El phishing es la principal ciberamenaza en el Perú: conoce las cifras del fraude y cómo proteger tus datos

El panorama de la seguridad digital en el Perú atraviesa por una fase crítica. Lejos de ser una amenaza menor o correos con errores ortográficos fáciles de detectar, las técnicas de suplantación de identidad conocidas como phishing se han sofisticado a niveles sin precedentes. Lo que antes requería de complejas estructuras técnicas, hoy se ejecuta masivamente mediante campañas hiperpersonalizadas que apelan a la urgencia de los usuarios. Los reportes de las principales firmas globales de ciberseguridad y las estadísticas del Ministerio Público revelan un ecosistema criminal en franco ascenso que pone en jaque tanto a ciudadanos como a corporaciones.

El mapa de la amenaza: Datos y estadísticas en territorio nacional

Las cifras demuestran que el ciberdelito no discrimina sectores económicos ni niveles de conectividad. De acuerdo con el último reporte de la firma de ciberseguridad ESET, el 62% de los ciberataques perpetrados en el país tuvieron su origen directo en una campaña de phishing. Esta efectividad ha llevado a que la corporación Kaspersky ubique al Perú en un preocupante segundo lugar entre los países más afectados por phishing en toda Latinoamérica.

Para dimensionar el volumen del bombardeo digital, se identifican las siguientes métricas clave de la realidad peruana:

• Millones de ofensivas: Durante la primera mitad del año, FortiGuard Labs detectó más de 748.2 millones de intentos de ciberataques en el país.

• Explosión de denuncias: El Ministerio Público reportó que las denuncias anuales por ciberdelitos a nivel nacional pasaron de 18,424 en 2021 a más de 42,161 casos, evidenciando un incremento exponencial motorizado por el encierro digital post-pandemia.

• El predominio del fraude: De las denuncias tramitadas ante las Fiscalías Especializadas en Ciberdelincuencia, el fraude informático lidera con comodidad con el 68.88% de las incidencias, seguido de los delitos contra la fe pública (donde destaca la suplantación de identidad mediante phishing).

• El botín más buscado: El objetivo principal detrás de estos anzuelos es la descarga silenciosa de malware de tipo infostealer (robadores de información). Entre las variantes más agresivas detectadas en las bandejas peruanas se encuentran LummaStealer (18% de prevalencia), AgentTesla (11%) y RedLine (7%), diseñadas exclusivamente para vaciar contraseñas y credenciales bancarias guardadas en los navegadores.

Las nuevas tácticas: El engaño sofisticado

El ciberdelincuente local ha migrado con fuerza hacia el Smishing (enlaces maliciosos enviados por mensajes de texto) y mensajes fraudulentos por WhatsApp. El engaño suele presentarse de tres formas específicas: imitar alertas de seguridad de bancos comerciales que exigen la actualización de datos, simular falsos bonos gubernamentales suplantando portales oficiales del Estado (.gob.pe) o recurrir a la técnica del "FakeCaptcha", donde se simula un sistema de verificación web para forzar al usuario a dar permisos de acceso.

Ante esta alarmante evolución, el sistema judicial peruano ha empezado a responder. Datos oficiales de las Fiscalías Especializadas confirman que se ha logrado dictar sentencia condenatoria contra 624 personas por delitos informáticos, de las cuales 493 condenas corresponden directamente a la modalidad de fraude informático. Asimismo, la normativa vigente se ha endurecido, castigando el tráfico ilícito de datos personales con penas de hasta 10 años de prisión.

Guía práctica: ¿Cómo evitar morder el anzuelo?

La prevención es la barrera más efectiva contra el phishing. Las autoridades de ciberseguridad recomiendan adoptar los siguientes hábitos digitales esenciales:

• 1. Verificación fuera de plataforma: Si recibe una alerta alarmante de su banco, un supuesto familiar o una entidad pública por SMS, correo o WhatsApp, nunca haga clic en el enlace adjunto. Cierre el mensaje y comuníquese directamente a través de los canales telefónicos o agencias oficiales de la institución.

• 2. Inspección minuciosa de dominios: Asegúrese de que el sitio web donde ingresa sus claves empiece estrictamente con https:// y que, en el caso de instituciones del Estado peruano, cuente con el dominio oficial .gob.pe. Los estafadores suelen usar variaciones sutiles (como bancoperu-seguridad.com) para engañar al ojo descuidado.

• 3. Active la autenticación de dos factores (2FA): Configurar la verificación en dos pasos en sus correos, redes sociales y aplicaciones financieras garantiza que, incluso si los delincuentes obtienen su contraseña mediante phishing, no puedan acceder a sus cuentas sin el código dinámico enviado a su celular.

• 4. No guarde credenciales en navegadores: Evite la comodidad de almacenar claves de tarjetas de crédito o accesos bancarios en los perfiles automáticos de Google Chrome o Edge, ya que los virus infostealers distribuidos por phishing apuntan directamente a extraer esas bases de datos.

• 5. Denuncia inmediata: Si ha ingresado sus datos en un enlace falso, cambie sus contraseñas de inmediato, bloquee sus tarjetas financieras y realice la denuncia en la Plataforma de Denuncia Policial Digital. Esto facilita el rastreo oportuno y el bloqueo de las cuentas receptoras del dinero defraudado.