El panorama digital de América Latina, especialmente del Perú, tiene luces y sombras que muestran tanto el potencial como los riesgos de esta era digital. Por un lado, somos testigos de una ola de innovación sin precedentes, impulsada por el crecimiento del sistema financiero digital y la rápida adopción de servicios en la nube. Sin embargo, esta transformación expone a las organizaciones y a las personas a un nivel de riesgo cibernético igualmente récord.
El estudio Panorama de riesgos cibernéticos para el sector financiero de América Latina en 2025 reveló que el 79 % de las instituciones financieras de la región han sido objeto de ataques de ransomware, un índice considerablemente superior al promedio mundial del 53 %. En este contexto, en el primer semestre de 2025, Perú sufrió 748,2 millones de intentos de ciberataques, según FortiGuard Labs a través del Informe Global de Amenazas de Fortinet. Los sectores más golpeados son manufactura, telecomunicaciones, salud y finanzas.
Se trata de una dualidad del comportamiento early adopter, but late finisher (adoptamos pronto, pero terminamos tarde). Adoptamos nuevas tecnologías con entusiasmo, pero la implementación de estrategias de seguridad eficaces a menudo no sigue el ritmo. Aunque la ciberseguridad es reconocida como una de las principales prioridades de TI, las inversiones en esta área aún son limitadas. Según Mordor Intelligence, en Perú algunas empresas vienen asignando entre 15 % y 20 % de su presupuesto de TI a seguridad, frente al rango previo de 8 % a 12 %.
¿Cómo podemos, entonces, equiparar la agilidad de la innovación con una seguridad sólida y proactiva? La solución no está en frenar la innovación, sino en redefinir nuestro enfoque de la seguridad.
Personas, procesos y tecnología
La transición de una postura reactiva a una estrategia de seguridad proactiva comienza con la adopción de un enfoque holístico, basado en tres pilares esenciales: personas, procesos y tecnología. La tecnología, por sí sola, es insuficiente si no está respaldada por procesos bien definidos y por personas conscientes y capacitadas. El error humano sigue siendo una de las principales vulnerabilidades. Por ello, la capacitación continua y la concientización sobre amenazas como el phishing —uno de los ataques más comunes en Perú— son una línea de defensa indispensable.
Bajo el pilar de la tecnología, es necesario considerar la computación en la nube, donde se encuentra gran parte de la carga de trabajo actual, no solo como una plataforma para operaciones, sino como un aliado estratégico y resiliente que ofrece herramientas para construir defensas multicapa y automatizadas.
La base de una defensa eficaz en la nube reside en la construcción de un perímetro de datos robusto, comenzando por la identidad. El principio del privilegio mínimo debe ser la regla de oro, garantizando que cada usuario o sistema tenga acceso solo a los permisos estrictamente necesarios para realizar sus tareas.
Más allá de la identidad, la protección de los datos requiere una arquitectura de seguridad en profundidad (defense-in-depth). Esto significa cifrar todos los datos, tanto en reposo como en tránsito, como una capa de protección fundamental. Existen mecanismos robustos para gestionar las claves de cifrado, lo que garantiza que, incluso en caso de fallo de los controles de acceso primarios, los datos sigan siendo inaccesibles en formato cifrado. La segmentación de la red crea barreras que limitan el movimiento lateral de un intruso, conteniendo el impacto de una posible violación. El tráfico saliente de la red también debe controlarse y supervisarse rigurosamente para evitar la transferencia no autorizada de datos.
Detectar un acceso no autorizado requiere una vigilancia constante y automatizada, por lo que es necesario implementar un monitoreo continuo de las actividades y los registros de seguridad, capaz de reconocer quién hizo qué, desde dónde y cuándo. Otras herramientas permiten crear alarmas y automatizar respuestas a eventos sospechosos, además de auditar automáticamente las políticas de respaldo en relación con los controles definidos —como la frecuencia, la retención y el cifrado—, generando pruebas para las auditorías y corrigiendo las desviaciones antes de que se conviertan en problemas graves.
La copia de seguridad ofrece más de lo que parece
Incluso la mejor defensa necesita un plan de contingencia para el peor de los casos. Una estrategia de respaldo bien diseñada es la última y más importante línea de defensa contra ataques con alto potencial destructivo, como el ransomware. Esta estrategia debe integrar el Plan de Continuidad del Negocio (BCP) y el Plan de Recuperación ante Desastres (DR) de la organización. En la nube, podemos ir más allá de las copias de seguridad tradicionales, creando bóvedas de respaldo inmutables. De este modo, una vez grabadas, las copias no pueden ser modificadas ni eliminadas, ni siquiera por usuarios con privilegios de administrador durante el periodo de retención definido, lo que garantiza la integridad y disponibilidad de los datos para su recuperación.
La maratón para llegar a una estrategia de ciberseguridad madura exige un compromiso organizativo que trasciende el área de TI. Requiere el compromiso de la dirección ejecutiva, una planificación estratégica y la comprensión de que la seguridad es una responsabilidad compartida. Al adoptar un enfoque proactivo e integrado, que combine personas capacitadas, procesos rigurosos y tecnologías avanzadas, las empresas peruanas podrán innovar con confianza y construir un futuro digital seguro, resiliente y sostenible.
