En el primer semestre de 2025, el Perú registró 748 millones de intentos de ciberataque, según telemetría de FortiGuard Labs — cifra que lo consolida como el país más atacado de Latinoamérica por volumen de detecciones totales, acaparando el 18 % de todas las amenazas regionales según ESET. Y la tendencia de 2026 no muestra señales de aflojar. ¿Está tu empresa en la mira?
Si quieres profundizar en un enfoque integral de defensa, revisa la unidad de ciberseguridad Pukara. También puedes explorar servicios concretos como pentest para empresas y auditoría de seguridad.
El panorama 2026: Perú, primer blanco de la región
Los datos son contundentes. La telemetría de ESET posiciona al Perú con más de 450 detecciones de amenazas por cada 1 000 usuarios, duplicando a países vecinos como Bolivia y superando ampliamente la media regional. A eso se suma que la DIVINDAT-PNP registró más de 42 000 denuncias por delitos informáticos durante 2024 — un incremento del 879 % respecto de 2018 — con proyecciones de crecimiento para 2025-2026.
Lo más alarmante no son los números absolutos, sino lo que revelan sobre la madurez de seguridad del tejido empresarial peruano: el 38 % de las organizaciones latinoamericanas aún no utiliza una solución antimalware centralizada, y apenas 1 de cada 4 empresas protege sus dispositivos móviles corporativos (ESET Security Report 2025).
Fuente: FortiGuard Labs (H1 2025) · ESET Security Report 2025 · DIVINDAT-PNP · IBM Cost of a Data Breach 2025
Las amenazas que más crecen en 2026
1. Phishing geolocalizado con IA generativa
Ya no hablamos de correos genéricos en inglés con faltas de ortografía. Los atacantes de 2026 emplean modelos de lenguaje para redactar mensajes perfectos en español peruano, usando logos de SUNAT, el Poder Judicial o la AFP. Kaspersky registró que los ataques de phishing en Perú crecieron un 26 % entre 2023 y 2024, y en 2024 el país encabezó el ranking global de afectados por phishing con un 19,06 % de usuarios impactados. En 2026, la IA generativa ha acelerado la velocidad y el volumen de estas campañas de forma dramática.
2. Ransomware de doble extorsión
La variante moderna del ransomware no solo cifra tus archivos: primero los roba y luego los cifra. Si no pagas el rescate, tus datos de clientes aparecen publicados en foros de la dark web. El 22 % de las organizaciones de Latinoamérica fue víctima de ransomware en los últimos dos años (ESET Security Report 2025). Casos emblemáticos en Perú — como la filtración de 3,7 TB de Interbank y el ataque al Estado con la banda Rhysida — muestran que ningún sector está exento.
3. Ataques a la cadena de suministro de software
En lugar de atacar directamente a un banco o a una municipalidad, los hackers atacan a sus proveedores de software: la empresa que desarrolla el ERP, el proveedor de facturación electrónica, el sistema de nómina en la nube. Si ese proveedor es comprometido, miles de empresas clientes quedan expuestas en una sola operación. FortiGuard Labs advierte que el tiempo promedio para explotar una vulnerabilidad crítica se situó en 4,7 días según su Global Threat Landscape Report 2023, y la tendencia es a la baja: informes más recientes confirman que el margen de respuesta de los defensores se sigue comprimiendo a días o incluso horas.
4. IA ofensiva: el multiplicador de amenazas
Microsoft, en su Digital Defense Report, advierte que los atacantes ya usan IA generativa para crear campañas de phishing y malware más convincentes, y que el uso de IA en ataques sigue en aumento. En 2026 esta tendencia se acelera: la IA permite a grupos pequeños de atacantes generar campañas a escala industrial — más correos, más variantes de malware, más reconocimiento automatizado — a un costo mínimo.
Perú concentra el 18 % de todas las detecciones de amenazas en Latinoamérica. No es mala suerte — es consecuencia de la baja madurez de seguridad en las empresas.
ESET Security Report 2025 · Análisis regional¿Por qué las pymes peruanas son el blanco favorito?
Las grandes corporaciones y los bancos invierten millones en ciberseguridad. Los ciberdelincuentes lo saben. Por eso han girado su mira hacia las pequeñas y medianas empresas, que representan más del 96 % del tejido empresarial del Perú según el INEI. Las razones son estructurales:
- Sin área de TI dedicada: la mayoría de pymes peruanas no tiene un responsable de seguridad informática. El dueño o un asistente administrativo toma decisiones de TI sin formación especializada.
- Software desactualizado: licencias vencidas, sistemas operativos sin parches de seguridad y antivirus con definiciones de hace meses son la norma.
- Datos valiosos con defensas mínimas: bases de datos de clientes, historial de pagos, contratos — información que vale dinero en el mercado negro — protegidas solo por una contraseña de 8 caracteres.
- Sin backups probados: muchas empresas creen que tienen respaldo hasta que intentan restaurarlo después de un ataque y descubren que llevaba meses fallando.
El costo real: más allá del rescate
El IBM Cost of a Data Breach Report 2025 sitúa el costo promedio de una brecha de datos en Latinoamérica en USD 2,51 millones. Pero para una pyme peruana, el daño va más allá del número: el tiempo promedio para identificar y contener un incidente en la región es de 316 días. Más de 10 meses operando con una vulnerabilidad activa, muchas veces sin saberlo.
Los costos reales de un ataque se distribuyen así:
- Tiempo de inactividad: cada hora que un sistema permanece cifrado o caído es facturación perdida.
- Recuperación forense: contratar expertos en respuesta a incidentes cuesta entre USD 5 000 y USD 50 000 dependiendo de la complejidad.
- Daño reputacional: clientes que se van, contratos que no se renuevan, proveedores que desconfían.
- Sanciones regulatorias: multas de la ANPD bajo la Ley 29733 si se expusieron datos personales.
- El rescate en sí: que muchas veces se paga y no garantiza la recuperación de los datos.
Cómo protegerse: plan de acción concreto
La ciberseguridad no es un producto que se compra una sola vez — es un proceso continuo. El siguiente plan de acción, ordenado por impacto y urgencia, es aplicable a cualquier empresa peruana independientemente de su tamaño:
Auditoría de superficie de ataque
Antes de proteger, hay que saber qué existe. Un escaneo de vulnerabilidades externas identifica puertos abiertos, certificados vencidos, versiones de software con CVE conocidos y formularios web sin validación. Es el punto de partida obligatorio.
Autenticación multifactor (MFA) en todos los accesos críticos
Una gran parte de las brechas exitosas comienzan con credenciales robadas o débiles, según el Verizon Data Breach Investigations Report (DBIR). Activar MFA en correo corporativo, VPN, panel de administración web y sistemas de gestión es la medida de mayor retorno por inversión en ciberseguridad.
Backups inmutables y probados con regla 3-2-1
3 copias, en 2 medios distintos, con 1 copia fuera del sitio (offsite o cloud). Lo crítico: probar la restauración cada mes. Un backup que nunca se ha probado es solo un archivo que ocupa espacio.
Capacitación anti-phishing para todo el equipo
La tecnología más avanzada no detiene un ataque si un empleado hace clic. Simulaciones de phishing controladas, talleres de concienciación y una política clara de reporte de correos sospechosos reducen el riesgo humano de forma medible.
Monitoreo 24/7 y plan de respuesta a incidentes
Cuando un ataque ocurre — y eventualmente ocurre — los primeros 60 minutos son decisivos. Tener un SOC externo o un proveedor de respuesta a incidentes contratado de antemano puede ser la diferencia entre un susto y una catástrofe.
Cumplimiento con la Ley 29733
Registra tus bases de datos ante el Ministerio de Justicia, documenta las medidas de seguridad técnicas y organizativas, y define un protocolo de notificación de incidentes. El cumplimiento legal no es solo un escudo frente a multas — es una señal de madurez empresarial.
¿Tu empresa ya está en la mira? Descúbrelo antes de que lo hagan ellos.
En Pukara Digital, división de seguridad de Grupo Digitalizando Perú, realizamos auditorías de vulnerabilidades, implementamos arquitecturas de defensa en profundidad y acompañamos a empresas peruanas en el cumplimiento de la Ley 29733. Sin tecnicismos innecesarios, con resultados medibles.
Solicitar auditoría de seguridadConclusión
Los 748 millones de intentos de ciberataque registrados en el primer semestre de 2025 no son una anomalía — son la nueva normalidad para las empresas peruanas. El ecosistema de amenazas de 2026 es más rápido, más barato para los atacantes y más costoso para las víctimas. La buena noticia es que la mayoría de los ataques exitosos se aprovechan de vulnerabilidades conocidas y medidas básicas ignoradas. Protegerse no requiere presupuestos de banco — requiere método, constancia y el socio tecnológico correcto. No esperes el incidente para actuar.