Esta nota busca explicar qué puntos de la seguridad informática son particularmente sensibles en el Perú y qué acciones caracterizan el actuar de los operadores maliciosos en el ámbito digital, dentro del contexto electoral antes citado.
LEE TAMBIÉN: Día de la Madre: ser mamá en tiempos de IA, redes sociales y robótica
Vías de ataque
Según explica Jimmy Armas, director de la Maestría en Ciberseguridad y Gestión de la Información en la Escuela de Postgrado de la Universidad Peruana de Ciencias Aplicadas (UPC), las bases de datos sin protección adecuada son un primer blanco sumamente tentador para los agentes maliciosos.
“Las principales modalidades por las que se accede a información personal para inscripciones políticas sin consentimiento incluyen la explotación de bases de datos expuestas en servidores mal configurados, el uso de credenciales comprometidas de funcionarios públicos, campañas de phishing dirigidas, y la compra de datos personales en foros clandestinos”, explica Armas.
“Muchas de estas filtraciones provienen de sistemas con controles mínimos o inexistentes de ciberseguridad y sin monitoreo activo de accesos indebidos”, añade.
El catedrático de la UPC indica que sectores como la banca y las telecomunicaciones suelen liderar en implementación de buenas prácticas de seguridad por presión regulatoria y requerimientos de auditoría externa. Estos sectores junto a otros como salud y gobierno digital suelen ser los que actualmente tienen mayor demanda de profesionales en ciberseguridad y esto se debe a que en estos “los riesgos asociados al manejo de datos son críticos” a decir de Armas.
En polo opuesto, la educación, los gobiernos subnacionales y las pymes son sumamente vulnerables a los ataques informáticos y por ende son víctimas sencillas para el robo de la información de los ciudadanos presentes en sus bases de datos.
“Las bases de datos más vulnerables suelen encontrarse en gobiernos locales, como municipalidades, donde hay escasa inversión en tecnología, equipos obsoletos y una débil cultura de ciberseguridad. En el caso de empresas, aquellas que tercerizan servicios o carecen de políticas internas de seguridad también se convierten en objetivos fáciles”, apunta Jimmy Arims.
La falta de cifrado de información e implementación de registros de auditoría para rastrear accesos indebidos son puntos débiles frecuentes en muchas de estas instituciones.
Los problemas en torno a la protección de datos personales por parte de las entidades peruanas van más allá, pues las prácticas son deficientes desde el lado de la adquisición de hardware y software actualizado, crucial para la demanda actual de seguridad y algo sobre lo que este Diario informaba con anterioridad (insertar enlace).
“En el Perú, las actualizaciones urgentes en ciberseguridad abarcan tanto software como infraestructura. A nivel de software, es crítica la actualización de sistemas operativos, la aplicación de parches y la eliminación de configuraciones por defecto. En infraestructura, se requiere modernizar los centros de datos, implementar cifrado por defecto y asegurar redes internas mediante segmentación y firewalls de nueva generación. La ausencia de políticas claras de gestión de vulnerabilidades agrava aún más los riesgos”, comenta al respecto Jimmy Armas.
El usuario nuevamente como factor de riesgo
La vulnerabilidad de las instituciones no es el único problema, pues el desconocimiento de buena parte de la ciudadanía en torno a la seguridad informática y el reconocimiento de las trampas de los ciberdelincuentes suponen un riesgo adicional.
“Los principales errores (de los usuarios) son confiar en mensajes de publicidad o notificaciones de empresas con las que tienen alguna relación, por ejemplo, proveedores de internet o entidades bancarias” comenta sobre el tema Elvis Rivera, gerente de Ingeniería de Sistemas en Fortinet Perú.
Tal como señala el vocero de Fortinet, dichos mensajes son enviados a través de correo electrónico o SMS y con ellos ciberdelincuentes los ciberdelincuentes suplantan la identidad de otras instituciones o personas para engañar a los usuarios y así obtener información personal o tokens de autenticación. Estos últimos luego serán usados por estos operadores para el robo de información.
A lo anterior se añade que la misma actividad descuidada de los ciudadanos en las redes sociales puede brindar información útil para las personas detrás de los ataques informáticos.
“Otro error común es publica mucha información personal en las redes sociales, como los lugares que suelen frecuentar, gustos personales, viajes, etc. Toda esa información es utilizada por ciberdelincuentes para emplearlos en ataques en base a ingeniera social, que consiste en engañar a las personas para que accedan a sitos web o aplicaciones maliciosas, o compartan información personal para luego ser víctimas de fraudes”, sostiene Rivera.
Amenazas recientes
El reporte “2025 Global Threat Landscape Report” de Fortinet da cuenta de un aumento en los últimos meses de ataques a dispositivos IoT (Internet of Things), así como ataques a plataformas Windows y servicios web. Elvis Rivera apunta que los grupos de ciberdelincuentes más activos han sido el grupo Lazarus, Kimsuky y APT28. «Se ha registrado una cantidad importante de ataques del tipo ransomware, que perjudica a muchas empresas y personas encriptando y secuestrando la información, para luego extorsionar a las víctimas pidiendo dinero a cambio de devolver la información o no hacer publica información sensible», explicó Rivera.
Particularidades del periodo electoral
Aunque los ataques informáticos son cada vez más frecuentes, la forma en la que operan los agentes maliciosos puede variar de cara a procesos electorales, pues no solo se remiten al robo de datos, sino que en dicho contexto también se ha observado un incremento en los intentos de manipular la opinión pública.
“El uso indebido de información personal con fines políticos no es algo nuevo en el Perú; en procesos electorales anteriores ya se detectaron casos de afiliaciones masivas sin consentimiento, facilitadas por sistemas digitales que no exigían una validación fuerte de identidad. La falta de mecanismos de autenticación robusta —como biometría o tokens de doble factor— ha permitido que actores maliciosos inscriban a personas sin que estas siquiera se enteren”, apunta Jimmy Armas
A decir de Armas, dichos agentes pueden ser tanto locales como internacionales y desde el exterior, existen grupos que comercian bases de datos peruanas filtradas y las usan para fines de suplantación o fraude.
“A nivel local también operan individuos o grupos con conocimientos técnicos básicos que aprovechan herramientas de fácil acceso para automatizar procesos de afiliación o manipulación de datos personales, sin necesidad de técnicas sofisticadas”, apunta.
La práctica del ‘hoax’, que es la difusión de información falsa presentada de forma más o menos verosímil, también ha adquirido gran complejidad gracias al uso de inteligencia artificial y otras aplicaciones tecnológicas de gran desarrollo en el tiempo reciente
“En este tipo de escenarios se suelen cambiar las técnicas de los ataques porque se buscan otros objetivos, recientemente ha proliferado ataques del tipo ‘deepfake’ suplantado no solo las fotografías de las personas, sino en casos avanzados generando videos audiovisuales que buscan difundir mensajes para influir en la opinión de las personas a fin de impactar en los resultados de los procesos electorales”, comenta por su parte Elvis Rivera.
Aunque el accionar de los ciberdelincuentes y otros agentes que buscan obtener beneficio ilícito de la información sensible de instituciones y personas haya ido en aumento, el usuario promedio debe comenzar a desarrollar una cultura de prevención de cara a los ataques informáticos y el uso malicioso de la tecnología pues se trata de una situación que hoy ya es parte de su vida diaria.
¿Qué hacer si los datos ya se filtraron?
Para Elvis Rivera, si los agentes maliciosos ya tuvieron acceso a información sensible se deben tener en cuenta los siguientes puntos clave:
- La primera acción que debe realizar la persona es el cambio de las contraseñas en todas las plataformas que usa, desde el acceso a sus servicios bancarios por internet hasta plataformas de uso personal como correo electrónico.
- Las nuevas contraseñas deben ser lo más distintas posibles, tratando de emplear caracteres alfanuméricos, además de letras y números para reducir la probabilidad de que las contraseñas sean vulneradas fácilmente por los ciberdelincuentes.
- Se debe elevar el nivel de seguridad empleando métodos de múltiple factor de autenticación, eso significa que el usuario debe emplear además de su contraseña al menos un método adicional de validación, como por ejemplo el uso de tokens digitales o validación biométrica de la persona como reconocimiento facial u otros métodos.
