AyP Digital

Captura de Datos

Software ePaper

Seguridad

Ver todos los servicios
Destacado

ePaper

Gestión documental en la nube. Accede desde cualquier lugar.

Conocer más
Digitalización de Documentos Captura OCR / ICR Fichas Ópticas OMR ePaper Desktop ePaper SaaS Control de Acceso ZKTeco
Blog Empresa Contacto
English
Contáctenos
Ciberseguridad

Ransomware en Perú 2026: Cómo Proteger los Documentos de tu Empresa

Guía de protección contra ransomware para empresas peruanas: amenazas actuales, plan de respuesta, backup documental y cumplimiento normativo 2026.

Sebastián Herrera
14 min de lectura
Compartir:
Este artículo fue escrito en español. Use el botón para traducirlo automáticamente.

Puntos Clave

  • El ransomware cifra los documentos de tu empresa y exige un rescate — y pagar no garantiza la recuperación
  • La regla de backup 3-2-1 (3 copias, 2 medios, 1 offsite) es tu mejor defensa contra pérdida total
  • El 90% de los ataques inician con phishing — la capacitación del equipo es más importante que cualquier software
  • En Perú, la Ley 29733 obliga a proteger datos personales y reportar incidentes a la ANPDP

Son las 6:47 de la mañana de un lunes en Lima. El gerente de administración de una empresa mediana de logística llega temprano para adelantar el cierre mensual. Enciende su computadora, abre el explorador de archivos y encuentra algo que le congela la sangre: cada uno de los archivos de su escritorio tiene una extensión nueva — .locked — y en la pantalla aparece un mensaje en inglés con un temporizador regresivo de 72 horas. “All your files have been encrypted. Pay 3.5 BTC to recover your data.” Las carpetas compartidas del servidor, donde la empresa almacena contratos de clientes, facturas electrónicas, expedientes de personal y respaldos contables de los últimos cinco años, están igualmente cifradas. Nadie puede trabajar. El sistema de facturación electrónica está fuera de línea. Y la empresa no tiene un plan de respuesta.

Esta situación, que hace algunos años parecía un escenario lejano reservado para multinacionales o gobiernos, se ha convertido en una realidad cotidiana para empresas peruanas de todos los tamaños. Los grupos de ransomware ya no discriminan: una pyme con 30 empleados es tan atractiva como un banco si sus defensas son débiles y su disposición a pagar es alta.

En esta guía abordamos el panorama actual de amenazas de ransomware en Perú y América Latina, explicamos por qué los documentos empresariales son un blanco prioritario, y proporcionamos un plan de acción práctico para prevenir, detectar y recuperarse de un ataque.

El Panorama de Ransomware en Perú y América Latina

Una Amenaza en Crecimiento Acelerado

América Latina se ha convertido en una de las regiones con mayor crecimiento en ataques de ransomware a nivel global. Según reportes del sector, los incidentes de ransomware en la región han aumentado de manera significativa en los últimos dos años, con grupos criminales cada vez más sofisticados que operan con modelos de negocio estructurados.

Perú, como la economía de mayor crecimiento en la región andina, se ha vuelto un objetivo cada vez más atractivo. El PeCERT (Centro de Respuesta ante Incidentes de Seguridad Informática del Perú) ha reportado un incremento sostenido en alertas relacionadas con ransomware dirigido a empresas de sectores como salud, educación, manufactura y servicios financieros.

Factores que Hacen Vulnerable al Perú

Varios elementos convergen para aumentar la superficie de ataque en el contexto peruano:

  • Aceleración digital post-pandemia: Muchas empresas digitalizaron procesos rápidamente entre 2020 y 2023 sin implementar controles de seguridad adecuados
  • Baja inversión en ciberseguridad: Según análisis del sector, las empresas peruanas medianas destinan significativamente menos presupuesto a ciberseguridad que sus pares en economías más maduras
  • Escasez de talento especializado: Existe una brecha importante de profesionales de ciberseguridad en el mercado peruano
  • Cultura de seguridad inmadura: En muchas organizaciones, la seguridad informática se percibe como un gasto y no como una inversión
  • Alta dependencia de software no licenciado: El uso de software pirata, que no recibe actualizaciones de seguridad, amplía significativamente las vulnerabilidades

Grupos de Ransomware que Operan en la Región

Los principales grupos de ransomware que han mostrado actividad en América Latina operan bajo modelos sofisticados:

Modelo de Operación Características Riesgo para Empresas Peruanas
Ransomware-as-a-Service (RaaS) Grupos criminales venden o alquilan su malware a afiliados que ejecutan los ataques Alto — reduce la barrera de entrada para atacantes locales
Doble extorsión Cifran datos Y amenazan con publicar información robada Crítico — la publicación de datos puede violar la Ley 29733
Triple extorsión Doble extorsión + ataques DDoS o amenazas a clientes/proveedores Severo — afecta toda la cadena de valor
Big Game Hunting Ataques dirigidos a empresas grandes con capacidad de pago Medio-Alto — empresas grandes peruanas ya son objetivo
Spray and pray Ataques masivos no dirigidos que explotan vulnerabilidades comunes Alto — las pymes son las más vulnerables

Tipos de Ransomware y Vectores de Ataque Comunes

Principales Variantes de Ransomware

El ecosistema de ransomware ha evolucionado hacia familias especializadas con capacidades distintas:

Ransomware de cifrado: El tipo más común. Cifra archivos usando algoritmos de criptografía asimétrica (RSA-2048, AES-256) que hacen prácticamente imposible la recuperación sin la llave de descifrado. Variantes recientes pueden identificar y cifrar selectivamente archivos de alto valor como bases de datos, documentos financieros y respaldos.

Ransomware de bloqueo (Locker): Bloquea el acceso al sistema operativo o a la interfaz del dispositivo sin necesariamente cifrar archivos individuales. Menos destructivo pero igualmente paralizante para operaciones.

Wiper disfrazado de ransomware: Destruye datos de forma irrecuperable, presentándose como ransomware para ganar tiempo. Particularmente peligroso porque pagar el rescate no recupera los datos.

Ransomware de filtración (Leakware): Se enfoca en exfiltrar datos sensibles y amenazar con su publicación. No siempre cifra los archivos, pero el daño reputacional y legal puede ser devastador.

Vectores de Ataque Más Frecuentes

Comprender cómo ingresa el ransomware es fundamental para prevenirlo:

1. Phishing y Spear Phishing

El correo electrónico sigue siendo el vector principal de infección. Los atacantes envían mensajes que simulan ser de SUNAT, bancos peruanos, proveedores conocidos o incluso del PeCERT. Los mensajes suelen incluir:

  • Archivos adjuntos infectados (documentos Word o Excel con macros maliciosas, PDFs con código ejecutable)
  • Enlaces a sitios web falsos que descargan malware
  • Supuestas “notificaciones de SUNAT” sobre fiscalizaciones pendientes
  • Falsas facturas electrónicas de proveedores habituales

El spear phishing es particularmente efectivo porque los atacantes investigan a la empresa objetivo y personalizan los mensajes con nombres reales, números de RUC, y referencias a proyectos reales.

2. Explotación de Protocolos de Acceso Remoto (RDP)

El Remote Desktop Protocol (RDP) se convirtió en una puerta de entrada masiva durante la pandemia. Muchas empresas peruanas habilitaron acceso RDP para el teletrabajo sin implementar:

  • Autenticación multifactor (MFA)
  • VPN como requisito previo
  • Límites de intentos de conexión fallidos
  • Restricción por dirección IP de origen

Los atacantes escanean internet buscando puertos RDP abiertos (puerto 3389) y utilizan ataques de fuerza bruta o credenciales filtradas para obtener acceso.

3. Vulnerabilidades de Software No Actualizado

Los sistemas sin parches de seguridad son blancos fáciles. Vulnerabilidades conocidas en:

  • Sistemas operativos Windows Server sin actualizaciones
  • Aplicaciones de ofimática desactualizadas
  • Firmware de equipos de red (routers, firewalls)
  • Software ERP o CRM con versiones obsoletas
  • Servidores web con configuraciones inseguras

4. Ataques a la Cadena de Suministro

Los atacantes comprometen un proveedor de software o servicios de confianza para distribuir malware a todas las empresas que utilizan ese proveedor. Este vector es particularmente peligroso porque el malware llega a través de canales legítimos y confiables.

5. Dispositivos USB y Medios Removibles

Aunque parezca un vector anticuado, el uso de memorias USB infectadas sigue siendo efectivo, especialmente en entornos industriales o de manufactura donde los sistemas no siempre están conectados a internet.

Por Qué los Documentos Empresariales Son el Blanco Principal

El Valor de la Información Documental

Los documentos empresariales representan el activo informacional más crítico de una organización. Un ataque de ransomware que cifre o exfiltre estos documentos puede paralizar completamente las operaciones:

Documentos financieros y contables:

  • Facturas electrónicas (obligatorias ante SUNAT)
  • Libros contables electrónicos
  • Estados financieros
  • Declaraciones tributarias
  • Comprobantes de pago

La pérdida de estos documentos no solo detiene operaciones: puede generar incumplimientos tributarios con SUNAT, que exige la conservación de documentos contables por un mínimo de cinco años según el Código Tributario.

Contratos y documentos legales:

  • Contratos con clientes y proveedores
  • Escrituras y títulos de propiedad
  • Poderes notariales
  • Actas de directorio y junta de accionistas
  • Licencias y permisos

Expedientes de recursos humanos:

  • Contratos laborales
  • Boletas de pago
  • Información personal de empleados (DNI, datos familiares, información médica)
  • Registros de AFP y seguro social

Estos datos están protegidos por la Ley 29733, Ley de Protección de Datos Personales, y su filtración puede derivar en sanciones administrativas, demandas civiles y daño reputacional severo.

Documentos operativos:

  • Planos y diseños técnicos
  • Manuales de procesos
  • Bases de datos de clientes
  • Historiales de proyectos
  • Correspondencia comercial

Impacto Regulatorio: Ley 29733 y Obligaciones de SUNAT

Un ataque de ransomware no es solo un problema técnico; tiene implicaciones legales directas para las empresas peruanas:

Ley 29733 — Protección de Datos Personales:

  • Obliga a implementar medidas de seguridad técnicas, organizativas y legales para proteger datos personales
  • Requiere notificar a la Autoridad Nacional de Protección de Datos Personales (ANPDP) en caso de brecha de seguridad
  • Las sanciones pueden alcanzar hasta 100 UIT (más de S/ 500,000)
  • La responsabilidad recae en el titular del banco de datos, independientemente de si el ataque fue externo

Obligaciones tributarias (SUNAT):

  • La facturación electrónica requiere disponibilidad continua de los sistemas
  • Los libros electrónicos deben conservarse y estar disponibles para fiscalización
  • La pérdida de documentación tributaria no exime de obligaciones ante una auditoría
  • La imposibilidad de emitir comprobantes electrónicos puede paralizar las ventas

Normas sectoriales:

  • Sector financiero: Regulaciones de la SBS sobre seguridad de información
  • Sector salud: Protección de historias clínicas y datos médicos
  • Sector público: Normativas de la PCM sobre seguridad digital

Costo de un Ataque de Ransomware vs. Costo de Prevención

Antes de abordar las medidas de protección, es importante contextualizar la inversión en seguridad frente al costo potencial de un ataque:

Concepto Costo de un Ataque Costo de Prevención Anual
Rescate promedio USD 50,000 – 500,000+ (sin garantía de recuperación)
Tiempo de inactividad 5 – 21 días promedio; USD 10,000 – 50,000+ por día en pérdida operativa
Recuperación técnica USD 20,000 – 100,000 (servicios forenses, reconstrucción)
Sanciones regulatorias Hasta 100 UIT (Ley 29733) + sanciones SUNAT
Daño reputacional Incalculable; pérdida de clientes y contratos
Costos legales USD 10,000 – 50,000+ (demandas, asesoría legal)
Total estimado ataque USD 100,000 – 1,000,000+
Solución de backup empresarial USD 2,000 – 10,000
Endpoint protection (EDR) USD 3,000 – 15,000
Capacitación del personal USD 1,000 – 5,000
Auditoría de seguridad anual USD 5,000 – 20,000
Seguro de ciberseguridad USD 3,000 – 15,000
Total prevención anual USD 14,000 – 65,000

La ecuación es clara: invertir en prevención representa una fracción del costo potencial de un ataque. Para una empresa mediana peruana, un programa básico de protección contra ransomware puede implementarse con una inversión anual menor al costo de un solo día de inactividad total.

Plan de Prevención: Checklist de Seguridad Contra Ransomware

1. Estrategia de Backup: La Regla 3-2-1

La estrategia de respaldo es la defensa más importante contra ransomware. Si tienes copias de seguridad confiables y recientes, un ataque de cifrado pierde su poder extorsivo.

La regla 3-2-1 establece:

  • 3 copias de cada dato importante (el original más dos respaldos)
  • 2 tipos diferentes de medios de almacenamiento (disco local + nube, por ejemplo)
  • 1 copia fuera del sitio (offsite), físicamente separada de la red principal

Implementación práctica para empresas peruanas:

  • Copia 1 — Producción: Los documentos en su ubicación original (servidor de archivos, sistema ERP, gestor documental)
  • Copia 2 — Backup local: Respaldo automático diario en un dispositivo NAS o servidor dedicado, segmentado de la red principal con acceso restringido
  • Copia 3 — Backup offsite/nube: Respaldo cifrado en un servicio de nube empresarial o en una ubicación física separada

Consideraciones críticas:

  • Los respaldos deben ser inmutables o con protección contra escritura — un ransomware sofisticado intentará cifrar también los backups si puede acceder a ellos
  • Realizar pruebas de restauración periódicas (al menos trimestrales). Un backup que no se puede restaurar no es un backup
  • Definir RPO (Recovery Point Objective): ¿cuántas horas de datos puedes permitirte perder? Esto determina la frecuencia de respaldo
  • Definir RTO (Recovery Time Objective): ¿cuánto tiempo puede la empresa operar sin sus sistemas? Esto determina la velocidad requerida de restauración

2. Capacitación y Concientización del Personal

El factor humano sigue siendo el eslabón más débil en la cadena de seguridad. La capacitación efectiva debe ser:

Programa de concientización continuo:

  • Sesiones de capacitación inicial para todo empleado nuevo (inducción de seguridad)
  • Simulacros de phishing trimestrales con correos que imiten amenazas reales en contexto peruano (falsas notificaciones de SUNAT, correos de bancos locales, facturas fraudulentas)
  • Charlas mensuales breves (15-20 minutos) sobre amenazas actuales
  • Canal de reporte de correos sospechosos con respuesta rápida del equipo de TI

Temas fundamentales que todo empleado debe dominar:

  • Cómo identificar un correo de phishing (verificar remitente, URLs, adjuntos)
  • Por qué no abrir archivos adjuntos inesperados, incluso de remitentes conocidos
  • Política de contraseñas seguras y uso de gestores de contraseñas
  • Procedimiento para reportar incidentes sospechosos
  • Riesgos del uso de dispositivos USB no autorizados
  • Seguridad en el uso de dispositivos personales para teletrabajo

3. Segmentación de Red

La segmentación de red limita el movimiento lateral del ransomware una vez que logra ingresar a un equipo:

  • Separar redes por función: administración, operaciones, invitados, producción
  • Aislar servidores críticos: los servidores de archivos, bases de datos y respaldos deben estar en segmentos de red separados con reglas de firewall estrictas
  • Implementar VLANs: Para separar tráfico de red lógicamente
  • Control de acceso entre segmentos: Solo permitir las comunicaciones estrictamente necesarias entre segmentos
  • Microsegmentación para activos críticos: Los repositorios documentales y sistemas de gestión documental deben tener controles de acceso granulares

4. Protección de Endpoints

Cada computadora, laptop y servidor es un punto potencial de entrada:

  • EDR (Endpoint Detection and Response): Soluciones que van más allá del antivirus tradicional, monitoreando comportamiento en tiempo real y respondiendo automáticamente a amenazas
  • Actualización continua: Política estricta de aplicación de parches de seguridad dentro de las 72 horas posteriores a su publicación para vulnerabilidades críticas
  • Control de aplicaciones: Limitar qué software puede ejecutarse en los equipos corporativos (application whitelisting)
  • Deshabilitar macros por defecto: Bloquear la ejecución automática de macros en documentos de Office, habilitándolas solo cuando sea estrictamente necesario y previa verificación
  • Cifrado de disco completo: BitLocker en Windows, FileVault en macOS — para proteger datos en caso de robo de equipo

5. Gestión de Accesos y Autenticación

  • Autenticación multifactor (MFA): Obligatoria para todos los accesos remotos, correo electrónico, sistemas críticos y cuentas de administración
  • Principio de mínimo privilegio: Cada usuario tiene acceso solo a los recursos que necesita para su función
  • Gestión de cuentas privilegiadas (PAM): Control estricto sobre cuentas de administrador con registro de actividad
  • Revisión periódica de accesos: Auditar trimestralmente quién tiene acceso a qué recursos y revocar accesos innecesarios
  • Política de contraseñas robusta: Mínimo 14 caracteres, uso de gestores de contraseñas, prohibición de reutilización

6. Seguridad del Correo Electrónico

Como vector principal de infección, el correo merece atención especial:

  • Filtrado avanzado de correo: Soluciones que analicen adjuntos en sandbox antes de entregarlos
  • Autenticación de correo: Implementar SPF, DKIM y DMARC para prevenir suplantación
  • Bloqueo de adjuntos peligrosos: No permitir la entrega de archivos ejecutables (.exe, .js, .vbs, .ps1) por correo
  • Etiquetado de correos externos: Marcar visualmente los correos que provienen de fuera de la organización
  • Sandboxing de URLs: Verificar enlaces en tiempo real antes de permitir el acceso

7. Seguridad Específica para Gestión Documental

Los sistemas de gestión documental requieren controles de seguridad particulares:

  • Control de versiones: Mantener historial de versiones de documentos que permita restaurar versiones anteriores al cifrado
  • Permisos granulares: Acceso a documentos basado en roles, con segregación por departamento y nivel de confidencialidad
  • Auditoría de acceso: Registro de quién accedió, modificó o descargó cada documento
  • Cifrado en reposo y tránsito: Los documentos almacenados deben estar cifrados, independientemente del cifrado a nivel de disco
  • DLP (Data Loss Prevention): Monitorear y prevenir la exfiltración masiva de documentos

Plan de Respuesta a Incidentes: Las Primeras 24 Horas

Cuando ocurre un ataque de ransomware, la velocidad y el orden de la respuesta determinan la magnitud del daño. Cada empresa debe tener un plan documentado y ensayado.

Hora 0 – Detección y Contención Inmediata (Primeros 30 minutos)

Acciones inmediatas:

  1. No apagar los equipos infectados: Apagarlos puede destruir evidencia forense en memoria RAM. En su lugar, desconectar el cable de red o deshabilitar el WiFi
  2. Aislar la red: Desconectar los segmentos afectados del resto de la red para detener la propagación
  3. Identificar el alcance: Determinar qué equipos y servidores están comprometidos
  4. Preservar evidencia: Tomar capturas de pantalla de la nota de rescate, registrar la extensión de archivos cifrados
  5. No comunicarse con los atacantes: No hacer clic en enlaces de la nota de rescate ni responder a correos de los atacantes

Hora 1-4 — Evaluación y Escalamiento

Equipo de respuesta:

  • Activar el equipo de respuesta a incidentes (interno o externo)
  • Notificar a la gerencia general y al área legal
  • Contactar al proveedor de servicios de ciberseguridad o CSIRT contratado
  • Evaluar si se requiere reportar al PeCERT

Evaluación técnica:

  • Identificar la variante de ransomware (puede existir un descifrador público disponible en proyectos como No More Ransom — nomoreransom.org)
  • Determinar el vector de entrada inicial
  • Verificar el estado de los respaldos — confirmar que no están comprometidos
  • Evaluar qué sistemas críticos están afectados y priorizar la recuperación

Hora 4-12 — Comunicación y Planificación de Recuperación

Comunicaciones:

  • Notificar a empleados con instrucciones claras (no usar equipos conectados, no intentar “arreglar” sus equipos)
  • Preparar comunicación para clientes si los servicios están afectados
  • Evaluar obligación de notificar a la ANPDP si hay datos personales comprometidos (Ley 29733)
  • Consultar con asesoría legal sobre obligaciones regulatorias

Planificación:

  • Definir prioridades de recuperación: ¿qué sistemas deben restaurarse primero?
  • Verificar integridad de respaldos antes de iniciar restauración
  • Preparar infraestructura limpia para la restauración (no restaurar sobre equipos potencialmente comprometidos)

Hora 12-24 — Inicio de Recuperación

Recuperación:

  • Restaurar sistemas críticos desde respaldos verificados
  • Restablecer servicios por orden de prioridad: facturación electrónica, correo, sistemas operativos core
  • Implementar controles de seguridad adicionales antes de reconectar sistemas a la red
  • Cambiar todas las contraseñas de la organización
  • Monitorear activamente la red para detectar persistencia del atacante

Sobre Pagar el Rescate

La recomendación generalizada de expertos en ciberseguridad y organismos internacionales es no pagar el rescate. Las razones son múltiples:

  • No hay garantía de que los atacantes proporcionen la llave de descifrado
  • Según reportes del sector, un porcentaje significativo de empresas que pagan no recuperan todos sus datos
  • Pagar financia y alienta futuras operaciones criminales
  • Puede violar regulaciones de anti-lavado de activos
  • Las empresas que pagan frecuentemente son atacadas de nuevo, ya que los criminales las identifican como “pagadoras”

La excepción única es cuando la supervivencia inmediata de la empresa depende de ello, no hay respaldos, y se ha agotado toda otra opción. Incluso en ese caso, debe consultarse con asesoría legal y autoridades.

Backup Documental y Disaster Recovery

Estrategia de Backup Específica para Documentos

Los documentos empresariales requieren una estrategia de backup diferenciada según su criticidad y requisitos regulatorios:

Clasificación de documentos por criticidad:

Clasificación Tipos de Documentos Frecuencia de Backup Retención Mínima
Crítico Facturas electrónicas, libros contables, contratos vigentes Tiempo real / cada hora 5-10 años (SUNAT)
Alto Expedientes de personal, datos de clientes, estados financieros Diario 5 años (Ley 29733)
Medio Correspondencia comercial, reportes internos, manuales Semanal 2-3 años
Bajo Borradores, documentos temporales, material de marketing Mensual 6 meses – 1 año

Arquitectura de Disaster Recovery para Documentos

Un plan de disaster recovery (DR) para documentos debe contemplar:

1. Repositorio principal con alta disponibilidad:

  • Sistema de gestión documental (DMS) con redundancia local
  • Almacenamiento en arreglo RAID o SAN para tolerancia a fallos de hardware
  • Réplica síncrona dentro del datacenter

2. Sitio de respaldo (DR Site):

  • Réplica asíncrona de documentos a una ubicación geográficamente separada
  • Puede ser un segundo datacenter, una oficina remota o un servicio en la nube
  • Tiempo de conmutación (failover) documentado y probado

3. Respaldo inmutable en nube:

  • Copias de respaldo en servicios de almacenamiento de objetos con bloqueo de retención (object lock / WORM)
  • Estas copias no pueden ser modificadas ni eliminadas durante el período de retención, ni siquiera por un administrador comprometido
  • Ideal para cumplimiento de requisitos de SUNAT sobre preservación documental

4. Respaldo offline (air-gapped):

  • Copias periódicas en medios desconectados de cualquier red
  • Cintas LTO, discos duros externos almacenados en ubicación segura
  • Última línea de defensa contra ransomware que compromete toda la infraestructura conectada

Pruebas de Recuperación

Un plan de DR que no se prueba es un plan que no funciona. Implementar:

  • Pruebas de restauración trimestrales: Seleccionar aleatoriamente documentos de cada clasificación y verificar que se restauran correctamente
  • Simulacro de DR anual: Simular la pérdida completa del repositorio principal y ejecutar el plan de recuperación completo
  • Documentar tiempos reales: Registrar cuánto tiempo toma restaurar diferentes volúmenes de documentos para validar los RTOs comprometidos
  • Pruebas de integridad: Verificar mediante hashes (SHA-256) que los documentos respaldados no se han corrompido

Cumplimiento Normativo y Frameworks de Referencia

ISO 27001: Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 proporciona el framework más reconocido internacionalmente para la gestión de seguridad de la información. Para empresas peruanas, la certificación ISO 27001 ofrece:

  • Un marco estructurado para identificar, evaluar y tratar riesgos de seguridad
  • Procesos documentados de gestión de incidentes (incluyendo ransomware)
  • Evidencia de diligencia debida ante reguladores y clientes
  • Ventaja competitiva en licitaciones públicas y privadas

Controles de ISO 27001 relevantes para ransomware:

Control Descripción Aplicación Anti-Ransomware
A.8.13 Backup de información Estrategia 3-2-1, pruebas de restauración
A.5.24 Planificación de respuesta a incidentes Plan de primeras 24 horas
A.8.7 Protección contra malware EDR, filtrado de correo, sandboxing
A.8.8 Gestión de vulnerabilidades técnicas Patching, escaneo de vulnerabilidades
A.5.15 Control de acceso MFA, mínimo privilegio, PAM
A.8.20 Seguridad de redes Segmentación, firewalls, monitoreo
A.6.3 Concientización de seguridad Programa de capacitación, simulacros

NIST Cybersecurity Framework

El NIST CSF complementa ISO 27001 con un enfoque práctico basado en cinco funciones:

  1. Identificar: Inventariar activos, clasificar documentos, evaluar riesgos
  2. Proteger: Implementar controles preventivos (backup, MFA, segmentación, EDR)
  3. Detectar: Monitoreo continuo, análisis de comportamiento anómalo, alertas tempranas
  4. Responder: Plan de respuesta a incidentes, comunicación, contención
  5. Recuperar: Restauración de sistemas, lecciones aprendidas, mejora continua

Ley 29733 y su Reglamento

La Ley de Protección de Datos Personales (Ley 29733) y su reglamento (D.S. 003-2013-JUS) establecen obligaciones específicas de seguridad que toda empresa que trate datos personales debe cumplir:

  • Medidas de seguridad técnicas: Controles de acceso, cifrado, monitoreo
  • Medidas organizativas: Políticas de seguridad, capacitación, gestión de incidentes
  • Medidas legales: Contratos con encargados de tratamiento, cláusulas de confidencialidad
  • Notificación de brechas: Obligación de informar a la ANPDP sobre incidentes que afecten datos personales
  • Evaluaciones de impacto: Para tratamientos de datos de alto riesgo

El incumplimiento, agravado por un incidente de ransomware que exponga datos personales, puede resultar en sanciones acumuladas que superan ampliamente el costo de implementar medidas de seguridad adecuadas.

Evaluación de Seguridad: Checklist para tu Empresa

Utiliza el siguiente checklist para evaluar el estado actual de preparación de tu empresa contra ransomware. Cada ítem respondido con “No” representa una brecha de seguridad que debe abordarse:

Respaldos y Recuperación

  • ¿Existe una estrategia de backup que cumpla la regla 3-2-1?
  • ¿Los respaldos se ejecutan de forma automática y verificada?
  • ¿Al menos una copia de backup está offline o es inmutable?
  • ¿Se realizan pruebas de restauración al menos trimestralmente?
  • ¿Están definidos y documentados los RPO y RTO para sistemas críticos?
  • ¿Los respaldos de documentos tributarios cumplen los plazos de retención de SUNAT?

Protección de Endpoints y Red

  • ¿Todos los equipos tienen solución EDR (no solo antivirus básico)?
  • ¿Los parches de seguridad críticos se aplican dentro de las 72 horas?
  • ¿La red está segmentada (servidores, usuarios, invitados)?
  • ¿El acceso RDP está deshabilitado o protegido con MFA y VPN?
  • ¿Existe control de aplicaciones que impida la ejecución de software no autorizado?
  • ¿Las macros de Office están deshabilitadas por defecto?

Gestión de Accesos

  • ¿La autenticación multifactor (MFA) está habilitada para todos los accesos remotos?
  • ¿Se aplica el principio de mínimo privilegio en la asignación de permisos?
  • ¿Las cuentas de administrador tienen controles adicionales (PAM)?
  • ¿Se revisan los accesos de usuarios periódicamente (al menos trimestralmente)?
  • ¿Existe un proceso formal para revocar accesos cuando un empleado deja la empresa?

Correo Electrónico

  • ¿Existe filtrado avanzado de correo con análisis de adjuntos en sandbox?
  • ¿Están configurados SPF, DKIM y DMARC?
  • ¿Los correos externos se identifican visualmente?
  • ¿Se bloquean los adjuntos ejecutables?

Concientización del Personal

  • ¿Todo el personal recibió capacitación en seguridad en los últimos 12 meses?
  • ¿Se realizan simulacros de phishing periódicamente?
  • ¿Existe un canal claro para reportar correos o actividades sospechosas?
  • ¿El personal conoce el procedimiento ante un incidente de seguridad?

Gestión Documental

  • ¿Los documentos están clasificados por nivel de criticidad?
  • ¿El sistema de gestión documental tiene control de versiones?
  • ¿Los permisos de acceso a documentos son granulares y basados en roles?
  • ¿Existe registro de auditoría de acceso a documentos sensibles?
  • ¿Los documentos están cifrados en reposo?

Plan de Respuesta a Incidentes

  • ¿Existe un plan de respuesta a incidentes documentado y actualizado?
  • ¿El plan ha sido ensayado en los últimos 12 meses?
  • ¿Están definidos los roles y responsabilidades del equipo de respuesta?
  • ¿Se tiene contacto con un proveedor de respuesta a incidentes o CSIRT?
  • ¿Se conoce la obligación de notificación a la ANPDP bajo la Ley 29733?

Cumplimiento Normativo

  • ¿La empresa cuenta con una política de seguridad de la información vigente?
  • ¿Se ha realizado una evaluación de riesgos en los últimos 12 meses?
  • ¿Se cumple con las obligaciones de la Ley 29733 en materia de seguridad?
  • ¿Los documentos tributarios se respaldan cumpliendo los plazos de retención de SUNAT?
  • ¿Se ha evaluado la implementación de ISO 27001 o un framework equivalente?

Interpretación del Resultado

  • 35-40 ítems cumplidos: Nivel de protección sólido. Mantener el programa y buscar mejoras continuas.
  • 25-34 ítems cumplidos: Nivel aceptable con brechas que deben cerrarse a corto plazo. Priorizar los ítems de respaldos y respuesta a incidentes.
  • 15-24 ítems cumplidos: Vulnerabilidad significativa. Requiere un plan de acción inmediato con inversión dedicada.
  • Menos de 15 ítems: Riesgo crítico de sufrir un ataque exitoso de ransomware. Se recomienda contratar una auditoría de seguridad urgente.

Conclusión: La Seguridad Documental No Es Opcional

El ransomware no es una amenaza teórica ni lejana. Las empresas peruanas enfrentan un panorama de ciberseguridad cada vez más hostil, donde los atacantes operan con herramientas sofisticadas, motivaciones económicas claras y una creciente disposición a atacar organizaciones en América Latina.

Los documentos empresariales — facturas, contratos, expedientes de personal, registros contables — son simultáneamente los activos más valiosos y los más vulnerables. Su pérdida o filtración no solo paraliza operaciones: genera incumplimientos tributarios ante SUNAT, viola la Ley 29733 de Protección de Datos Personales, y puede comprometer la viabilidad misma de la empresa.

La buena noticia es que la protección efectiva no requiere presupuestos exorbitantes ni tecnología de vanguardia. Las medidas fundamentales — una estrategia de backup 3-2-1 con copias inmutables, capacitación continua del personal, segmentación de red, autenticación multifactor y un plan de respuesta a incidentes documentado y ensayado — son accesibles para empresas de cualquier tamaño.

La pregunta ya no es si tu empresa será atacada, sino cuándo. Y cuando ese momento llegue, la diferencia entre una interrupción menor de horas y una catástrofe de semanas estará determinada por las decisiones que tomes hoy.

Recursos adicionales:

Etiquetas

ransomware ciberseguridad protección de datos backup seguridad informática documentos empresariales

Preguntas Frecuentes

Primero, aísle los equipos infectados desconectándolos de la red. No pague el rescate. Contacte a PeCERT y a la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la PNP. Evalúe restaurar desde backups. Si tiene datos personales comprometidos, notifique a la ANPDP conforme la Ley 29733.
El costo va mucho más allá del rescate. Incluye: tiempo de inactividad (días o semanas sin operar), pérdida de datos irrecuperables, costos legales y de notificación, daño reputacional, y posibles multas por incumplimiento normativo. Para una PYME, un ataque puede significar el cierre del negocio.
Implemente la regla 3-2-1 de backup, active MFA en todas las cuentas, mantenga sistemas actualizados, capacite a su equipo en detección de phishing, segmente su red, y tenga un plan de respuesta a incidentes documentado y practicado.

¿Te interesa este tema?

Escribir por WhatsApp Enviar consulta por email
Sigue leyendo

Artículos Relacionados