Reporte revela que empresas peruanas ignoran sus brechas de ciberseguridad e invierten poco en prevención

El ecosistema corporativo peruano enfrenta una paradoja digital de alto riesgo. Mientras los comités ejecutivos y directorios navegan por una transformación digital acelerada tras la pandemia, persiste un velo de complacencia respecto al resguardo de sus activos informáticos. Así lo demuestra el más reciente estudio técnico sectorial de IALaw (Iriarte Law), titulado «Ciberseguridad en las empresas peruanas: percepciones y realidades (2024-2026)», el cual desnuda una severa asimetría entre la seguridad que las organizaciones creen tener y las defensas técnicas e inversiones reales que ejecutan.

La investigación, que consolida métricas recopiladas a lo largo de los últimos tres años, concluye que la aparente inmunidad de muchas organizaciones no responde a una infraestructura robusta, sino a una profunda invisibilidad del peligro. El reporte advierte taxativamente: «El problema no necesariamente es que no existan brechas, sino que muchas empresas no las detectan o no las reconocen como tales».

La anatomía de una contradicción: Sensación de control vs. Baja inversión

El análisis cualitativo y estadístico estructurado por IALaw aborda la problemática desde cuatro ejes fundamentales: la frecuencia de incidentes según la dimensión de la firma, la preparación organizacional percibida, los recursos destinados a la mitigación y las áreas operativas con mayores índices de vulnerabilidad.

Al cruzar estas variables, los hallazgos revelan que una proporción muy significativa de empresas peruanas —sin importar si se trata de corporaciones de gran envergadura o Micro y Pequeñas Empresas (MYPE)— declara «sentirse preparada» para neutralizar un incidente digital. No obstante, esta percepción de madurez se desploma al examinar los presupuestos financieros: la inversión destinada a herramientas de monitoreo y contención sigue siendo escasa o considerada un gasto accesorio en lugar de un riesgo estratégico.

“La percepción positiva no necesariamente refleja capacidades reales de respuesta, monitoreo o continuidad operativa”, advierte el documento legal, señalando que el veloz despliegue de soluciones en la nube y canales de comercio electrónico implementado en el país no ha venido acompañado de políticas equivalentes de blindaje informático.

El contexto penal: Más de 31,000 denuncias por ciberdelitos

Para calibrar la magnitud del riesgo real, el informe de IALaw contrasta el optimismo de los directivos con la data dura del Ministerio Público. Entre enero y septiembre del año pasado, la Fiscalía Especializada en Ciberdelincuencia en el Perú procesó un total de 31,028 denuncias por delitos informáticos.

La distribución de los casos refleja la sofisticación de los ataques dirigidos a interactuar con los sistemas corporativos y los usuarios:

• Fraude Informático: Representa la abrumadora mayoría con un 68.88% del total de las incidencias reportadas.
• Delitos contra la fe pública: Con un 24.2%, vinculados directamente a campañas masivas de phishing (suplantación de páginas institucionales), SIM swapping (clonación de tarjetas SIM) y el uso emergente de Inteligencia Artificial generativa para la creación de deepfakes con fines extorsivos o de fraude financiero.

La brecha regulatoria y el rol del directorio

El reporte va más allá del diagnóstico informático y aterriza los hallazgos dentro del marco legal vigente en el Perú. Existe una brecha crítica entre el cumplimiento técnico exigido por normativas como la Ley 29733 (Ley de Protección de Datos Personales), la Ley 30096 (Ley de Delitos Informáticos) y el Decreto de Urgencia 007-2020 (Decreto de Urgencia de Seguridad Digital), frente a lo ejecutado por los comités corporativos.

El estudio advierte que los directorios y la alta dirección en el país tienden a subestimar el severo impacto reputacional, operativo y las millonarias multas administrativas que desencadena una filtración de información protegida. Al no ser mapeada la ciberseguridad como un factor de viabilidad del negocio, los planes de respuesta a incidentes son, con frecuencia, documentos teóricos sin ejercicios prácticos de simulación.

Conclusión y Recomendaciones de IALaw

El informe concluye que, para elevar los estándares de competitividad y proteger la continuidad del negocio frente al cibercrimen moderno, las organizaciones peruanas deben reformular su gobernanza bajo las siguientes directrices esenciales:

1. Inclusión en la agenda de la Alta Dirección: La ciberseguridad debe dejar de delegarse exclusivamente como un problema del departamento de TI y pasar a ser un ítem prioritario en los reportes de riesgos de los Directorios.
2. Sistemas de detección temprana: Invertir en capacidades reales de monitoreo continuo para identificar intrusiones antes de que muten en pérdidas de datos o ataques de ransomware.
3. Cultura de prevención y capacitación: Fortalecer el entrenamiento continuo de los colaboradores en el reconocimiento de técnicas de ingeniería social (phishing), identificados como el eslabón más vulnerable de la cadena organizacional.

Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú

Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario