PAD
PAD
Maestrías
Educación ejecutiva
Claustro
Por qué el PAD
Servicios
Eventos PAD Virtual Blog

Cibercrimen y Ciberseguridad: lo que todo directivo debe saber

La ciberseguridad ha dejado de ser un tema técnico para convertirse en una prioridad de gobierno corporativo que ningún directivo puede ignorar. Ante el aumento de ataques sofisticados en Perú y el creciente costo de las filtraciones de datos , es fundamental identificar los errores comunes de la alta dirección y adoptar el marco NIST como guía estratégica.
Compartir
Cibercrimen y Ciberseguridad: lo que todo directivo debe saber

Por: Fernando Pérez Lizano

Nota del autor

No escribo este artículo como experto en ciberseguridad. Lo escribo como directivo que, al revisar los titulares de los últimos meses —Interbank, MINSA, Inkafarma— se hizo una pregunta incómoda: ¿está mi organización realmente preparada para esto? Lo que sigue es el resultado de ese proceso de indagación: lecturas, conversaciones con especialistas y, sobre todo, la convicción de que este es un tema que ya no podemos delegar. Es probable que, en algún momento, todos los directivos debamos enfrentarlo.

1. La reunión que nadie esperaba

Era un martes ordinario cuando el gerente de Finanzas interrumpió la reunión de Comité Ejecutivo con una noticia que nadie en la sala sabía cómo procesar: alguien había accedido sin autorización a los sistemas de la empresa y existía la posibilidad de que datos confidenciales de clientes hubieran sido comprometidos. La sala guardó silencio. El CEO miró al gerente de Tecnología. El gerente de Tecnología miró su teléfono. Nadie tenía un protocolo claro. Nadie sabía con certeza qué había ocurrido, qué tan grave era ni qué comunicar —y a quién— en las próximas horas. Lo que siguió fue una semana de improvisación costosa, daño reputacional evitable y decisiones tomadas bajo presión sin información suficiente.

Esta escena, con variantes, se repite con preocupante frecuencia en empresas peruanas de todos los tamaños. Y el problema de fondo no es técnico: es de gobierno corporativo.

2. El cibercrimen ya no es lo que era

Durante años, la imagen del ciberataque estuvo asociada a un adolescente solitario frente a múltiples pantallas en un cuarto oscuro. Esa imagen ya no corresponde a la realidad. El cibercrimen se ha profesionalizado hasta convertirse en una industria estructurada, con cadenas de valor especializadas, modelos de negocio sofisticados y economías de escala. Hoy existen access brokers que venden acceso a redes corporativas comprometidas, desarrolladores de ransomware que operan bajo el modelo de Ransomware-as-a-Service (RaaS) y afiliados que ejecutan los ataques a cambio de un porcentaje del rescate obtenido (Microsoft, 2022). Lo que antes requeria talento técnico excepcional, hoy puede adquirirse como servicio en el mercado negro con unos pocos clics.

Las cifras confirman la magnitud del problema. Según el informe de IBM y el Ponemon Institute (2023), el costo promedio global de una filtración de datos alcanzó USD 4.45 millones, un incremento de 15.3% respecto a 2020. Para América Latina, ese costo pasó de USD 2.80 millones en 2022 a USD 3.69 millones en 2023, un aumento de 32% en un solo año. Las proyecciones de Statista (2022) estiman que el costo global del cibercrimen superará los USD 23 billones para 2027, partiendo de USD 8.44 billones en 2022. En este contexto, la pregunta no es si su empresa será un blanco, sino cuándo y qué tan preparada estará cuando eso ocurra.

3. Perú no es la excepción

El Perú ha dejado de ser un observador lejano de esta problemática. En octubre de 2024, Interbank sufrió una filtración masiva que expuso información de más de tres millones de clientes, incluyendo datos biométricos, números de tarjetas y credenciales de acceso. La Superintendencia de Banca, Seguros y AFP (SBS, 2024) inició un proceso de supervisión in situ mientras la Fiscalía en Ciberdelincuencia abrió investigaciones preliminares. Meses antes, una filtración en el MINSA había expuesto datos sensibles de decenas de miles de pacientes, e Inkafarma fue objeto de una alerta gubernamental por exposición de información de usuarios (El Comercio, 2025).

A nivel de amenazas locales, el troyano bancario Zanubis representa un caso especialmente revelador. Según Kaspersky, es el malware más avanzado de Latinoamérica fuera de Brasil: se instala haciéndose pasar por la aplicación de SUNAT, intercepta credenciales de 38 aplicaciones financieras del sistema peruano, toma control remoto del dispositivo y se elimina sin dejar rastro tras ejecutar las transferencias fraudulentas (El Comercio, 2023). Que un troyano de esta sofisticación haya sido diseñado localmente indica que el ecosistema del cibercrimen en el Perú ya no opera solo desde el exterior.

4. Lo que el directivo necesita entender (sin ser técnico)

La ciberseguridad no requiere que el directivo domine el lenguaje técnico, pero sí exige que comprenda tres conceptos fundamentales desde una perspectiva de gestión.

El primero es la tríada CIA: Confidencialidad (solo acceden quienes deben acceder), Integridad (la información no es alterada sin autorización) y Disponibilidad (los sistemas funcionan cuando se los necesita). Un ataque puede comprometer uno, dos o los tres pilares simultáneamente, y las consecuencias —operativas, legales y reputacionales— varían según cuál sea afectado.

El segundo es la distinción entre amenaza, vulnerabilidad y riesgo. Las amenazas son externas y no se pueden controlar, solo mitigar. Las vulnerabilidades —debilidades en sistemas, procesos o personas— sí están dentro del control de la organización. El riesgo es la probabilidad de que una amenaza explote una vulnerabilidad. Este es el lenguaje que el directivo debe usar al tomar decisiones de inversión en seguridad.

El tercero es el RONI (Risk of Non-Investment). La práctica habitual consiste en evaluar la inversión en ciberseguridad bajo la lógica del ROI. El enfoque correcto es el inverso: ¿cuánto le costará a la empresa no invertir lo suficiente? En un mundo donde el 84% de los activos de las empresas del S&P 500 son intangibles —marca, datos, reputación, propiedad intelectual— (Beale, 2017), la exposición cibernética es directamente una exposición al valor del negocio.

5. Errores típicos de la Alta Dirección

Los directivos no fallan por malicia sino por inercia organizacional y por patrones de gestión que fueron válidos en otro contexto tecnológico. Cuatro errores son especialmente recurrentes.

El primero es delegar la ciberseguridad como un tema de IT. La seguridad digital es una función de gobierno, no de soporte tecnológico. Cuando el directorio asume que el tema “ya está cubierto” porque existe un área de sistemas, abdica de una responsabilidad que le corresponde directamente.

El segundo es confundir una inversión puntual con un esfuerzo continuo. Instalar un antivirus o contratar un proveedor de seguridad perimetral son medidas necesarias pero insuficientes. El panorama de amenazas evoluciona permanentemente, y la ciberseguridad es un proceso de mejora continua, no un proyecto con fecha de cierre.

El tercero es no separar las funciones del CIO y el CISO. En muchas empresas peruanas, la seguridad de la información queda subsumida dentro de la gerencia de Tecnología. Las mejores prácticas internacionales recomiendan que el Chief Information Security Officer (CISO) reporte directamente al CEO, en igualdad de jerarquía con el CIO, para evitar conflictos de interés entre modernización tecnológica y gestión del riesgo.

El cuarto —quizás el más peligroso— es la falsa sensación de seguridad. Tomar medidas parciales e incompletas puede ser peor que no tomar ninguna, porque genera la convicción de que el problema está atendido cuando en realidad persiste. Esta resistencia organizacional suele disfrazarse de tecnicismos: “ya tenemos firewall”, “ya hacemos backups”, “ya capacitamos al personal el año pasado”.

6. Un marco para anticiparse: el NIST Cybersecurity Framework

Ante la complejidad del tema, el directivo necesita un lenguaje estructurado que permita tomar decisiones sin necesidad de dominar los detalles técnicos. El NIST Cybersecurity Framework, desarrollado por el Instituto Nacional de Estándares y Tecnología de los Estados Unidos, ofrece exactamente eso: un modelo de cinco funciones que cubre el ciclo completo de la gestión del riesgo cibernético (NIST, 2018).

  • Identicar: conocer qué activos digitales tiene la empresa, qué datos gestiona y cuáles son sus vulnerabilidades críticas.

  • Proteger: implementar controles para reducir la probabilidad de un ataque exitoso. Cuatro medidas básicas eliminan la mayoría de vulnerabilidades: contraseñas robustas y únicas, autenticación multifactor (MFA), software actualizado y capacitación en reconocimiento de phishing.

  • Detectar: contar con mecanismos de monitoreo continuo que permitan identificar actividad anómala a tiempo.

  • Responder: tener un plan de acción activable en las primeras horas de un incidente.

  • Recuperar: restablecer operaciones y aprender del evento para fortalecer la postura de seguridad.

Este marco también permite al directivo evaluar la conveniencia del seguro cibernético como instrumento de transferencia del riesgo residual —aquel que permanece incluso después de haber implementado controles razonables.

7. Cuando el ataque ocurre: principios generales de respuesta

Ninguna organización está completamente blindada. La pregunta no es solo cómo prevenir un ataque, sino cómo actuar cuando ocurre. Cinco principios deben guiar la acción del directivo en ese momento crítico.

  • Activar el plan antes de improvisar. Las decisiones tomadas bajo presión sin un protocolo previo suelen ser costosas. El plan de respuesta a incidentes debe existir, estar documentado y ser conocido por los actores clave antes de que se necesite.

  • Contener antes de investigar. La prioridad inmediata es limitar la propagación del daño: aislar sistemas comprometidos, revocar accesos sospechosos, detener transferencias de datos. La investigación forense puede esperar; la contención, no.

  • Comunicar con criterio. Definir con precisión quién sabe qué, cuándo y a través de qué canales. Comunicar prematuramente sin información verificada puede amplificar el daño reputacional; no comunicar cuando existe obligación legal puede derivar en sanciones regulatorias. El caso Interbank ilustró precisamente esta tensión (SBS, 2024).

  • No pagar rescate sin asesoría legal y técnica. El pago no garantiza la recuperación de los datos ni la destrucción de las copias en poder del atacante, y puede generar obligaciones legales adicionales.

  • Documentar todo. El registro detallado de lo ocurrido, las decisiones tomadas y los tiempos de respuesta es indispensable para el aprendizaje organizacional, el cumplimiento regulatorio y la eventual reclamación al seguro cibernético.

8. Las preguntas que el directorio debería hacerse

La ciberseguridad ha dejado de ser un tema técnico para convertirse en una dimensión central del gobierno corporativo. La verdadera medida del compromiso directivo no es el presupuesto asignado al área de IT, sino la calidad de las preguntas que el directorio se hace sobre el tema.

¿Tiene nuestra empresa una estrategia explícita de ciberseguridad, documentada y revisada periódicamente? ¿Sabe el CEO exactamente qué haría en las primeras 24 horas si la empresa sufriera un ataque mañana? ¿Existe un CISO con línea directa al CEO, o la seguridad sigue siendo un reporte del gerente de sistemas? ¿Ha simulado alguna vez la empresa un incidente cibernético para probar su capacidad de respuesta real?

Como observaba Inga Beale, ex CEO de Lloyd’s of London: existen dos tipos de empresas, las que han sufrido un ciberataque y lo saben, y las que han sufrido un ciberataque y no lo saben (Beale, 2017). La diferencia entre ambas no es la suerte; es la preparación.

Referencias

Beale, I. (2017). The future of the digital economy. World Economic Forum Annual Meeting. Davos, Suiza.

El Comercio. (2023, septiembre). Zanubis: detectan troyano bancario para celulares hecho en Perú que
es sumamente avanzado y peligroso. https://elcomercio.pe/tecnologia/ciberseguridad

El Comercio. (2025, febrero). Filtración de datos en Inkafarma: empresa se pronuncia luego de alerta del Gobierno. https://elcomercio.pe

IBM Security & Ponemon Institute. (2023). Cost of a data breach report 2023. IBM Corporation.

Microsoft. (2022, mayo 9). Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service

National Institute of Standards and Technology. (2018). Framework for improving critical infrastructure cybersecurity (Version 1.1). U.S. Department of Commerce. https://doi.org/10.6028/NIST.CSWP.04162018

Statista. (2022). Cybercrime expected to skyrocket in the coming years. Statista Technology Market Outlook.

Superintendencia de Banca, Seguros y AFP. (2024, octubre). Comunicado sobre incidente de filtración de datos en Interbank. SBS Perú. https://www.sbs.gob.pe

Compartir
Artículos relacionados
Más allá del crecimiento: el desafío de las reformas estructurales hacia el 2026
Más allá del crecimiento: el desafío de las reformas estructurales hacia el 2026
El escenario económico del Perú hacia 2026 presenta una estabilidad macroeconómica que, aunque positiva, resulta insuficiente para sostener un crecimiento de largo plazo sin reformas estructurales. La continuidad del desempeño dependerá de la capacidad para ejecutar cambios concretos en institucionalidad, eficiencia del sector público e infraestructura, superando las limitaciones derivadas de diseños débiles y un entorno político fragmentado. En este contexto, el proceso electoral se configura como un punto de inflexión estratégico, donde la exigencia de planes de reforma claros, financiables y con cronograma definido será determinante para transformar la estabilidad actual en desarrollo sostenible.
Lo que el buen gobierno corporativo puede enseñarle a la democracia peruana
Lo que el buen gobierno corporativo puede enseñarle a la democracia peruana
La crisis política en el Perú no responde solo a la coyuntura, sino a un problema estructural en el ejercicio del poder que afecta la estabilidad institucional y la confianza ciudadana. Frente a este escenario, el gobierno corporativo emerge como un referente, al ofrecer principios como transparencia, rendición de cuentas y gestión de riesgos que permiten ordenar la toma de decisiones. A partir de esta mirada, la nota plantea cómo estos criterios podrían aplicarse en la gestión pública, evidenciando que el desafío no es solo normativo, sino también de liderazgo y cultura organizacional para fortalecer la democracia.
Liderazgo femenino e IA: El programa "Mujer Rural'26" se presenta en el PAD
Liderazgo femenino e IA: El programa "Mujer Rural'26" se presenta en el PAD
En un esfuerzo conjunto por cerrar brechas digitales y potenciar el talento en el campo, Lima fue sede de la presentación internacional de "Mujer Rural'26". Esta iniciativa busca transformar el emprendimiento rural en América Latina y el Caribe mediante el uso estratégico de la Inteligencia Artificial.