El eslabón más débil… y el más fuerte en la ciberseguridad

La transformación digital, catalizada drásticamente por la pandemia, ha reconfigurado los hábitos sociales y empresariales de manera irreversible. Un estudio de ESAN, subraya esta metamorfosis señalando que la pandemia aceleró nuevos hábitos drásticamente. El uso de plataformas y herramientas tecnológicas aumentó en al menos 300%. Se evidenció un crecimiento exponencial de aplicaciones e-commerce, pagos y transacciones online, la telemedicina, la educación a distancia, el teletrabajo, entretenimientos, juegos entre otros aspectos de nuestra vida diaria. Inevitablemente, esta expansión del espacio digital ha traído consigo una intensificación proporcional de los riesgos asociados, haciendo que el diálogo sobre ciberdelincuencia sea, en esencia, un diálogo sobre ciberseguridad.

Lejos de ser una amenaza abstracta, la ciberdelincuencia presenta cifras alarmantes en el Perú. Un estudio de FortiGuard Labs, difundido en junio de 2025, reveló la asombrosa cifra de 45,000 millones de intentos de ciberataques, un volumen que supera con creces los registros del año 2023. Este escenario se ve agravado por la integración de la inteligencia artificial en las tácticas de los atacantes, lo que aumenta la eficacia de sus intentos.

Los datos oficiales refuerzan esta preocupante realidad. Según el Sistema de Denuncias Policiales (SIDPOL), en 2024 se registraron más de 42,000 denuncias por delitos informáticos. De estas, el fraude informático representó el 69% y la suplantación de identidad un 22%. El impacto económico es igualmente devastador, con robos informáticos que superaron los 90 millones de soles solo en Lima durante el mismo año. Estas cifras, que se traducen en más de 100 casos diarios a nivel nacional según la Fiscalía Especializada en Ciberdelincuencia, demuestran que ninguna organización, independientemente de su tamaño, es ajena a este flagelo.

En el actual ecosistema digital, la ciberdelincuencia se ha consolidado como una amenaza tangible y creciente, particularmente para el dinámico sector de las micros, pequeñas y medianas empresas. Este artículo tiene como propósito fundamental concienciar a los emprendedores y usuarios sobre la magnitud de este riesgo, no desde una perspectiva de temor, sino del empoderamiento con el conocimiento. Se argumenta que, si bien el factor humano es a menudo el eslabón más débil en la cadena de ciberseguridad, una adecuada cultura de buenas practicas puede transformarlo en la primera y más efectiva barrera de contención contra las amenazas digitales.

La materialización de estos delitos ocurre a través de un diverso y evolutivo espectro de modalidades. Entre las más prevalentes se encuentran:

• Phishing: Considerado el tipo de fraude más denunciado, consiste en la clonación de sitios web, usualmente de entidades bancarias, para la sustracción de datos personales y credenciales.
• Ataques a vectores financieros: Modalidades como el Carding (acceso ilegal a tarjetas para compras fraudulentas), el hackeo de tarjetas en plataformas de pago  y la evolución de troyanos bancarios enfocados no solo en el robo de dinero, sino de información confidencial, son cada vez más sofisticadas.
• Explotación de dispositivos móviles: La venta de smartphones con spyware preinstalado , la vulnerabilidad intrínseca de sistemas operativos masivos como Android  y el SIM Swapping (clonación del chip para acceder a cuentas bancarias)  convierten al dispositivo personal en una puerta de entrada crítica.
• Ingeniería social y suplantación: A través de redes sociales y WhatsApp, los delincuentes suplantan la identidad de un individuo para engañar a sus contactos y solicitar dinero. El Thief Transfer, que utiliza celulares robados para cometer fraudes, es otra manifestación de este vector.

El análisis de las tácticas de ciberdelincuencia revela un patrón consistente: la explotación de sesgos cognitivos y gatillos mentales inherentes al ser humano. Por ejemplo, la curiosidad activadas a través de mensajes como «Revisa esta foto en la que te etiquetaron»; la urgencia con mensajes similares a «Tu cuenta será suspendida en 2 horas», otro gatillo mental utilizado es el relativo a la autoridad con mensajes «Soy del área de sistemas, necesito tu clave» o activando el  miedo con avisos como «Hemos detectado un virus, instala este software» son utilizados para manipular o inducir al usuario a cometer errores.

Estos gatillos explotan vulnerabilidades conductuales profundamente arraigadas, como una deficiente gestión de contraseñas. El uso de credenciales débiles y la reutilización de la misma contraseña en múltiples servicios exponen al usuario a un riesgo sistémico: un solo descuido puede comprometer toda su identidad digital. A esto se suma la lijeresa de escribir contraseñas en notas adhesivas o en archivos sin cifrar.

Otro comportamiento de alto riesgo es la resistencia a las actualizaciones de software. Posponer una actualización es, en términos prácticos, dejar una puerta abierta a vulnerabilidades conocidas, ya que una actualización no solo introduce nuevas funcionalidades, sino que «parcha agujeros de seguridad». Este comportamiento, sumado al «clic inconsciente» —la tendencia a abrir enlaces y descargar archivos adjuntos sin una verificación previa del remitente o de la URL real— configura el principal vector de compromiso para la mayoría de los usuarios y organizaciones.

La premisa fundamental es que no se necesita ser un experto en tecnología para estar protegido. La defensa más eficaz reside en la adopción de una cultura de «buenas practicas», que se integra en los hábitos diarios. Esto implica pensar antes de hacer clic, ser escéptico ante solicitudes inesperadas y bloquear los equipos al ausentarse. Si se tiene personal a cargo, es crucial dialogar sobre estos temas para convertirlos en aliados en la defensa.

Las buenas prácticas se pueden articular en torno a acciones concretas y de alto impacto:

• Fortalecimiento de credenciales: La base de la seguridad personal reside en el uso de contraseñas fuertes, idealmente «frases de contraseña» largas y fáciles de recordar, y la activación de la autenticación de dos factores (2FA). El 2FA actúa como una doble cerradura, siendo una de las capas de seguridad más efectivas contra el robo de credenciales.
• Vigilancia activa («Ojos de Halcón»): Se debe cultivar el hábito de verificar siempre la dirección del remitente, desconfiar de saludos genéricos, inspeccionar la URL real de los enlaces antes de hacer clic y cuestionar los mensajes con un tono excesivamente alarmista o urgente.
• La «Vacuna digital»: Es importante configurar las actualizaciones automáticas en sistemas operativos, navegadores y antivirus. Esta es la forma más sencilla de protección contra las amenazas más recientes. Asimismo, debemos abandonar el uso de software pirata o «gratuito» de fuentes no confiables, pues a menudo oculta malware.

El impacto de la ciberdelincuencia en las micros, pequeñas y medianas empresas y en la vida del ciudadano común y corriente es una amenaza constante que puede frenar su crecimiento. Sin embargo, la solución no radica únicamente en la implementación de complejas infraestructuras tecnológicas, sino en la formación de la primera línea de defensa: los usuarios, empleados y los propios emprendedores.

El cambio hacia buenas prácticas no debe ser brusco o tajante, todo lo contrario debe ser incremental. No se debe intentar hacer todo a la vez. El compromiso de realizar una acción concreta —como activar el 2FA en el correo principal, instalar un gestor de contraseñas o realizar una primera copia de seguridad en la nube— puede significar un salto cualitativo en la postura de seguridad. Como bien se afirma, «un pequeño paso hoy es un gran salto en tu seguridad mañana».

En última instancia, la ciberseguridad trasciende el ámbito técnico para convertirse en una competencia cívica en el siglo XXI. Fomentar una cultura de buenas practicas, donde la prudencia y la verificación se conviertan en actos reflejos, es la estrategia más rentable y efectiva para que las organizaciones empresariales y los individuos puedan navegar el entorno digital con seguridad, transformando el eslabón más débil en su activo de defensa más formidable.