El crecimiento de las amenazas digitales está obligando a las empresas peruanas a repensar su manera de proteger sus activos más sensibles: su identidad digital y sus canales de comunicación. En un entorno donde los fraudes por correo electrónico se vuelven cada vez más sofisticados, impulsados por la inteligencia artificial, el reto ya no es solo tecnológico, sino estratégico: actuar antes de que la suplantación de identidad y el robo de datos comprometan la operación de las organizaciones públicas y privadas.
De acuerdo con el Reporte de Ciberamenazas 2025 elaborado por la firma Sendmarc, las pérdidas globales por delitos cibernéticos superaron los US$ 9 billones en 2024, con un costo promedio superior a US$ 4 millones por violación de datos. Los ataques de phishing y las suplantaciones de identidad corporativa representan buena parte de ese daño económico. “Los ataques de correo electrónico ya no son un problema técnico, son un riesgo financiero y reputacional de primer orden”, advierte el documento.
Una amenaza invisible que crece con la IA
El auge de la inteligencia artificial generativa ha transformado tanto la defensa como el ataque digital. Hoy, los delincuentes pueden crear mensajes falsos más convincentes, utilizar deepfakes para hacerse pasar por ejecutivos e incluso ejecutar fraudes empresariales difíciles de detectar. Según cifras de Sendmarc, en 2024 se enviaron más de 361.000 millones de correos electrónicos al día, convirtiendo a este canal en el más usado por las empresas, pero también en el más vulnerable.
La protección, sin embargo, no depende únicamente de la tecnología, sino de su correcta implementación. Protocolos como SPF, DKIM y DMARC son esenciales para autenticar los correos corporativos y evitar que los atacantes suplanten dominios legítimos. Y aunque ya son obligatorios para remitentes masivos en plataformas como Google o Yahoo, su adopción en América Latina sigue rezagada.
“El correo sigue siendo el principal canal de comunicación corporativo, pero también el más expuesto”, explica Eliana Puente, Business Development Manager de Sendmarc para América Latina. “Lo que pasa generalmente es que la empresa ya viene cuando ya sufrió el dolor. Entonces vienen a buscar una solución, y ahí es más difícil, porque tienes otro problema que solucionar”, agrega.
Perú: un mercado con brechas y oportunidades
El panorama local refleja esa distancia entre el riesgo y la acción. Según el análisis de Sendmarc, el nivel de exposición en el país varía según la madurez digital de cada industria. En sectores críticos como banca y finanzas, minería y energía, o educación superior, las brechas son considerables: más de la mitad de las entidades más importantes del país no cuentan con una protección suficiente contra ataques de correo electrónico.
En la banca, el 53 % de las 20 principales entidades financieras carecen de mecanismos sólidos de autenticación, lo que abre la puerta a fraudes capaces de comprometer transferencias y sistemas críticos. En minería y energía, el 59,4 % de las compañías presentan vulnerabilidades que pueden afectar la cadena de suministro digital, mientras que en el ámbito académico, el 65 % de las universidades y centros tecnológicos están expuestos a intentos de robo de credenciales o datos personales.
La falta de acción no es un tema hipotético: el país ha sido escenario de varios incidentes recientes que ilustran el costo de la inacción. En septiembre de 2025, la Universidad Privada Antenor Orrego (UPAO), en Trujillo, sufrió la filtración de más de 27 mil fotografías de alumnos y docentes tras un ataque a su sistema de reconocimiento facial. Un mes antes, la Municipalidad de Miraflores volvió a ser hackeada, el mismo día que era sancionada por una filtración de datos del 2023.
En el sector privado, la cadena Cineplanet enfrentó una presunta exposición de más de dos millones de registros de clientes, mientras que el robo de información en Interbank, descubierto en 2024, reveló el nivel de sofisticación de los ataques internos que buscan sustraer datos financieros.
“De a poquito van tomando más consciencia”, comenta Eliana Puente. “¿Están (las empresas) tomando mayor conciencia? Sí. ¿Falta? Falta bastante. Pero cada vez nos vamos acercando más”.
La ejecutiva considera que el desafío principal no está en la falta de recursos tecnológicos, sino en la priorización dentro de las agendas corporativas. “Entiendo que a veces hay otras prioridades y otras urgencias, y yo creo que pasa esto: las empresas vienen cuando ya sufrieron. Esa situación no la podemos revertir, podemos corregir de ahora y en adelante”, afirma.
La barrera cultural del “ya lo haremos”
En Perú, como en buena parte de la región, la ciberseguridad aún se percibe más como una respuesta que como una estrategia preventiva. Según Puente, muchas organizaciones posponen las decisiones sobre protección digital por factores culturales o financieros. “Lo van pateando, dicen: ‘No tengo otra prioridad’. Pero cuando llega el ataque, el problema se multiplica. Ahí el costo es mayor, tanto en reputación como en operación”, advierte.
Esa resistencia no distingue tamaño ni sector. Grandes corporaciones y pequeñas empresas comparten el mismo patrón: actuar solo después de una crisis. “Esa situación no la podemos revertir, pero sí podemos corregir de ahora en adelante”, insiste Puente, quien considera que el país está preparado para dar el siguiente paso. “La capacidad está. Eso cien por cien. Es solamente dar el paso al siguiente nivel. Es exigirme más a nivel seguridad, es buscar otro nivel de posicionamiento”, asegura.
El papel del Estado y los desafíos públicos
El sector gubernamental enfrenta obstáculos adicionales. Los procesos burocráticos, la competencia presupuestaria y los largos ciclos administrativos dificultan la implementación de medidas preventivas. “Gobierno siempre es un tema más complejo, porque la burocracia que implica es más lenta”, reconoce Puente. “Hay mucha competencia en cuanto a presupuestos. A veces no tienen los recursos o están más limitados, y hay que trabajarlo como un proyecto a largo plazo”.
A diferencia del sector privado, las entidades públicas deben atravesar múltiples aprobaciones antes de poner en marcha proyectos de ciberseguridad. “Las instituciones buscan soluciones, pero no siempre tienen la aprobación a priori de esos presupuestos. Eso es un stopper para poder avanzar”, advierte la ejecutiva.
Sin embargo, también destaca un cambio positivo: la conciencia sobre la necesidad de proteger los datos de los ciudadanos empieza a consolidarse como prioridad. Para Sendmarc, ese paso inicial es fundamental para construir una cultura digital más segura en el país.
La respuesta del mercado: colaboración y tecnología
El fortalecimiento de la seguridad digital en el país empieza a apoyarse en colaboraciones entre actores locales e internacionales. Un ejemplo reciente es la alianza entre Sendmarc y la empresa peruana Sistec, orientada a impulsar la adopción del protocolo DMARC, un estándar global que autentica los correos electrónicos y dificulta los intentos de suplantación de dominios.
De acuerdo con Raúl Lozano, Key Account Manager de Sistec, la implementación de estos mecanismos todavía enfrenta barreras técnicas en muchas organizaciones peruanas, especialmente en las medianas empresas. Automatizar parte del proceso, explica, puede ayudar a reducir los errores en la configuración y mejorar la visibilidad sobre los intentos de fraude que utilizan el correo corporativo como punto de entrada.
La iniciativa se enmarca en un contexto donde los grandes proveedores exigen cada vez más el cumplimiento de protocolos de autenticación, lo que está empujando al mercado local a elevar su nivel de protección y alinearse con las prácticas internacionales de ciberseguridad.
Un cambio que apenas comienza
El mercado peruano atraviesa una etapa de transición: la conciencia sobre el riesgo crece, pero la respuesta aún es desigual. “No hay ninguna limitante tecnológica —advierte Puente—. La capacidad está, pero hay que dar el paso”.
A medida que más empresas latinoamericanas comienzan a revisar sus políticas de autenticación de correo, la discusión sobre ciberseguridad se vuelve menos técnica y más estratégica. No se trata solo de cumplir con estándares, sino de prevenir pérdidas de información, fraudes financieros y daños reputacionales que pueden afectar la continuidad del negocio.
En la región, el avance hacia una cultura de ciberseguridad sigue siendo gradual. Aún son pocas las organizaciones que implementan protocolos como DMARC, SPF o DKIM para autenticar sus correos y prevenir ataques de suplantación. Sin embargo, la tendencia global deja poco margen para la inacción: proteger los dominios corporativos ya no es una opción, sino una necesidad urgente frente al crecimiento del phishing y el fraude digital.
O, como resume Eliana Puente, la región avanza “de a poquito”, pero el reloj corre más rápido que nunca: cada intento de fraude no solo pone en riesgo los sistemas, sino también la reputación y los ingresos de las empresas. El desafío, ahora, será convertir la prevención en una práctica cotidiana, antes de que los ataques definan el ritmo del cambio.
