Mientras el país celebra avances en inclusión financiera, especialista alerta sobre sistemas de protección obsoletos y riesgos sistémicos. Filtraciones masivas de datos y multas millonarias en los últimos años exponen fallas críticas que podrían costarle millones al sistema.
(*) Artículo publicado en la edición 236 de la revista Microfinanzas https://statuscomunicaciones.pe/microfinanzas/M236.pdf
El Perú vive un momento histórico en su proceso de digitalización financiera. Más de 15 millones de personas utilizan billeteras móviles, los pagos digitales se han multiplicado por cuatro desde 2020 y el ecosistema fintech no deja de crecer. Sin embargo, este progreso contrasta con un problema crítico: la falta de una estructura sólida de ciberseguridad en el sistema financiero, lo que genera riesgos sistémicos para la economía nacional.
César Novoa, especialista en transformación digital, adviertió que mientras el país avanza en inclusión financiera, muchas entidades operan con sistemas de protección fragmentados y sin una gobernanza integral.
“La innovación ha superado a la seguridad. Esta asimetría es una invitación para los ciberdelincuentes y una amenaza para la estabilidad del sistema”, afirmó.
Los riesgos van más allá de lo técnico. Explicó que lo que está en juego es la confianza pública, la estabilidad del sistema financiero y la continuidad de servicios críticos como pensiones y subsidios sociales. Además, las brechas de seguridad pueden derivar en sanciones millonarias, pérdida de reputación y, en casos extremos, la revocación de licencias.
Casos emblemáticos
Ejemplos recientes demuestran la gravedad del problema. En octubre de 2024, Interbank sufrió una filtración masiva de 3.7 terabytes de datos sensibles, incluyendo información de tarjetas con códigos de seguridad. El incidente, vinculado a fallas en un proveedor externo, dejó en evidencia que los riesgos ya no se limitan al perímetro interno de las instituciones.
El BCP, por su parte, enfrentó dos incidentes graves en seis años. El último, en 2024, resultó en una multa de 40 UIT impuesta por la Autoridad Nacional de Protección de Datos. Mientras tanto, el Banco de la Nación registró un acceso indebido a información de 60,000 beneficiarios de programas sociales debido a la falta de autenticación multifactor.
Problema estructural
¿Por qué persisten estas vulnerabilidades? Novoa identifica fallas estructurales: presupuestos insuficientes falta de estándares internacionales y una supervisión regulatoria que aún opera de manera reactiva.
“La gobernanza es débil, con pocas entidades contando con comités de ciberseguridad a nivel directivo. La inversión en seguridad es alarmantemente baja, destinándose en promedio menos del 3 % del presupuesto de TI, frente al 5-10 % recomendado globalmente”, advirtió.
La supervisión, liderada por la Superintendencia de Banca, Seguros y AFP (SBS), sigue siendo reactiva, sin una arquitectura en tiempo real basada en inteligencia artificial, añadió.
Por último, la percepción de la ciberseguridad como un problema exclusivo de TI, en lugar de una prioridad de negocio, refleja una cultura organizacional limitada.
Pese a este panorama, existen oportunidades. Instituciones que han adoptado marcos como NIST-CSF o Zero Trust no solo reducen riesgos, sino que ganan ventaja competitiva.
“La seguridad bien gestionada atrae inversión, mejora la reputación y genera confianza. Es, además, un imperativo ético cuando se trata de proteger los datos de los usuarios más vulnerables”, sostuvo.
Desafíos y oportunidades
El futuro plantea desafíos aún mayores. Amenazas como el ransomware de doble extorsión, los deepfakes para suplantación y los ataques a cadenas de suministro requieren acciones inmediatas. Entre las soluciones, el experto propone comités de ciberseguridad a nivel de directorio, CISOs con autonomía y mayor colaboración entre el sector privado y los reguladores.
Para Novoa, el Perú tiene ante sí la oportunidad de construir un sistema financiero digitalmente resiliente. “En 2030, el éxito no se medirá solo por el crecimiento, sino por la capacidad de innovar sin poner en riesgo a los usuarios. La ciberseguridad debe dejar de ser un gasto para convertirse en una prioridad estratégica”, concluyó.
El mensaje es claro: sin un salto cualitativo en protección digital, los avances en inclusión financiera podrían verse comprometidos. El tiempo de actuar es ahora.
