El impulso de la ciberseguridad es uno de los retos más importantes para el Perú. Un informe de FortiGuard Labs reveló que nuestro país sufrió más de 15 000 millones de intentos de ciberataques en el 2022, un 35 % más de lo que se registró en el 2021. Por ello, es importante entender qué factores impulsan este aumento y qué acciones podemos tomar al respecto para evitar ser víctimas de este tipo de delitos.

Causas principales

En un periodo pospandemia, el aumento del número de intentos de ciberataques se explica por muchos factores. El crecimiento de la infraestructura de internet ha conllevado a un aumento en el número de usuarios en línea, es decir, más objetivos potenciales para los ciberdelincuentes. La mayor dependencia tecnológica de la sociedad peruana, reflejada en la creciente adopción de dispositivos conectados al internet de las cosas, amplía la superficie de ataque potencial.

En el caso de los cibercriminales, existen motivaciones económicas y políticas que se plasman en la extorsión a personas y empresas, así como en el hackeo de páginas web de entidades públicas cuestionadas por la población (hacktivismo). Todos estos factores son incluso más riesgosos debido al desconocimiento de la población sobre buenas prácticas de ciberseguridad y su falta de conciencia respecto a las amenazas cibernéticas existentes al conectarse a internet.

Modalidades más comunes

En general, los ciberataques en el Perú se realizan con las mismas modalidades identificadas en otros países de la región. Entre las más comunes podemos mencionar las siguientes:

• Phishing. Los ciberdelincuentes se hacen pasar por entidades legítimas, como bancos o empresas conocidas, para engañar a las personas y obtener información confidencial, por ejemplo contraseñas o datos financieros. Los medios generalmente utilizados son correos electrónicos fraudulentos, mensajes de texto o sitios web falsos.

• Ransomware. Esta modalidad de malware bloquea el acceso a los archivos o sistemas de la víctima y exige un rescate para desbloquearlos.

• Ataques a sitios web y aplicaciones. Buscan vulnerar estos espacios y realizar ataques como inyección de código SQL, cross-site scripting (XSS) y denegación de servicio (DDoS), todos esto pueden afectar a empresas y usuarios individuales.

• Malware. Este software malicioso está diseñado para dañar, acceder de manera no autorizada o controlar un sistema o dispositivo. Según sus características, pueden ser virus, gusanos, troyanos y spyware.

Experiencias regionales

El informe de FortiGuard Labs señala que México, Brasil y Colombia son tres países latinoamericanos que recibieron más intentos de ciberataques durante el 2022. Cada uno implementó diversas estrategias y enfoques para combatir la ciberdelincuencia y, si bien sus contextos locales son diferentes, existen algunas lecciones que el Perú puede tomar en cuenta.

Los países mencionados han fortalecido su marco legal en materia de ciberseguridad y delitos informáticos, mediante la promulgación de leyes y regulaciones que abordan de manera específica los delitos cibernéticos y establecen sanciones para los infractores. El Perú puede beneficiarse con la revisión y actualización de su legislación en ciberseguridad para asegurar que sea efectiva y esté alineada con los desafíos actuales.

Otra lección importante es promover la colaboración entre el Gobierno, el sector privado y otros sectores relevantes para abordar los desafíos de ciberseguridad. México, Brasil y Colombia establecieron mecanismos de coordinación, intercambio de información y cooperación en la lucha contra la ciberdelincuencia. El Perú podría replicar esta práctica entre los diferentes actores involucrados, incluyendo organismos gubernamentales, empresas, instituciones académicas y la sociedad civil.

Los tres países mencionados también invirtieron en programas de educación y concienciación en ciberseguridad dirigidos a la población en general, empresas y sectores clave. El objetivo es informar a las personas sobre los riesgos y las mejores prácticas en ciberseguridad. El Perú puede fortalecer sus esfuerzos en educación y concienciación para elevar el nivel de conocimiento y promover una cultura de seguridad cibernética en la sociedad.

Otro aprendizaje clave es desarrollar programas de formación de profesionales en ciberseguridad para fortalecer las capacidades técnicas y estratégicas en la lucha contra la ciberdelincuencia. En ese sentido, el Perú podría promover la formación de especialistas en ciberseguridad mediante programas académicos, certificaciones y oportunidades de desarrollo profesional.

Por último, estos países fortalecieron sus capacidades de respuesta ante incidentes cibernéticos con el establecimiento de equipos especializados, centros de respuesta y mecanismos de alerta temprana (CyberSocs). Estos enfoques permiten una detección más rápida y una respuesta más eficiente a los ataques. El Perú podría invertir en el fortalecimiento de sus capacidades de respuesta, que incluye la creación de equipos especializados y la colaboración con organismos internacionales en la materia.

Prevención de riesgos

La ciberseguridad es vital en un contexto en el que el número de transacciones digitales ha experimentado un crecimiento considerable en el Perú. A medida que más personas realizan transacciones en línea -ya sean para compras, servicios financieros, trámites gubernamentales u otras actividades- se genera un aumento en el flujo de información personal y financiera a través de internet.

Estos factores crean una mayor superficie de ataque para los ciberdelincuentes y plantea riesgos significativos para la seguridad de los usuarios y sus datos. Entre las razones por las cuales la ciberseguridad es fundamental en este contexto, podemos mencionar la protección de información personal, la prevención de fraudes y estafas, la salvaguarda de la reputación y la confianza en las organizaciones, la continuidad del negocio, y el cumplimiento de regulaciones y estándares.

Medidas básicas de seguridad

Existen diversas acciones que las personas pueden tomar para reducir el riesgo de convertirse en víctimas de un ciberataque. Aquí hay algunas recomendaciones clave:

• Mantener el software actualizado, en especial los sistemas operativos de los dispositivos y aplicaciones.

• Utilizar contraseñas fuertes y únicas.

• Habilitar la autenticación de dos o más factores para reforzar la verificación de accesos de los usuarios.

• Implementar una política zero trust (cero confianza) con los correos electrónicos sospechosos.

• Utilizar conexiones seguras y evitar conectarse a redes wifi públicas no seguras.

• Utiliza una red privada virtual (VPN, por sus siglas en inglés) para encriptar tu tráfico.

• Instalar y actualizar el software de seguridad.

• Ser cauteloso en las redes sociales y no compartir información personal sensible.

• Realizar copias de seguridad regulares (backups).

Acciones gubernamentales

Es necesario que el Estado desarrolle una política para fortalecer la ciberseguridad de las instituciones públicas y la sociedad en general, la cual no debería ser afectada por la alternancia de los próximos gobiernos. Entre las principales medidas que debe incluir esta política figura el establecimiento de un marco legal sólido que brinde confianza digital a la sociedad. Para ello, hay que promulgar leyes y regulaciones que aborden de manera específica la ciberseguridad y los delitos informáticos.

Es necesario también fomentar la colaboración público-privada para la transferencia de conocimiento, promover la educación y concienciación en ciberseguridad en la sociedad, e invertir en capacitación y formación de especialistas en ciberseguridad. Asimismo, hay que establecer equipos especializados y centros de respuesta ante ciberataques, fomentar la investigación y el desarrollo en ciberseguridad, establecer mecanismos de regulación y auditoría, y fomentar la cooperación internacional en ciberseguridad.

¿Qué otras acciones consideras necesarias? Déjanos tu opinión.

¡Descubre cómo puedes fortalecer tus conocimientos en ciberseguridad y privacidad participando en la Maestría en Gestión de la Ciberseguridad y Privacidad Semipresencial de ESAN!