El phishing fue el origen del 62% de los ciberataques en Perú durante los primeros meses del 2025, según ESET

En lo que va de 2025, el 62% de los ciberataques en Perú tuvo su origen en campañas de phishing, una técnica de engaño que sigue siendo altamente efectiva para los ciberdelincuentes. Así lo revela ESET, compañía especializada en ciberseguridad, a través de su telemetría sobre amenazas digitales en el país. Este tipo de ataque consiste en correos o mensajes maliciosos que buscan engañar al usuario para que entregue información confidencial, como contraseñas o datos bancarios.

El crecimiento de estos ataques no es casual. Según ESET, el phishing aumentó un 9% en comparación con 2023, lo que confirma su evolución constante. Ahora los mensajes son más realistas, personalizados y difíciles de detectar, lo que exige mayor atención tanto de los usuarios individuales como de las organizaciones públicas y privadas.

Infostealers: el malware que roba datos sin ser detectado

El malware más común en Perú en 2025 ha sido el infostealer, una herramienta que roba información sensible de manera silenciosa.

La mayoría de estos programas maliciosos llegan a través de correos de phishing o archivos adjuntos aparentemente inofensivos. Su capacidad para infiltrarse y extraer información ha convertido a los infostealers en uno de los métodos preferidos por los ciberdelincuentes en Perú, lo que pone en alerta a todo el ecosistema digital.

Herramientas legítimas, ahora usadas con fines maliciosos

Los atacantes están utilizando entornos legítimos como PowerShell y Python para ejecutar sus amenazas sin ser detectados. ESET identificó que PowerShell fue usado en el 27% de los ataques, mientras que Python y WinGO representaron el 18% y 14%, respectivamente. Estas herramientas, creadas originalmente para facilitar tareas de programación o administración, ahora permiten a los ciberatacantes operar sin levantar sospechas.

Además, muchas amenazas se apoyan en vulnerabilidades antiguas que no han sido corregidas. Por ejemplo, la falla CVE-2012-0143 sigue siendo explotada en el 43% de los casos detectados, mientras que CVE-2017-0199 (16%) y Log4Shell (4%) también continúan activas. Esto evidencia la necesidad urgente de mantener los sistemas actualizados con parches de seguridad.

Perú avanza en protección de datos y regulación de la inteligencia artificial

El nuevo Reglamento de la Ley de Protección de Datos Personales marca un hito en la defensa de la privacidad en Perú. Esta normativa introduce exigencias más claras para el manejo ético y transparente de los datos personales, obligando a las empresas y entidades públicas a obtener consentimiento informado y proteger la información que gestionan.

Por otro lado, el país también ha dado pasos importantes en materia de inteligencia artificial. Con la Ley N.º 31814 y la Estrategia Nacional de Inteligencia Artificial (ENIA), Perú busca fomentar una innovación tecnológica responsable, que respete los derechos de los ciudadanos y promueva la formación de talento especializado.

Recomendaciones para enfrentar el nuevo panorama digital

ESET recomienda adoptar medidas clave para prevenir ciberataques y fortalecer la seguridad digital. Estas acciones están dirigidas tanto a empresas como a usuarios individuales, en un contexto donde el phishing y el robo de datos son amenazas constantes:

• Activar la autenticación multifactor en todas las plataformas y accesos críticos para añadir una capa extra de protección.
• Capacitar a los equipos y usuarios para que identifiquen campañas de phishing y practiquen hábitos digitales seguros.
• Actualizar regularmente los sistemas y aplicar los parches de seguridad que corrigen vulnerabilidades conocidas.
• Implementar soluciones de ciberseguridad avanzadas capaces de detectar malware sofisticado, como los infostealers.
• Revisar y adecuar las políticas de privacidad para cumplir con el nuevo Reglamento de Protección de Datos Personales en Perú.