Phishing lidera los ciberataques en Perú y preocupa por el robo de contraseñas bancarias

El phishing sigue siendo el mayor dolor de cabeza para la ciberseguridad en el Perú. De acuerdo con la compañía de seguridad informática Eset, este tipo de ataque representa el 34 % de todos los incidentes detectados en el país, convirtiéndose en la técnica más empleada para robar contraseñas, datos personales y credenciales bancarias.

Los datos fueron presentados en la conferencia ESET Security Days 2025 Edición Lima, donde especialistas alertaron sobre el perfeccionamiento de las campañas maliciosas. El investigador Mario Micucci, de Eset Latinoamérica, explicó que “dos de cada tres intentos de phishing incluyen archivos adjuntos maliciosos”, lo que incrementa su nivel de peligrosidad, especialmente al combinarse con técnicas de ingeniería social diseñadas para engañar a los usuarios.

¿Cómo funciona el phishing y por qué es tan eficaz?

El phishing consiste en enviar correos electrónicos, mensajes de texto o enlaces en redes sociales que imitan sitios web o perfiles legítimos para engañar a la víctima y obtener sus datos. Por ejemplo, un usuario puede recibir un correo que parece provenir de su banco, pidiéndole verificar su cuenta a través de un enlace falso que roba sus credenciales.

A nivel mundial, se estima que decenas de millones de estos correos se envían a diario. Según el informe de Eset, en Perú estas campañas se están haciendo cada vez más sofisticadas, usando gráficos y redacción más pulidos para parecer legítimos. En 2024, Interpol alertó que el phishing fue uno de los delitos cibernéticos más denunciados en América Latina, con miles de casos cada mes.

El problema se agrava porque muchas de estas campañas ahora incluyen archivos adjuntos maliciosos que se camuflan como facturas, cotizaciones o documentos oficiales. Al abrirlos, el dispositivo de la víctima se infecta con malware que roba información sin que el usuario lo note.

Infostealers: la amenaza silenciosa

Aunque el phishing lidera en volumen, no es la única amenaza relevante. Según Eset, los infostealers representan el 16 % de las detecciones en el Perú. Estos programas maliciosos están diseñados específicamente para extraer contraseñas almacenadas en el navegador, datos de tarjetas de crédito y otra información confidencial.

Entre los más detectados en 2025 figuran LummaStealer, AgentTesla y RedLine. LummaStealer en particular fue el más activo en América Latina este año, con más de 4,000 casos únicos. Estos programas suelen llegar como archivos adjuntos en correos de phishing, descargarse en segundo plano o instalarse al visitar sitios web comprometidos.

Una vez en el sistema, envían los datos robados a servidores remotos controlados por los atacantes, que pueden revender las credenciales en foros clandestinos o usarlas para fraudes bancarios.

El ransomware, otro riesgo latente

El ransomware, que secuestra información y exige un rescate para liberarla, ocupa el 14 % de las detecciones en Perú, según el informe presentado. Aunque en proporción es menor que el phishing, su impacto económico puede ser devastador

En 2023, la empresa de ciberseguridad Kaspersky estimó que el costo promedio de un ataque de ransomware a una empresa latinoamericana rondaba los 1.2 millones de dólares, considerando no solo el pago del rescate, sino el tiempo de inactividad, costos legales y daños de reputación.

Los especialistas de Eset advirtieron que el ransomware se está volviendo más selectivo y dirigido, atacando empresas con infraestructura crítica o bases de datos sensibles para maximizar la presión sobre las víctimas.

FakeCaptcha: un malware muy peruano

Un dato especialmente preocupante del informe es la alta tasa de detección en Perú del malware FakeCaptcha, que engaña a los usuarios haciéndoles creer que están resolviendo un captcha legítimo, mientras en realidad descarga archivos maliciosos.

En el país, este malware representa el 20.6 % de las detecciones, casi el triple del promedio global (7.7 %). Según Eset, la popularidad de este método se explica por su efectividad para burlar la sospecha del usuario, al presentarse como un paso de seguridad aparente.

Educación y capacitación: claves para la prevención

Durante la conferencia en Lima, los expertos insistieron en que la mejor herramienta para combatir estos delitos es la prevención a través de la educación continua.

Jorge Zeballos, gerente general de Eset Perú, destacó que “el panorama de amenazas digitales cambia cada día”, por lo que es esencial fomentar una comunidad informada que sepa reconocer las señales de alerta, como enlaces sospechosos o solicitudes inusuales de información personal.

André Goujon, estratega en ciberseguridad, añadió que en 2023 el 30 % de las empresas en América Latina sufrieron al menos un incidente de seguridad. Para enfrentar este panorama, recomendó adoptar estrategias de protección integral que combinen tecnología avanzada con personal capacitado capaz de detectar, prevenir y responder a los ataques.

Hacia una cultura de ciberseguridad

Los especialistas coincidieron en que la ciberseguridad ya no puede considerarse solo un tema técnico o de expertos. Con el crecimiento del comercio electrónico, la digitalización de servicios y el trabajo remoto, proteger la información personal y empresarial se ha convertido en una responsabilidad compartida.

Programas de concientización en empresas, simulacros de phishing para entrenar al personal y la adopción de herramientas de seguridad (como autenticación de dos factores y soluciones antivirus actualizadas) son algunas de las recomendaciones clave para reducir el riesgo.

El reto, subrayaron en el ESET Security Days, es construir una cultura de ciberseguridad que permita a todos los usuarios —desde grandes corporaciones hasta pequeños negocios y ciudadanos comunes— estar mejor preparados frente a un panorama de amenazas cada vez más complejo y profesionalizado.