El robo de credenciales ha dejado de ser una amenaza emergente para convertirse en un riesgo estructural en América Latina, impulsado por la acelerada digitalización de la región. Según datos recientes de la compañía de ciberseguridad ESET, Perú se ha consolidado como uno de los tres países más afectados por malwares especializados en el robo de información, situándose solo por detrás de México y Brasil.
La radiografía del ataque en suelo peruano
De acuerdo con la telemetría de ESET, la distribución de detecciones de infostealers (programas diseñados para extraer datos sensibles) revela una preocupante concentración en el mercado peruano, que ya representa el 23% de los casos en toda Latinoamérica. Esta cifra cobra mayor relevancia al considerar que, durante el último año, se reportaron más de 2.6 millones de credenciales comprometidas en toda la región.
El impacto de este fenómeno trasciende el ámbito personal. Martina López, investigadora de seguridad informática de ESET Latinoamérica, advierte que el acceso a una simple cuenta de correo electrónico actúa como una «llave maestra» que permite a los atacantes infiltrarse en servicios bancarios, plataformas corporativas e incluso historiales médicos.
Tácticas sofisticadas: Del phishing en buscadores al malware «invisible»
El ecosistema del fraude en Perú está dominado por tres metodologías principales:
1. Ingeniería Social y Phishing de Precisión: Los atacantes utilizan el nombre de entidades públicas o empresas reconocidas para apelar a la urgencia del usuario (notificaciones de pagos rechazados o problemas con cuentas). Una tendencia creciente es el phishing en buscadores, donde los criminales pagan por anuncios patrocinados en plataformas como Google para suplantar sitios web legítimos, logrando engañar incluso a usuarios precavidos.
2. El Auge de los Infostealers y Troyanos: A diferencia del phishing tradicional, el malware como los keyloggers y spyware actúa en segundo plano sin emitir alertas, recolectando continuamente contraseñas almacenadas y datos de autocompletado. En el ámbito financiero, los troyanos bancarios superaron las 650,000 detecciones únicas en 2025, con la familia Guildma como principal responsable de 110,000 de estos casos.
3. Ataques a Organizaciones y Fuerza Bruta: Las brechas de seguridad en bases de datos corporativas alimentan un mercado negro donde la información circula durante años en foros clandestinos. Estos datos se utilizan posteriormente en ataques de relleno de credenciales (credential stuffing) o fuerza bruta automatizada, aprovechando que muchos usuarios reutilizan las mismas claves en distintos servicios.
“Existen amenazas que usan fuerza bruta. Estas consisten en probar de manera automatizada múltiples combinaciones de usuario y contraseña hasta lograr un acceso válido, sin necesidad de engañar al usuario ni de comprometer previamente su dispositivo. Suele apoyarse en listas de contraseñas comunes o en credenciales filtradas en incidentes anteriores, aprovechando la reutilización de claves y la falta de controles adicionales de autenticación”, explica la Investigadora de seguridad informática de ESET Latinoamérica.
Desafío para la ciberresiliencia nacional
El informe destaca que la prevención no puede depender de una única medida. Entre las recomendaciones críticas para mitigar el riesgo en el entorno peruano se encuentran el uso de autenticación multifactor (MFA), el empleo de gestores de contraseñas para evitar el almacenamiento en texto plano y la implementación de políticas de Zero Trust en las organizaciones.
“La educación digital y las buenas prácticas se vuelven necesarias para proteger nuestra identidad”, concluye Martina López. En un escenario donde Perú es un objetivo prioritario, el tiempo de reacción ante una cuenta comprometida, cambiando claves y cerrando sesiones activas de inmediato, marca la diferencia entre un incidente aislado y una crisis de seguridad mayor.
