La filtración es solo el inicio: cómo los datos personales expuestos en Perú alimentan el fraude digital

Cuando se reporta una presunta filtración de datos, la reacción suele repetirse: comunicados, investigaciones internas, promesas de reforzar la seguridad. Pero el verdadero problema casi nunca se discute en público. Una vez que los datos salen, el daño ya no depende de la empresa afectada, sino de un ecosistema criminal que sabe exactamente cómo explotarlos.

El caso atribuido a Win a inicios de enero de este año no es una excepción. En los últimos años, universidades, empresas privadas y plataformas de servicios en el Perú han enfrentado episodios similares. Bases de datos expuestas, miles de usuarios potencialmente comprometidos y un patrón que se repite: el foco se queda en la filtración, mientras el ataque real ocurre después, en silencio.

“Lo que suele venir no es un incidente aislado, sino una explotación activa de los datos”, advierte Eliana Puente, Business Development Manager de Sendmarc para Latinoamérica, en entrevista con Infobae. “La información se valida, se cruza con otras bases previas y se utiliza para lanzar ataques dirigidos. El impacto más grave no es la filtración en sí, sino lo que se hace después con esos datos”.

El mercado negro de la información personal

Una base de datos expuesta no se queda quieta. Circula. Se vende, se intercambia o se integra a repositorios más grandes. Correos electrónicos, números de documento, teléfonos y datos contractuales se convierten en insumos para campañas de fraude cada vez más sofisticadas.

“Estos casos generan un ciclo vicioso. Con los datos robados se habilitan ataques recurrentes en el tiempo. No es un golpe único: la información sigue siendo reutilizada meses después”, explica Puente.

Ese fenómeno ayuda a entender por qué muchas personas reciben intentos de fraude mucho tiempo después de una filtración que, en apariencia, ya había sido “cerrada”. Para los atacantes, el archivo sigue siendo rentable mientras siga siendo creíble.

Phishing de alta precisión: el engaño ya no es burdo

El phishing masivo, genérico y mal escrito pertenece al pasado. Hoy, los ataques son personalizados, coherentes y contextuales. Y eso no ocurre por casualidad.

“Con datos reales, los atacantes dejan de operar a ciegas. Pueden construir mensajes que apelan a situaciones legítimas: avisos de seguridad, cambios contractuales, notificaciones urgentes. Todo suena creíble porque está basado en información verdadera”, señala Puente.

Ese nivel de personalización reduce drásticamente la capacidad del usuario para detectar el engaño, incluso cuando tiene cierto nivel de alfabetización digital. El fraude ya no se apoya en la ingenuidad, sino en la confianza.

El correo electrónico, la puerta abierta

El principal canal de estos ataques sigue siendo el correo electrónico. No porque sea el más moderno, sino porque es el más confiable para el usuario. Allí llegan facturas, avisos de pago, confirmaciones de servicio y alertas reales.

“Cuando una persona recibe un correo que parece venir de una empresa conocida, confía”, afirma la vocera de Sendmarc. “Ese reflejo es aprovechado por los atacantes, sobre todo cuando la empresa no protege adecuadamente su dominio”.

El problema no está solo en el contenido del mensaje, sino en la infraestructura que lo permite. Si un dominio no tiene políticas estrictas de autenticación, cualquiera puede enviar correos haciéndose pasar por la marca.

“Para el usuario, el correo se ve legítimo: mismo nombre, mismo dominio, mismo diseño”, explica. “La verificación real ocurre a nivel técnico. Si esa validación no existe, el fraude entra directo a la bandeja de entrada”.

El Reporte de Ciberamenazas 2025 de Sendmarc es contundente: el 91 % de los ciberataques comienza con un correo electrónico y más del 68 % de los incidentes involucra error humano. Pero no se trata de descuido.

Las consecuencias son múltiples: suplantación de identidad, fraude financiero, toma de cuentas, extorsión y reutilización de datos en ataques posteriores. El daño no siempre es inmediato, pero sí acumulativo.

Desde la perspectiva del usuario, la responsabilidad es clara. Si el fraude lleva el nombre de una empresa, esa empresa queda asociada al problema. “La distinción técnica importa poco para el usuario. La marca es el rostro visible del incidente, y la percepción de inseguridad puede persistir mucho después”, señala Puente.

Ese daño no se limita a la reputación. Afecta la efectividad del canal de correo, debilita la relación con los clientes y, en algunos casos, abre la puerta a consecuencias legales y regulatorias. “Incluso las empresas pueden ser solidariamente responsables”, advierte.

Dominios sin control: una negligencia evitable

Muchos de estos ataques se apoyan en una falla concreta y frecuente: dominios de correo sin protección adecuada. La ausencia o mala implementación de SPF, DKIM y DMARC permite que terceros envíen correos fraudulentos desde infraestructuras externas, usando el nombre de la marca.

“Hoy esto ya no es opcional”, afirma Puente e indica que grandes proveedores como Google, Yahoo y Microsoft exigen DMARC para determinados volúmenes de envío. No cumplir con estos protocolos expone a la empresa tanto a fraude como a problemas en la entrega de correos legítimos.

DMARC —siglas en inglés de Domain-based Message Authentication, Reporting and Conformance— funciona, en términos simples, como un sistema de verificación de identidad del correo electrónico. Define qué deben hacer los servidores receptores cuando alguien intenta enviar mensajes usando un dominio sin estar autorizado: aceptarlos, marcarlos como sospechosos o bloquearlos por completo.

Cuando DMARC no está correctamente configurado, la empresa pierde el control sobre quién puede usar su nombre para comunicarse. El riesgo es doble: los atacantes pueden suplantar a la marca sin mayores obstáculos y, al mismo tiempo, los correos legítimos pueden terminar en spam o ser rechazados, afectando la operación y la relación con los clientes.

Para Sendmarc, el problema es estructural. “Tener correo sin control es tener una identidad vulnerable”, resume Puente. “Hoy es clave monitorear quién envía mensajes en nombre del dominio y bloquear abusos antes de que lleguen al usuario”.

La pregunta que nadie quiere hacerse

Los casos recientes en el Perú dejan una pregunta incómoda para las empresas que manejan datos personales de miles de usuarios: ¿saben realmente qué tan expuesto está su dominio de correo electrónico?

“No implementar estas medidas deja a la empresa sin control sobre su identidad digital”, concluye Puente. “Y convierte a sus propios clientes en potenciales víctimas”.

Mientras las filtraciones sigan tratándose como incidentes aislados y no como el inicio de una cadena de fraude, el riesgo seguirá creciendo.El ataque ya no está en los servidores. Está en la bandeja de entrada.