de firmas nacionales.

Ante este panorama, el mercado de soluciones de ciberseguridad en Perú facturó 220 millones de dólares en 2024 y crece a un ritmo anual del 14,7 %, por encima del PIB y del gasto promedio en TI. Los principales beneficiarios son los proveedores de seguridad gestionada (MSSP), que facturaron 38 millones y duplicaron su cartera de clientes. También crecen las ventas de firewalls de nueva generación (NGFW), protección de endpoints con IA y plataformas de seguridad en la nube. El Estado, por su parte, licitó 25 millones en proyectos de ciberdefensa durante el año, incluyendo la modernización del CSIRT nacional y la contratación de servicios de threat intelligence.

La respuesta gubernamental avanza lento pero con dirección clara. La Ley de Protección de Datos Personales, actualizada en 2022, ya impone multas de hasta 2.000 UIT a las empresas que no reportan brechas en plazo. En 2024 se aprobó la Ley de Ciberdefensa, que obliga a los operadores de infraestructura crítica a implementar estándares mínimos y a someterse a auditorías anuales. Asimismo, el BCRP reglamentó que todas las entidades financieras adopten el modelo Zero Trust antes de 2026. Aunque aún no existe un órgano único de supervisión, la tendencia es alinear al país con normas internacionales como ISO/IEC 27001 y NIST, facilitando así la inversión extranjera.

Mirando hacia el futuro, la inteligencia artificial será la palanca principal de defensa y, paradójicamente, también de ataque. Las empresas peruanas están adoptando plataformas de SIEM con motores de machine learning que reducen en 70 % el tiempo de detección de anomalías. Simultáneamente, los cibercriminales ya utilizan deepfakes para suplantar voces de directores financieros y autorizar transferencias millonarias. Se estima que para 2027 el 60 % de los ataques de phishing local incluirá algún grado de generación automática de contenido, lo que exigirá contramedidas igualmente automatizadas. El desafío será mantener la curva de aprendizaje del lado defensivo.

La nube dejará de ser opcional y se convertirá en el epicentro de la seguridad. La migración acelerada obligará a desplegar arquitecturas SASE (Secure Access Service Edge) que combinen conectividad y protección en un solo servicio nativo en la nube. Las empresas locales contratarán cada vez menos firewalls físicos y apostarán por CASB y SWG para controlar el uso de SaaS como Office 365, Google Workspace o la plataforma Zoom, omnipresente después de la pandemia. Además, el respaldo en la nube pasará de ser un valor agregado a un requisito regulatorio; SUNAT ya exige que los libros electrónicos posean copia en al menos dos regiones geográficas distintas.

El talento, finalmente, surgirá de alianzas público-privadas. Iniciativas como el Fortinet NSE Training Institute, que ya ha certificado a más de 1.200 estudiantes peruanos, se replicarán con Cisco, Microsoft y Amazon. Las universidades incorporarán especialidades de ciberseguridad en sus planes de ingeniería y sistemas, mientras que el Estado financiará becas para carreras de corta duración tipo bootcamp. Para 2030 se espera que el 30 % de los profesionales de TI en el país tenga al menos una certificación en seguridad, reduciendo la brecha actual de 5.000 plazas a menos de 1.000. La clave será que las pymes participen de estos programas subvencionados y escalen su madurez digital.

En suma, la ciberseguridad en las empresas peruanas atraviesa una encrucijada: o se convierte en un diferenciador competitivo que atraiga inversiones y generará empleo calificado, o se transforma en el cuello de botella que frene la transformación digital del país. La senda dependerá de decisiones que deben tomarse hoy; invertir al menos el 8 % del presupuesto TI en protección, adoptar estándares Zero Trust, educar al usuario final y reportar sin temor cada incidente. El futuro ya no es una promesa lejana; es un contrato que se renueva cada 24 horas, justo el tiempo que tarda un ransomware en cifrar toda la información de una empresa mediana si no existe respaldo aislado. Perú tiene la oportunidad de pasar de ser la víctima preferida a convertirse en un referente de ciberresiliencia en la región; solo falta voluntad de inversión y una cultura de seguridad que trascienda los discursos de conferencia.