Por qué el phishing es la trampa digital más famosa y vieja en Perú: aplica para todos

El phishing se mantiene como una de las trampas digitales más persistentes en el Perú y afecta tanto a ciudadanos como a empresas. Datos de la firma de seguridad ESET revelan que este tipo de ataque representa el 34 % de todos los incidentes de ciberseguridad detectados en el país.

Esta problemática fue tema central durante la conferencia ESET Security Days 2025 Edición Lima, donde expertos advirtieron sobre la creciente sofisticación de las campañas maliciosas y su impacto en la economía y la vida cotidiana.

Así funciona el phishing

El phishing opera mediante la falsificación de mensajes, ya sea vía correo electrónico, SMS o enlaces en redes sociales, que simulan provenir de fuentes legítimas como bancos, proveedores de servicios o entidades gubernamentales. El objetivo es guiar a las víctimas hacia páginas web falsas o hacerles descargar archivos adjuntos que permitan el robo de información. Estas campañas, según el investigador Mario Micucci de ESET Latinoamérica, han incrementado su nivel de peligrosidad: “dos de cada tres intentos de phishing incluyen archivos adjuntos maliciosos”, lo que expone tanto a usuarios individuales como a compañías a infecciones y pérdidas potencialmente devastadoras.

La apariencia profesional de estos mensajes, que en muchos casos replican logos, estilos de escritura y elementos visuales de grandes instituciones, dificulta su identificación. Solo en 2024, Interpol advirtió que el phishing se mantuvo entre los delitos cibernéticos más reportados en América Latina, con miles de incidentes mensuales y pérdidas millonarias. En Perú, no solo los usuarios privados caen en la trampa: las empresas, especialmente aquellas con grandes flujos de información y transacciones digitales, se han convertido en blancos frecuentes para el robo de credenciales corporativas y fraudes de pago.

Un elemento alarmante en las tendencias recientes es el uso de archivos adjuntos disfrazados de facturas, cotizaciones o comunicaciones oficiales que en realidad portan malware. Al abrir estos archivos, el dispositivo de la víctima puede quedar comprometido, lo que permite la extracción silenciosa de datos o el control remoto por parte del atacante.

Infostealers y ransomware: daños profundos a empresas

A pesar de que el phishing destaca por su volumen, otras amenazas como los infostealers también muestran una presencia preocupante. Según ESET, estos programas, responsables del 16 % de las detecciones en Perú, están especialmente diseñados para extraer contraseñas almacenadas en navegadores, datos bancarios y documentos confidenciales. Herramientas como LummaStealer, AgentTesla y RedLine figuran hoy entre las más detectadas en el país. La primera tiene la mayor actividad en América Latina con más de 4.000 casos únicos en lo que va de 2025. Habitualmente, los infostealers llegan como adjuntos en correos de phishing, pero también pueden descargarse desde sitios web comprometidos o por la instalación de software pirata. Una vez ejecutados, recopilan la información sensible y la envían a servidores controlados por los delincuentes, quienes pueden revender los datos en foros clandestinos o emplearlos para ejecutar fraudes bancarios más complejos.

En paralelo, el ransomware representa el 14 % de las detecciones de ciberamenazas en el Perú. Este tipo de software malicioso secuestra la información digital de empresas o individuos. Acto seguido, exige el pago de un rescate para su liberación. Aunque el número de casos es inferior al del phishing, el impacto económico resulta devastador. Los expertos de ESET recalcaron en Lima que, en 2023, los costos promedio de un ataque de ransomware a empresas latinoamericanas ascendieron a 1,2 millones de dólares, considerando pagos, inactividad operativa, honorarios legales y daño reputacional. Actualmente, se observa que los atacantes seleccionan blancos con infraestructura crítica o bases de datos sensibles para maximizar la presión y las ganancias ilícitas.

FakeCaptcha, una trampa extendida en Perú

Entre las amenazas locales más notorias, el malware FakeCaptcha destaca por su prevalencia en Perú. Según el reporte de Eset, representa el 20,6 % de las detecciones en el país, una tasa notablemente superior al promedio mundial del 7.7 %. El método empleados por FakeCaptcha es especialmente insidioso: simula ser un captcha legítimo, un elemento habitual de seguridad en la web, pero al interactuar con él el usuario descarga archivos dañinos sin darse cuenta.

La efectividad de este engaño radica precisamente en explotar la confianza en los sistemas de verificación visual habituales, lo cual aumenta el éxito del ataque.

Frente a este complejo panorama, los especialistas insisten en el rol fundamental de la educación y la capacitación. Jorge Zeballos, gerente general de ESET Perú, enfatiza que “el panorama de amenazas digitales cambia cada día”, lo que obliga a mantenerse siempre un paso adelante en capacitaciones y actualizaciones sobre ciberseguridad. Reconocer enlaces sospechosos, evitar abrir adjuntos inesperados y desconfiar de solicitudes inusuales son hábitos que cada vez resultan más vitales. André Goujon, estratega en ciberseguridad, recordó que en 2023 el 30 % de las empresas en América Latina sufrieron al menos un incidente de seguridad, y destacó la importancia de estrategias que combinen tecnología avanzada con formación continua del personal.