Phishing y Fraudes Digitales en LATAM: Cómo Proteger tu Empresa

Lunes, 8:47 de la mañana. La contadora de una empresa mediana en Lima recibe un correo electrónico aparentemente enviado por el gerente general. El asunto dice: “URGENTE — Transferencia pendiente proveedor internacional”. El mensaje explica que se debe realizar un pago inmediato de USD 12,400 a una cuenta en Panamá para cerrar un acuerdo comercial antes del mediodía. El tono es imperativo, el remitente parece legítimo, el dominio del correo difiere en una sola letra del real. La contadora, presionada por la urgencia, inicia la transferencia.

Tres horas después, el gerente general entra a la oficina. Él nunca envió ese correo.

Este escenario no es ficción. Es una variante de Business Email Compromise (BEC) que afecta a miles de empresas en América Latina cada año. Según reportes del sector, las pérdidas por fraudes digitales en la región crecen de forma sostenida, y las pequeñas y medianas empresas son los blancos más frecuentes porque suelen tener menor infraestructura de seguridad.

En esta guía te explicamos cómo funcionan los principales tipos de phishing y fraude digital que amenazan a las empresas en LATAM, cómo identificarlos antes de que causen daño y qué medidas concretas puedes implementar desde hoy para proteger tu organización.

Por Qué LATAM es un Blanco Prioritario

América Latina experimenta una aceleración en la digitalización empresarial que no siempre va acompañada de una madurez proporcional en ciberseguridad. La brecha entre adopción tecnológica y preparación defensiva convierte a la región en un objetivo de alto valor para redes de cibercriminales que operan tanto localmente como desde otras regiones del mundo.

Varios factores hacen que la región sea particularmente vulnerable:

• Adopción digital acelerada sin cultura de seguridad: La pandemia empujó a millones de empresas a operar digitalmente en meses, sin tiempo para desarrollar protocolos de seguridad robustos
• Alta penetración de smartphones: La mayoría de transacciones bancarias y comunicaciones empresariales se realizan desde dispositivos móviles, ampliando la superficie de ataque
• Confianza en canales informales: El uso de WhatsApp, SMS y redes sociales para comunicación empresarial crea vectores de ataque que no existen en mercados más formalizados
• Brecha de talento en ciberseguridad: Se estima que la región enfrenta un déficit significativo de profesionales especializados en seguridad informática
• Marcos regulatorios en desarrollo: Aunque países como Perú, Colombia y Brasil han avanzado en legislación, la aplicación y el enforcement siguen siendo desafíos

Estos factores combinados convierten a la región en un terreno fértil para los ciberdelincuentes, quienes adaptan sus tácticas al contexto local con notable sofisticación.

El Ecosistema del Cibercrimen en la Región

Es importante entender que el phishing ya no es la actividad de individuos aislados operando desde un sótano. El cibercrimen en LATAM opera como una industria organizada:

• Grupos especializados desarrollan kits de phishing que imitan bancos y entidades específicas de cada país, vendiéndolos como servicio (Phishing-as-a-Service)
• Redes de mulas financieras facilitan el lavado de fondos obtenidos por fraude, dificultando la recuperación del dinero
• Foros clandestinos en la dark web comercializan bases de datos robadas de empresas peruanas y latinoamericanas, que luego se usan para personalizar ataques
• Grupos transnacionales coordinan campañas simultáneas en varios países, aprovechando que las fuerzas del orden tienen jurisdicción limitada

Esta profesionalización del cibercrimen significa que las defensas también deben profesionalizarse. Las medidas improvisadas ya no son suficientes.

Tipos de Ataques de Phishing y Fraude Digital

Email Phishing: El Clásico que Sigue Funcionando

El phishing por correo electrónico sigue siendo el vector de ataque más utilizado a nivel mundial. En LATAM, los atacantes han perfeccionado sus técnicas para imitar comunicaciones de entidades locales con un nivel de detalle alarmante.

Variantes comunes en la región:

• Falsa notificación de SUNAT: El contribuyente recibe un correo indicando que tiene una “deuda tributaria pendiente” o una “inconsistencia en su declaración jurada”. El enlace lleva a una réplica casi perfecta del portal de SUNAT que solicita credenciales SOL
• Alerta bancaria fraudulenta: Correos que imitan comunicaciones del BCP, Interbank, BBVA o Scotiabank advirtiendo sobre “acceso no autorizado” o “bloqueo preventivo de cuenta”. El enlace dirige a un sitio falso que captura usuario, contraseña y token digital
• Factura electrónica falsa: Un supuesto proveedor envía una factura electrónica en PDF con un enlace para “verificar el documento en SUNAT”. El enlace descarga malware o redirige a un formulario de captura de datos
• Notificación de paquete pendiente: Con el crecimiento del e-commerce, los correos que simulan ser de Olva Courier, Rappi o servicios de mensajería solicitando un “pago de aduana” se han multiplicado

El éxito de estos ataques radica en la combinación de tres elementos: urgencia (actúa ahora o habrá consecuencias), autoridad (viene de una entidad reconocida) y miedo (tu cuenta será bloqueada, tendrás multas).

Anatomía de un correo de phishing bancario:

Un correo típico que suplanta al BCP podría verse así:

• De: alertas@bcp-seguridad.com (dominio falso, no es bcp.com.pe)
• Asunto: “[URGENTE] Acceso no autorizado detectado en su cuenta empresarial”
• Cuerpo: Incluye el logo oficial del banco, formato HTML que imita las comunicaciones reales, un mensaje alarmista y un botón grande que dice “Verificar mi cuenta ahora”
• URL real del botón: hxxps://bcp-verificacion-segura.com/login (dominio fraudulento registrado hace 48 horas)
• Detalle revelador: El correo usa “Estimado usuario” en lugar del nombre real del cliente, y el dominio del remitente no es bcp.com.pe

Aprender a descomponer un correo sospechoso en estos elementos es una habilidad que todo empleado debería desarrollar.

Spear Phishing y Whaling: Ataques Dirigidos a Ejecutivos

A diferencia del phishing masivo, el spear phishing es un ataque personalizado. El atacante investiga a su objetivo: revisa LinkedIn, redes sociales corporativas, notas de prensa, organigramas publicados. Con esa información construye un mensaje creíble dirigido a una persona específica.

El whaling es la variante más sofisticada: apunta directamente a los ejecutivos de mayor nivel — CEOs, CFOs, gerentes generales. Los atacantes saben que estas personas tienen autoridad para aprobar transferencias, acceder a información confidencial y tomar decisiones sin pasar por múltiples niveles de aprobación.

Ejemplo típico en LATAM:

Un atacante identifica en LinkedIn al CFO de una empresa peruana, nota que la empresa anunció una expansión a Colombia, y envía un correo haciéndose pasar por un estudio de abogados colombiano ofreciendo “servicios de constitución de sociedad”. El correo incluye un documento adjunto con malware que, al abrirse, compromete la computadora del ejecutivo y da acceso a toda la red corporativa.

Por qué el spear phishing es tan difícil de detectar:

• El atacante usa información real y verificable (nombres, proyectos, relaciones comerciales)
• El correo suele enviarse en un momento contextualmente apropiado
• El tono y formato imitan el estilo de comunicación de la persona suplantada
• Los filtros de correo estándar no lo detectan porque no es un envío masivo y no contiene indicadores típicos de spam
• A menudo, el dominio usado es un dominio legítimo comprometido, no uno recién creado

La defensa más efectiva contra el spear phishing no es tecnológica sino cultural: crear el hábito de verificar solicitudes inusuales por un segundo canal, sin importar quién parezca enviarlas.

Smishing: Phishing por SMS

El smishing (SMS + phishing) es particularmente efectivo en Perú y LATAM por la alta tasa de apertura de mensajes de texto — se estima que supera el 90%, comparado con menos del 30% para correos electrónicos.

Ejemplos frecuentes:

• “BCP: Se detectó un acceso no autorizado a su cuenta. Verifique inmediatamente en: [enlace malicioso]”
• “SUNAT: Su RUC ha sido suspendido temporalmente. Regularice su situación en: [enlace]”
• “Yape: Tiene un depósito pendiente de S/ 850.00. Confirme aquí: [enlace]”
• “RENIEC: Su DNI electrónico será anulado por inconsistencias. Actualice datos en: [enlace]”

La efectividad del smishing se potencia por varios factores: las pantallas pequeñas dificultan verificar URLs, los SMS no tienen los filtros de spam del correo electrónico, y los usuarios asocian los mensajes de texto con comunicaciones legítimas y urgentes.

Variante en crecimiento — WhatsApp phishing: En LATAM, donde WhatsApp es el canal de comunicación dominante, los atacantes también envían mensajes por esta vía. Pueden hacerse pasar por soporte técnico de WhatsApp solicitando un “código de verificación” (que en realidad es el código para transferir la cuenta a otro dispositivo), o enviar enlaces maliciosos desde cuentas comprometidas de contactos conocidos de la víctima. Esta última variante es especialmente peligrosa porque el mensaje viene de alguien en quien la víctima confía.

Vishing: La Estafa Telefónica Reinventada

El vishing (voice + phishing) utiliza llamadas telefónicas para manipular a las víctimas. En LATAM, este tipo de ataque ha evolucionado significativamente con el uso de tecnología de suplantación de identidad de llamada (caller ID spoofing), que permite que la llamada aparezca como si viniera del número oficial de un banco o entidad gubernamental.

Escenarios comunes:

• Falso ejecutivo bancario: “Buenas tardes, lo llamo del área de seguridad del BCP. Hemos detectado movimientos sospechosos en su cuenta empresarial. Para verificar su identidad, necesito que me confirme su número de tarjeta y clave dinámica”
• Falso funcionario de SUNAT: “Señor contribuyente, tenemos un proceso de fiscalización abierto contra su empresa. Para evitar sanciones, necesitamos que regularice la situación ingresando a un enlace que le enviaremos”
• Soporte técnico falso: “Lo llamo de Microsoft/Google. Hemos detectado un virus en su computadora empresarial. Necesito que instale este software de acceso remoto para solucionarlo”

El vishing es particularmente peligroso porque la interacción en tiempo real permite al atacante adaptar su discurso según las respuestas de la víctima, generar presión psicológica inmediata y superar objeciones de forma conversacional.

Señal clave para detectar vishing: Ninguna entidad legítima — banco, SUNAT, empresa de tecnología — te pedirá contraseñas, tokens, claves dinámicas o que instales software por teléfono. Si una llamada solicita cualquiera de estos datos, cuelga y llama directamente al número oficial de la entidad para verificar.

Business Email Compromise (BEC): El Fraude de Mayor Impacto Económico

El BEC es, según múltiples fuentes de la industria de ciberseguridad, el tipo de fraude digital que genera mayores pérdidas económicas a nivel global. No requiere malware sofisticado ni vulnerabilidades técnicas — se basa enteramente en ingeniería social y en explotar procesos empresariales débiles.

Modalidades más comunes en LATAM:

1. Fraude de CEO (CEO Fraud) El atacante se hace pasar por el gerente general o un directivo y envía instrucciones de pago urgentes a personal de finanzas. El correo suele enviarse fuera del horario regular (“estoy en una reunión y no puedo llamar”) para evitar verificación.

2. Fraude de proveedores (Vendor Email Compromise) El atacante compromete el correo electrónico de un proveedor real o crea un dominio casi idéntico. Envía una factura legítima pero con datos bancarios modificados. La empresa paga creyendo que deposita al proveedor real, pero el dinero va a la cuenta del atacante.

3. Cambio de datos bancarios Un supuesto proveedor o socio comercial envía una comunicación informando que “han cambiado de banco” y solicitan actualizar los datos de pago. Si la empresa no verifica por un canal independiente, las próximas transferencias irán a la cuenta fraudulenta.

4. Compromiso de correo del empleado El atacante obtiene acceso al correo electrónico real de un empleado (mediante phishing previo o credenciales filtradas) y lo utiliza para solicitar pagos, compartir enlaces maliciosos internamente o exfiltrar información confidencial.

QRishing: Phishing por Código QR

El QRishing es una tendencia creciente que aprovecha la adopción masiva de códigos QR para pagos, menús de restaurantes, acceso a información y transacciones comerciales. En Perú, donde Yape, Plin y otros sistemas de pago por QR se han popularizado enormemente, este vector de ataque tiene un potencial significativo.

Cómo funciona:

• Un atacante coloca un código QR falso sobre el QR legítimo en un restaurante, tienda o espacio público
• El QR redirige a un sitio web que imita la interfaz de una aplicación de pago o banco
• La víctima ingresa sus credenciales creyendo que está realizando un pago legítimo
• En variantes más sofisticadas, el QR descarga malware directamente al escanear

Contextos de riesgo en LATAM:

• Menús digitales en restaurantes con QR pegados en mesas (fácilmente reemplazables)
• Códigos QR en volantes, afiches o publicidad callejera
• QR en estacionamientos para pago de tarifas
• Correos electrónicos que incluyen un QR en lugar de un enlace (evadiendo filtros de URL)
• QR en supuestas multas de tránsito o notificaciones municipales colocadas en parabrisas

Cómo protegerse del QRishing:

• Antes de escanear, verificar visualmente que el QR no esté sobrepuesto sobre otro
• Usar aplicaciones de lectura de QR que muestren la URL antes de abrirla
• Desconfiar de QR en contextos no esperados o que solicitan descargas
• En entornos corporativos, evitar escanear QR de fuentes no verificadas con dispositivos que tengan acceso a sistemas empresariales

Señales de Alerta: Cómo Identificar Cada Tipo de Ataque

Reconocer las señales de un ataque a tiempo puede marcar la diferencia entre un incidente controlado y una pérdida catastrófica. La siguiente tabla resume las banderas rojas más comunes según el tipo de ataque:

Regla universal: Si un mensaje genera urgencia, miedo o una oportunidad demasiado buena, deténgase y verifique por un canal independiente antes de actuar.

Riesgos por Industria

No todas las empresas enfrentan los mismos riesgos. Los atacantes adaptan sus tácticas según el sector:

Banca y Finanzas

El sector financiero es históricamente el más atacado. Los ataques se centran en:

• Clientes: Phishing masivo imitando portales de banca en línea, aplicaciones móviles y sistemas de pago
• Empleados: Spear phishing a ejecutivos de operaciones para autorizar transferencias fraudulentas
• Infraestructura: Ataques a sistemas SWIFT, cajeros automáticos y pasarelas de pago
• Regulación: Las entidades financieras en Perú están sujetas a la normativa de la SBS sobre gestión de riesgo operacional y ciberseguridad, lo que eleva las consecuencias de un incidente

Gobierno y Sector Público

Las entidades gubernamentales en LATAM son blancos frecuentes por:

• Volumen de datos personales: Registros civiles, tributarios, de salud y judiciales
• Procesos burocráticos: Procedimientos de verificación lentos que dan más tiempo a los atacantes
• Presupuesto limitado en TI: Muchas entidades operan con infraestructura desactualizada
• Alto impacto político: Los ataques a entidades públicas generan repercusión mediática, lo que motiva tanto a atacantes con fines económicos como a hacktivistas

Salud

El sector salud ha experimentado un aumento significativo de ataques en los últimos años:

• Datos de alto valor: Los registros médicos contienen información personal, financiera y de seguros
• Urgencia operativa: Los hospitales no pueden detener operaciones, lo que los hace vulnerables a ransomware
• Digitalización reciente: Muchas instituciones de salud en LATAM migraron a sistemas digitales recientemente, con brechas de seguridad en la transición
• Terceros y proveedores: La cadena de suministro de salud (laboratorios, farmacias, aseguradoras) amplía la superficie de ataque

Retail y E-commerce

Con el crecimiento explosivo del comercio electrónico en LATAM:

• Datos de tarjetas: Los retailers procesan millones de transacciones con datos financieros
• Temporadas pico: Los ataques se intensifican durante campañas como Cyber Monday, Black Friday y Navidad
• Empleados temporales: El personal contratado por temporada suele recibir menor capacitación en seguridad
• Múltiples canales: Tiendas físicas, e-commerce, marketplaces y redes sociales multiplican los vectores de ataque

Servicios Profesionales y Estudios de Abogados

Un sector frecuentemente pasado por alto pero altamente vulnerable:

• Información privilegiada: Acceso a datos confidenciales de múltiples clientes corporativos
• Comunicaciones sensibles: Negociaciones, litigios, propiedad intelectual y fusiones/adquisiciones
• Confianza implícita: Los correos de un estudio de abogados rara vez son cuestionados por los destinatarios
• Menor inversión en TI: Los estudios medianos y pequeños suelen priorizar otros gastos sobre ciberseguridad

Un ataque exitoso a un estudio de abogados o consultora puede comprometer simultáneamente la información de decenas de empresas cliente.

El Factor Humano: Por Qué la Tecnología Sola No Basta

Se estima que la gran mayoría de los incidentes de ciberseguridad involucran algún tipo de error humano. No porque las personas sean negligentes, sino porque los ataques de ingeniería social están diseñados para explotar mecanismos psicológicos fundamentales:

Los Principios de Persuasión que Explotan los Atacantes

• Autoridad: Un correo que parece venir del CEO o de SUNAT genera obediencia automática
• Urgencia: “Tiene 24 horas para regularizar su situación” desactiva el pensamiento crítico
• Miedo: “Su cuenta será bloqueada” genera una respuesta emocional que prioriza la acción sobre la verificación
• Reciprocidad: “Le estamos ayudando a resolver un problema” genera confianza falsa
• Prueba social: “Todos los proveedores ya actualizaron sus datos bancarios” presiona para conformarse
• Escasez: “Esta oferta expira hoy” empuja a actuar sin reflexionar

Por Qué la Capacitación es la Inversión Más Rentable

La tecnología de seguridad es necesaria pero insuficiente. Un filtro de correo puede bloquear el 99% del phishing masivo, pero basta con que un solo correo sofisticado pase el filtro y un empleado no capacitado haga clic para comprometer toda la organización.

La capacitación efectiva en ciberseguridad:

• Reduce la tasa de clics en phishing simulado: Organizaciones que implementan programas de concientización reportan reducciones significativas en la tasa de clics en campañas de phishing simuladas
• Crea una cultura de reporte: Empleados capacitados no solo evitan caer en ataques, sino que reportan intentos sospechosos, alimentando las defensas de la organización
• Protege fuera de la oficina: Un empleado que reconoce phishing en el trabajo también protege sus cuentas personales, reduciendo el riesgo de que un compromiso personal afecte a la empresa
• Es escalable: Una vez diseñado, un programa de concientización puede llegar a toda la organización con costos incrementales mínimos

La capacitación no es un evento anual — es un proceso continuo que debe adaptarse a las tácticas cambiantes de los atacantes.

Errores Comunes que Facilitan el Phishing

Incluso en organizaciones con inversión en tecnología de seguridad, ciertos comportamientos comunes debilitan las defensas:

• Reutilización de contraseñas: Usar la misma contraseña corporativa en servicios personales significa que una filtración en cualquier plataforma compromete el acceso empresarial
• Ignorar actualizaciones: Posponer actualizaciones de software deja abiertas vulnerabilidades que los atacantes explotan tras obtener acceso inicial
• Exceso de confianza en la tecnología: Asumir que “el antivirus lo detectará” o “el filtro lo bloqueará” genera una falsa sensación de seguridad
• Compartir credenciales: Compartir usuarios y contraseñas entre colegas (práctica común en PYMES) impide rastrear quién realizó qué acción y amplía el impacto de un compromiso
• No reportar incidentes sospechosos: Por vergüenza, miedo a reprimendas o desconocimiento del proceso, muchos empleados no reportan correos o llamadas sospechosas, privando a la organización de información valiosa

Plan de Prevención: Checklist Integral

Proteger a tu empresa del phishing y fraude digital requiere un enfoque en tres capas: tecnología, personas y procesos. Ninguna capa por sí sola es suficiente.

Capa 1: Controles Técnicos

Protección de correo electrónico:

• Implementar SPF (Sender Policy Framework) para validar remitentes autorizados de tu dominio
• Configurar DKIM (DomainKeys Identified Mail) para firmar digitalmente correos salientes
• Activar DMARC (Domain-based Message Authentication, Reporting & Conformance) con política de rechazo
• Habilitar filtrado avanzado de correo con detección de phishing basada en IA
• Activar banners de advertencia para correos externos (“Este mensaje proviene de fuera de la organización”)

Autenticación y acceso:

• Implementar MFA (autenticación multifactor) en todas las cuentas corporativas sin excepción
• Preferir MFA basado en aplicaciones (Microsoft Authenticator, Google Authenticator) sobre SMS
• Implementar gestión de contraseñas corporativa (password manager)
• Configurar políticas de acceso condicional (ubicación, dispositivo, horario)
• Deshabilitar protocolos de autenticación legacy (POP3, IMAP sin MFA)

Protección de endpoints:

• Desplegar solución EDR (Endpoint Detection & Response) en todos los dispositivos corporativos
• Mantener sistemas operativos y aplicaciones actualizados con parches de seguridad
• Implementar filtrado DNS para bloquear dominios maliciosos conocidos
• Configurar políticas de navegación segura en navegadores corporativos
• Habilitar sandboxing para adjuntos de correo electrónico sospechosos

Monitoreo y detección:

• Implementar SIEM (Security Information and Event Management) o servicio SOC gestionado
• Configurar alertas automáticas para intentos de acceso inusuales
• Monitorear registros de dominio similares al de tu empresa (typosquatting)
• Revisar periódicamente logs de acceso a sistemas críticos

Capa 2: Controles Humanos

Programa de concientización:

• Realizar capacitaciones de seguridad al menos trimestralmente
• Ejecutar campañas de phishing simulado mensualmente con métricas de seguimiento
• Incluir ciberseguridad en el proceso de onboarding de nuevos empleados
• Crear y difundir boletines internos sobre nuevas amenazas y tácticas de ataque
• Establecer un programa de “campeones de seguridad” por área

Cultura de reporte:

• Implementar un botón de “Reportar phishing” en el cliente de correo electrónico
• Establecer un canal dedicado para reportar incidentes sospechosos (correo, chat, teléfono)
• No penalizar a los empleados que caigan en phishing simulado — usar como oportunidad de aprendizaje
• Reconocer públicamente a quienes reporten intentos de phishing
• Medir y compartir métricas de reporte como indicador positivo de cultura de seguridad

Capacitación específica por rol:

• Entrenamiento especializado para equipos de finanzas y tesorería sobre BEC
• Capacitación a ejecutivos y alta dirección sobre whaling y spear phishing
• Formación a recepcionistas y asistentes sobre vishing y pretexting
• Entrenamiento a equipos de TI sobre ingeniería social dirigida a soporte técnico

Capa 3: Controles de Proceso

Verificación de pagos:

• Establecer doble autorización para transferencias que superen un monto definido
• Requerir verificación telefónica (llamando al número conocido, no al del correo) para cambios en datos bancarios de proveedores
• Implementar un período de espera (24-48 horas) para nuevas instrucciones de pago no programadas
• Mantener un registro verificado de datos bancarios de proveedores con proceso formal de actualización
• Prohibir la aprobación de pagos únicamente por correo electrónico

Gestión de proveedores y terceros:

• Verificar la identidad de nuevos proveedores por canales independientes
• Incluir cláusulas de ciberseguridad en contratos con proveedores
• Evaluar la postura de seguridad de proveedores críticos periódicamente
• Establecer protocolos de comunicación segura para intercambio de información sensible

Clasificación y protección de información:

• Clasificar la información corporativa por niveles de sensibilidad
• Implementar controles de acceso basados en el principio de menor privilegio
• Cifrar información sensible en reposo y en tránsito
• Establecer políticas de retención y destrucción de datos

Respuesta ante Incidentes: Qué Hacer Cuando Alguien Hace Clic

Incluso con las mejores defensas, es posible que un ataque tenga éxito. Lo que importa es la velocidad y calidad de la respuesta. Tener un plan documentado y ensayado reduce significativamente el impacto.

Primeros 15 Minutos: Contención Inmediata

Si un empleado hizo clic en un enlace de phishing o proporcionó credenciales:

1. No apagar la computadora — esto puede destruir evidencia forense
2. Desconectar el equipo de la red (desenchufar cable ethernet, desactivar WiFi)
3. Cambiar contraseñas inmediatamente desde otro dispositivo seguro — comenzando por correo electrónico y sistemas financieros
4. Reportar al equipo de TI/seguridad con toda la información disponible: qué correo recibió, qué enlace tocó, qué datos proporcionó, cuándo ocurrió
5. No borrar el correo malicioso — es evidencia necesaria para investigación

Si se realizó una transferencia fraudulenta:

1. Contactar al banco inmediatamente para solicitar la reversión o bloqueo de la transferencia
2. Documentar todos los detalles: monto, cuenta destino, hora, referencia
3. Preservar toda la evidencia: correos, capturas de pantalla, registros de comunicación
4. Escalar a la gerencia de acuerdo con el plan de respuesta a incidentes

Primera Hora: Investigación y Alcance

• Determinar si otros empleados recibieron el mismo correo o similar
• Verificar si las credenciales comprometidas se usaron para acceder a otros sistemas
• Revisar si hubo exfiltración de datos o movimientos laterales en la red
• Activar el equipo de respuesta a incidentes (interno o proveedor externo)
• Notificar a las áreas afectadas (finanzas, legal, comunicaciones)

Primeras 24 Horas: Remediación y Comunicación

• Completar el análisis forense del incidente
• Bloquear indicadores de compromiso (IoC): dominios, IPs, hashes de archivos maliciosos
• Forzar el cambio de contraseñas para usuarios potencialmente afectados
• Evaluar la necesidad de notificación a clientes, socios o reguladores
• Documentar lecciones aprendidas y ajustar controles

Post-Incidente: Mejora Continua

• Realizar un análisis de causa raíz (root cause analysis)
• Actualizar el plan de respuesta a incidentes con las lecciones aprendidas
• Reforzar la capacitación en las áreas donde se identificaron debilidades
• Compartir indicadores de compromiso con la comunidad de ciberseguridad (ISACs, CERTs)
• Evaluar si se requieren inversiones adicionales en tecnología o personal

El Error Más Costoso: No Tener un Plan

Muchas empresas en LATAM descubren que no tienen un plan de respuesta a incidentes en el peor momento posible: cuando el incidente ya está ocurriendo. La improvisación bajo presión lleva a errores como:

• Apagar servidores destruyendo evidencia forense
• Comunicar públicamente antes de entender el alcance del incidente
• No notificar a los bancos a tiempo para intentar revertir transferencias
• Intentar “arreglar las cosas internamente” cuando se requiere asistencia especializada
• No preservar evidencia necesaria para acciones legales posteriores

Dedicar unas horas a documentar un plan básico de respuesta y ensayarlo con el equipo clave al menos una vez al año puede hacer una diferencia enorme cuando la situación real se presente.

Marco Legal en Perú: Ley 30096 y Cómo Denunciar

Ley 30096: Ley de Delitos Informáticos

La Ley 30096 (2013) y sus modificatorias constituyen el marco legal principal para perseguir delitos informáticos en Perú. Los tipos penales más relevantes para casos de phishing y fraude digital incluyen:

Es importante señalar que la ley contempla agravantes cuando el delito se comete contra el patrimonio del Estado, afecta servicios públicos, compromete la defensa nacional o cuando el autor es parte de una organización criminal.

Cómo Denunciar: DIVINDAT

La División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú es la unidad especializada en investigar delitos informáticos. Para presentar una denuncia:

Paso 1: Preservar la evidencia

• No borrar correos, mensajes o registros
• Tomar capturas de pantalla con fecha y hora visibles
• Guardar encabezados completos de correos electrónicos (headers)
• Documentar la cadena de eventos cronológicamente
• Conservar registros de transferencias bancarias involucradas

Paso 2: Presentar la denuncia

• Presencialmente: Acudir a la DIVINDAT ubicada en el Complejo Policial de la Av. España, Cercado de Lima
• Virtualmente: A través de la plataforma de denuncias de la PNP
• Línea telefónica: Contactar a la DIVINDAT para orientación inicial
• Ministerio Público: También se puede presentar denuncia directamente ante la Fiscalía Especializada en Ciberdelincuencia

Paso 3: Seguimiento

• Solicitar el número de expediente de la denuncia
• Cooperar con la investigación proporcionando evidencia adicional si se solicita
• Coordinar con el área legal de la empresa para acciones civiles complementarias

Otras Entidades Relevantes

• Autoridad Nacional de Protección de Datos Personales (ANPDP): Si el incidente involucra compromiso de datos personales de clientes o empleados
• SBS (Superintendencia de Banca, Seguros y AFP): Si el incidente involucra entidades financieras reguladas
• INDECOPI: Para casos de suplantación de marca o competencia desleal vinculada a phishing
• PeCERT (Centro de Respuesta ante Incidentes de Seguridad Informática del Estado Peruano): Para entidades del sector público

El Costo del Fraude vs. el Costo de la Prevención

Una de las razones por las que muchas empresas postergan inversiones en ciberseguridad es la percepción de que los costos son elevados. Sin embargo, cuando se compara con el impacto potencial de un incidente, la ecuación se invierte dramáticamente.

Costos Directos e Indirectos de un Incidente

Costos directos:

• Pérdida financiera por transferencias fraudulentas (difícilmente recuperable una vez ejecutada)
• Costos de investigación forense y remediación técnica
• Honorarios legales y costos de cumplimiento regulatorio
• Multas y sanciones si se demuestra negligencia en protección de datos
• Costos de notificación a clientes afectados

Costos indirectos (frecuentemente superiores a los directos):

• Daño reputacional y pérdida de confianza de clientes
• Interrupción operativa durante la investigación y remediación
• Tiempo de ejecutivos dedicado a gestión de crisis en lugar de actividades productivas
• Prima de seguros incrementada tras un incidente
• Pérdida de oportunidades comerciales por percepción de inseguridad

Inversiones de Prevención: Referencia de Componentes

La relación costo-beneficio es clara: las medidas de prevención más efectivas (configuración correcta de correo, MFA, capacitación básica) tienen costos relativamente bajos comparados con el impacto potencial de un solo incidente exitoso.

Checklist Mensual de Higiene de Seguridad

La ciberseguridad no es un proyecto con fecha de finalización — es una disciplina continua. Este checklist mensual ayuda a mantener una postura de seguridad consistente:

Semana 1: Revisión Técnica

• Verificar que todos los sistemas y software tengan parches de seguridad actualizados
• Revisar logs de intentos de acceso fallidos a sistemas críticos
• Confirmar que los backups se están ejecutando correctamente y probar una restauración
• Verificar el estado de las configuraciones SPF/DKIM/DMARC del dominio
• Revisar y depurar cuentas de usuario inactivas o de exempleados

Semana 2: Evaluación Humana

• Ejecutar una campaña de phishing simulado con un nuevo escenario
• Revisar métricas de la campaña anterior (tasa de clic, tasa de reporte, tiempo de reporte)
• Enviar boletín interno con alertas sobre nuevas tácticas de phishing detectadas
• Realizar sesión breve de concientización (15-20 minutos) con un equipo específico
• Reconocer a empleados que reportaron intentos de phishing correctamente

Semana 3: Revisión de Procesos

• Auditar una muestra de transacciones financieras para verificar cumplimiento de procedimientos de doble autorización
• Revisar y actualizar la lista de contactos de emergencia para respuesta a incidentes
• Verificar que los procedimientos de verificación de cambios de datos bancarios se están siguiendo
• Revisar accesos de terceros y proveedores a sistemas corporativos
• Actualizar el inventario de activos digitales si hubo cambios

Semana 4: Mejora Continua

• Analizar tendencias de amenazas en el sector y la región (fuentes: PeCERT, CERT.br, OEA ciberseguridad)
• Evaluar si algún control existente necesita ajustes basado en incidentes o cambios en el negocio
• Planificar la capacitación del próximo mes con temas actualizados
• Documentar cualquier incidente o casi-incidente del mes para análisis de tendencias
• Reportar métricas de seguridad a la gerencia (intentos bloqueados, phishing reportado, vulnerabilidades corregidas)

Conclusión: La Seguridad es una Decisión Diaria

El phishing y los fraudes digitales no son problemas exclusivamente tecnológicos — son problemas humanos potenciados por tecnología. Los atacantes no buscan vulnerabilidades en tu firewall; buscan vulnerabilidades en las rutinas, emociones y procesos de las personas que operan tu empresa.

La buena noticia es que la protección está al alcance de organizaciones de cualquier tamaño. No necesitas un presupuesto millonario para implementar las medidas más efectivas:

• Configurar correctamente tu correo electrónico (SPF, DKIM, DMARC) es gratuito y bloquea una proporción significativa de phishing masivo
• Activar MFA en todas las cuentas corporativas elimina la mayoría de los accesos no autorizados por credenciales robadas
• Capacitar a tu equipo de forma regular y práctica convierte a cada empleado en un sensor de detección de amenazas
• Establecer procedimientos de verificación para pagos y cambios de datos bancarios previene los fraudes de mayor impacto económico
• Tener un plan de respuesta documentado y ensayado reduce dramáticamente el tiempo y costo de recuperación

En AyP Digital trabajamos con empresas que manejan documentos sensibles — expedientes, contratos, información financiera, registros de identidad. Sabemos que la digitalización trae eficiencia, pero también requiere responsabilidad en la protección de esa información. La transformación digital segura no es un lujo: es el estándar mínimo para operar en 2026.

No esperes a ser víctima para actuar. Cada día sin un programa de concientización, sin MFA habilitado o sin procedimientos de verificación de pagos es un día en que tu empresa opera con la puerta abierta.

El primer paso es el más simple: habla con tu equipo sobre phishing hoy mismo.