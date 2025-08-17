La magnitud es tal que, en promedio, se detectan 9,000 ataques por semana, muy por encima de la media global.

Un mediático fue el de Interbank, que implicó el robo de credenciales y datos financieros, que alcanzó, además del banco, a las empresas del grupo Intercorp, incluyendo universidades y cadenas de farmacias.

La filtración de bases de datos de más de 200 GB con información sensible expuso la fragilidad de muchas organizaciones y volvió a poner sobre la mesa una pregunta clave: ¿Cuánto es el costo real de un ciberataque para una empresa?

¿Impacto a gran escala?

El costo de un incidente de este tipo varía drásticamente según el tamaño y la preparación de la compañía.

Para una pyme, la recuperación puede superar fácilmente los US$ 10,000, pero en ataques más severos las cifras escalan.

“Hay empresas que han pagado más de US$ 300,000 en recuperación, y a nivel global, un ransomware exitoso puede costar más de US$ 1.5 millones”, explicó Jesús Véliz a Gestión.

El especialista advierte que el impacto no se limita al gasto técnico: “Un incidente grave puede reducir hasta en un 70% el valor de la empresa. El golpe reputacional genera una reacción en cadena: pérdida de confianza de clientes, cancelación de contratos, retiro de inversiones y caída en ventas”.

En Latinoamérica, una de cada cuatro empresas ha reportado daño directo a su reputación tras un ciberataque.

Para Alexander García, socio de Ciberseguridad y Consultoría Tecnológica en PwC Perú, el cálculo del costo real debe considerar varios frentes: “Ingresos perdidos por la interrupción de la operación, costos para recuperar el negocio, multas regulatorias, gastos de reforzamiento de la seguridad y la investigación forense”.

Según sus estimaciones, este impacto puede representar entre el 3% y el 10% de los ingresos anuales de una empresa.

Sectores más atacados y errores que los vuelven vulnerables

En el país, los ataques más frecuentes incluyen phishing (62% de los casos), ransomware, troyanos bancarios, ataques de fuerza bruta y, más recientemente, suplantación de identidad con deepfake.

Este último, apunta García, se ha convertido en el más común en el ámbito corporativo peruano.

Los sectores más expuestos son servicios financieros, minería, salud, retail, transporte, manufactura y, cada vez más, el sector público.

En ese sentido, Véliz recuerda que “la infraestructura más vulnerable es la de los municipios, con un 30% de brechas reportadas, debido a la falta de protocolos y llaves de acceso caducas”. Incluso RENIEC ha sufrido filtraciones masivas de datos de ciudadanos.

Ambos expertos coinciden en que el eslabón más débil es el factor humano. Véliz lo llama “error de capa 8”: “El 70% de los ataques reportados se deben a fallas humanas, como clics en enlaces maliciosos, contraseñas débiles o falta de capacitación”.

García añade otros factores críticos: la ausencia de una estrategia de ciberseguridad con enfoque en riesgos empresariales, la creencia de que la tecnología por sí sola es la solución y la falta de un responsable formal de ciberseguridad.

Baja inversión preventiva

La cultura preventiva sigue siendo deficiente, particularmente en este sector: solo 3 de cada 10 empresas peruanas invierten en ciberseguridad antes de un ataque, según un reporte de Cibertech.

Además, una información paralela sostiene que menos de 100 empresas cuentan con pólizas de riesgo cibernético, un producto que, según García, “puede ayudar a gestionar el impacto, pero con la condición de que las coberturas y costos estén alineados a las necesidades reales de la organización”.

En ese sentido, el presupuesto recomendado para ciberseguridad, según PwC, oscila entre el 5% y el 15% del presupuesto de TI, dependiendo del nivel de digitalización y del sector.

Esta inversión se vuelve aún más urgente con la entrada en vigor, en noviembre de 2024, del nuevo reglamento de protección de datos personales, que obliga a las empresas a adaptar procesos y tecnologías para cumplir con las disposiciones.

Claves para reducir el riesgo

Ante este panorama, tanto Véliz como García coinciden en que la preparación es la mejor defensa. Entre las medidas inmediatas que proponen:

Designar un responsable de ciberseguridad, ya sea interno o tercerizado. Implementar un plan de respuesta a incidentes con niveles claros de escalamiento. Realizar copias de seguridad periódicas y fortalecer la resiliencia con pruebas y simulacros. Capacitar al personal para reconocer y reaccionar ante intentos de fraude o phishing. Actualizar y parchear sistemas, redes y dispositivos IoT.

El mensaje es claro: el ciberataque no es una cuestión de “si ocurrirá”, sino de cuándo.

La diferencia entre una crisis controlada y una catástrofe empresarial radica en el nivel de preparación y en la rapidez con que se reaccione. Como resume Véliz: “El ataque va a ocurrir; el asunto es qué tan desprotegido te encuentre”.