Guía rápida para no caer en ataques de phishing

En el vasto universo de la ciberseguridad, hay una amenaza que no necesita vulnerar firewalls ni romper cifrados: solo necesita engañar a una persona. Esa amenaza se llama phishing, y representa cerca del 70% de los ciberataques en Sudamérica, con más del 95% de las vulnerabilidades explotadas debido a errores humanos. Perú no es la excepción.

¿Qué es el Phishing y por qué es tan efectivo en Perú?

El phishing es una técnica de ingeniería social utilizada por los ciberdelincuentes para engañar a las personas y hacer que revelen información confidencial: contraseñas, datos bancarios, accesos corporativos o personales.

En Perú, el contexto es especialmente sensible por varios factores:

• Bajo nivel de educación digital en la ciudadanía.
• Falta de capacitación continua en empresas.
• Campañas públicas de concienciación prácticamente inexistentes.
• Cultura de confianza excesiva en correos electrónicos, mensajes o enlaces.

En muchos casos, basta con un correo que imita a una entidad bancaria o una alerta falsa de seguridad para que un usuario entregue sin saberlo sus datos personales o corporativos.

¿Por qué el Phishing sigue funcionando en 2025?

1. Ingeniería social evolucionada: Hoy los atacantes no envían simples correos mal redactados. Usan inteligencia artificial para generar mensajes bien escritos, personalizados y en idioma local.
2. Suplantación de identidad profesional: Se hacen pasar por entidades reconocidas: SUNAT, bancos, universidades o incluso directivos de la empresa. El usuario no sospecha.
3. Canales múltiples: El phishing ya no llega solo por correo: se transmite por WhatsApp, redes sociales, SMS o incluso llamadas telefónicas automatizadas.
4. Falta de protocolos en empresas: Muchas organizaciones no tienen un plan de respuesta ante incidentes, ni protocolos para reportar correos sospechosos. El tiempo entre el ataque y la detección puede ser letal.

Casos recientes en Perú

Aunque muchas víctimas no lo reportan públicamente por miedo al impacto reputacional, algunos casos han salido a la luz:

• Usuarios bancarios que pierden acceso a sus cuentas tras hacer clic en enlaces fraudulentos enviados por SMS.
• Empresas comprometidas tras recibir facturas falsas o enlaces maliciosos disfrazados como órdenes de compra.
• Estafas masivas en redes sociales que usan perfiles falsos de entidades del Estado o promociones inexistentes.

¿Qué pueden hacer las empresas y ciudadanos peruanos para protegerse?

Recomendaciones para empresas:

• Capacitación continua en ciberseguridad a todos los colaboradores, especialmente en temas de ingeniería social.
• Simulacros de phishing regulares para medir la madurez del equipo frente a ataques.
• Políticas claras de uso de correo electrónico, contraseñas y enlaces.
• Canal de reporte interno para correos o mensajes sospechosos.
• Seguridad multinivel: autenticación de doble factor, filtros de correo avanzados y segmentación de redes.

Recomendaciones para usuarios:

• No hacer clic en enlaces sospechosos, especialmente si prometen regalos, promociones o premios inusuales.
• Verificar el dominio del remitente: muchos ataques usan direcciones muy similares a las originales.
• No compartir información sensible por redes sociales o mensajes de texto.
• Instalar antivirus y mantener los dispositivos actualizados.
• Denunciar los intentos de fraude a las autoridades correspondientes o a la empresa afectada.

Conclusión: El eslabón más débil, pero también el más fuerte

Perú no necesita más tecnología para protegerse del phishing: necesita más educación, cultura digital y responsabilidad compartida. La tecnología sola no basta si los usuarios no están preparados para distinguir una amenaza. La concienciación debe comenzar desde el hogar, continuar en las escuelas, extenderse a las empresas y reforzarse desde el Estado.

El phishing no desaparecerá. Pero podemos hacer que fracase. Porque el enemigo no es el enlace, es la falta de preparación.