Incremento de ciberataques a nivel mundial 

En los últimos años, los ataques cibernéticos han incrementado gracias al desarrollo de la inteligencia artificial y al crecimiento del comercio electrónico, siendo que, durante el año 2012, las pérdidas mundiales por ataques cibernéticos ascendieron a seis billones de euros.

En España, durante el año 2018, las empresas recibieron en promedio 66 ciberataques. En el presente año, tres de cada cuatro empresas españolas han sufrido un ciberataque durante el primer semestre, según un estudio sobre ciberseguridad en España. En América Latina, según la compañía peruana de seguridad Supra Networks, se estima que, los ciberataques se elevarán en 25% este año.

El Perú, evidentemente, no ha sido la excepción al contexto antes descrito, el comercio electrónico en nuestro país ha crecido de manera progresiva en los últimos tiempos, sin ir muy lejos: pedir taxis, comprar comida y/o ropa a través de las plataformas virtuales es cada vez un hábito en la población. Sin embargo, con ello también se ha incrementado el número de ciberataques en nuestro país: el 25.1 % de ataques de ransomware (secuestro de datos) en Latinoamérica durante los años 2017 y 2018 fueron identificados en nuestro país.

¿Qué es un ciberataque? 

En mayo del 2019, el Consejo Europeo aprobó el “Reglamento de medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros”, definiendo a los ciberataques como aquellas acciones que vulneran las medidas de seguridad de un sistema, no autorizadas por el propietario, y que implican como mínimo uno de los siguientes componentes:

I) Acceso a sistemas de información.

II) Intromisión en sistemas de información (obstaculización o interrupción del funcionamiento de un sistema).

III) intromisión en datos (borrado, dañado, deterioro, robo de datos y/o recursos económicos o derechos de propiedad intelectual).

IV) interceptación de datos (a través de medios técnicos, transmisiones no públicos, entre otros).

En palabras simples, un ciberataque es aquel ataque contra organizaciones públicas y/o privadas que se llevan a cabo mediante programas o códigos maliciosos (virus), acceso web no autorizado, sitios web falsos y otros medios informáticos para sustraer información personal, técnica o institucional, causando perjuicios de gran alcance en las organizaciones. Estos ataques en su mayoría se producen con el objetivo de obtener dinero a cambio de la devolución de la información extraída. 

¿Estamos avanzando? 

Lo señalado anteriormente, nos hace tomar conciencia de los posibles daños, incluso irreparables que, podrían afrontar las empresas públicas y privadas en el Perú, si no se toman medidas oportunas. 

¿Estamos avanzando? Considero que sí. Contamos con la Ley de Protección de Datos Personales, la Ley No. 29733, su Reglamento, el Decreto Supremo No. 003-2013-JUS, y la Directiva de Seguridad, Resolución Directoral No. 019-2013-JUS/DGPDP que regulan las medidas de seguridad que debe adoptar el encargado de tratamiento de datos personales, a fin de evitar cualquier adulteración, pérdida, desviaciones, entre otros, de la información personal.  

Así también, hace un par de meses atrás, se publicó la Ley No. 30999, Ley de Ciberdefensa, que tiene como finalidad defender la soberanía, interés nacional y recursos claves del Estado frente amenazas o ataques a través del ciberespacio, cuando estos afecten la seguridad nacional. 

Si bien es cierto que, la mencionada Ley tiene como finalidad regular aquellos ciberataques que afecten la seguridad nacional, dejando fuera del ámbito de protección a las organizaciones privadas, considero que es un avance en nuestra legislación, ya que a través de ella se reconoce que, la sociedad peruana y su legislación se está adaptando a la transformación digital y cambios tecnológicos, y que, por ende, el ámbito de la ciberseguridad debe ser uno de los principales objetivos de la regulación. 

¿Tenemos que seguir avanzando? Sí, claramente aún falta mucho por recorrer. El próximo paso debe ser una regulación enfocada no solo en salvaguardar los intereses públicos sino también los intereses privados, con el propósito de mejorar los estándares segmentados por industrias, con iniciativas de transformación digital que contemplen de forma prioritaria un enfoque de gestión de riesgos de ciberseguridad, y disponga sanciones económicas ante los incumplimientos tanto para empresas del sector privado como del sector público. 

Conoce a más especialistas:

abogados expertos en protección de datos