Resumen: El presente reporte analiza parte de la información recopilada por IALaw en el marco de una investigación sobre ciberseguridad empresarial en el Perú, considerando datos recolectados durante los años 2024, 2025 y 2026. Los gráficos abordan: (a) la ocurrencia de brechas de ciberseguridad según tamaño empresarial, (b) la preparación organizacional percibida para enfrentar incidentes, (c) las pérdidas económicas asociadas o los recursos destinados a mitigación, y (d) los aspectos organizacionales considerados más vulnerables ante una brecha. Los resultados revelan una situación alarmante: la mayoría de empresas peruanas, independientemente de su tamaño, no ha experimentado brechas reportadas —o no las reconoce como tales—, mientras que una proporción significativa declara sentirse preparada, a pesar de la escasa inversión en mitigación. Este ensayo contrasta dichos hallazgos con el marco normativo peruano en materia de ciberseguridad, incluyendo la Ley 29733 (Ley de Protección de Datos Personales), Ley 30096 (Ley de delitos informáticos) y el Decreto de Urgencia 007-2020 (Decreto de Urgencia de Seguridad Digital), y concluye que persiste una brecha crítica entre la percepción de seguridad, la realidad técnica y la madurez regulatoria del ecosistema empresarial peruano.
Palabras clave: ciberseguridad, Perú, brechas de seguridad, MYPE, regulación, política pública, gestión de riesgos, alta dirección, directorios.
Introducción
En la segunda década del siglo XXI, la ciberseguridad ha pasado de ser una preocupación técnica reservada a los departamentos de tecnología de la información a convertirse en un asunto estratégico de primer orden para las organizaciones de cualquier tamaño y sector, aunque hay una tarea pendiente de que sea entidad su criticidad por parte de los Directorios y la Alta Dirección de las organizaciones, en especial las empresariales.
El aumento exponencial de las amenazas cibernéticas a escala global —desde el ransomware y el phishing hasta los ataques a infraestructuras críticas— ha obligado a los gobiernos, las empresas y la academia a replantear sus esquemas de protección digital. En América Latina, y en el Perú en particular, este proceso de toma de conciencia ha sido heterogéneo y frecuentemente reactivo, caracterizado por marcos regulatorios incipientes y una brecha significativa entre la exposición al riesgo y la capacidad de respuesta institucional.
Entre enero y setiembre de 2025, la Fiscalía especializada en ciberdelincuencia recibió 31028 denuncias por delitos informáticos. Del total registrado, el 68.88% (21371 casos) correspondió a fraude informático; el 24.2% (7508 casos) a delitos contra la fe pública vinculados al entorno digital, entre ellos phishing y deepfakes; y el 3.03% (941 casos) a delitos contra datos y sistemas informáticos.
El fraude informático continúa siendo la modalidad con mayor incidencia, al concentrar 21 371 denuncias durante el periodo analizado de 2025. Por su parte, los delitos informáticos contra la fe pública sumaron 7508 casos. De ellos, prácticamente la totalidad (7507) estuvo relacionada con la suplantación de identidad, es decir, situaciones en las que una persona utiliza de manera indebida información personal ajena —como nombres, fotografías o datos bancarios— para obtener beneficios económicos, difamar, extorsionar o cometer otros ilícitos.
Entre las principales modalidades empleadas por los ciberdelincuentes figuran el phishing, mediante correos electrónicos falsos diseñados para robar información, y el SIM swapping, que consiste en duplicar una tarjeta SIM para tomar control de cuentas y ejecutar operaciones fraudulentas en nombre de la víctima, generándole perjuicios económicos. Asimismo, el uso de inteligencia artificial ha facilitado la creación de deepfakes: videos manipulados que imitan voces e imágenes de personas reales con el fin de engañar, desinformar o difamar.
Ademas el Perú enfrenta retos particulares en este ámbito. Según datos Comex (2024), más del 99.7% del tejido empresarial peruano está compuesto por micro y pequeñas empresas (MYPE), segmento que históricamente ha tenido menor acceso a recursos tecnológicos, capacitación especializada y asesoría en seguridad digital. A esto se suma la transformación acelerada impulsada por la pandemia de COVID-19, que digitalizó procesos de manera urgente pero no siempre segura, exponiendo a las organizaciones a vectores de ataque para los que no estaban preparadas.
En este contexto, el presente reporte realizada por IALaw sobre la situación de la ciberseguridad en empresas peruanas adquiere especial relevancia. Los cuatro gráficos objeto del presente reporte ofrecen una fotografía empírica de las percepciones, experiencias y actitudes de empresas grandes, medianas, pequeñas y micro frente a los incidentes de ciberseguridad durante el período 2024-2026. Analizados de manera conjunta y a la luz del marco normativo peruano vigente, estos datos permiten identificar tendencias, inconsistencias y desafíos urgentes que demandan atención académica y política.
El objetivo del presente reporte es triple: primero, describir e interpretar los hallazgos de la información recopilada; segundo, contextualizar dichos hallazgos dentro del marco regulatorio y de falta de política pública en materia de ciberseguridad en el Perú; y tercero, proponer reflexiones críticas sobre las brechas persistentes entre percepción, práctica y regulación, aportando recomendaciones sustentadas en evidencia comparada y literatura especializada.
El informe completo aquí
Mas información: contacto@iriartelaw.com
