Minería, bancos y universidades lideran la lista de sectores con mayor fuga de datos en la Dark Web de Perú

El 30 de octubre de 2024, Interbank vivió uno de los episodios más graves de filtración de datos en la historia reciente del sistema financiero peruano. Ese día, sus plataformas —incluyendo su app móvil y la billetera digital Plin— colapsaron. Lo que al principio parecía una falla técnica, pronto se reveló como un acceso no autorizado que expuso una masiva cantidad de datos de millones de clientes.  

Horas después, un usuario bajo el pseudónimo “kzoldiyck” —más tarde “m0riarty”— publicó en la red social Telegram y en un foro de la Dark Web una supuesta base de datos de 3.7 terabytes con datos sensibles de aproximadamente 3 millones de usuarios, que incluían nombres, fechas de nacimiento, direcciones, correos, teléfonos, datos de tarjetas, contraseñas y otros detalles.  

PUEDES VER: Indecopi confirma sanción de S/239.680 a Interbank por falla que mostró sin saldo cuentas de ahorros de clientes

Mientras que la Superintendencia de Banca, Seguros y AFP (SBS) inició un proceso de supervisión en las oficinas del banco, el Ministerio Público —vía su Fiscalía Especializada en Ciberdelincuencia— abrió una investigación preliminar por el presunto delito informático contra los datos y sistemas informáticos en la modalidad de acceso ilícito.  

Los sectores más golpeados por la filtración de datos

En noviembre de este año, Soluciones Virtuales Perú publicó su estudio Análisis profundo no invasivo de exposición de datos y monitorización de la Dark Web, en el que tras evaluar a 240 empresas nacionales revela que casi todos los sectores estratégicos del país están constantemente expuestos a filtraciones por parte de ciberdelincuentes; sin embargo, algunas áreas están más comprometidas. Minería (25%), Banca y Seguros (20.9%) y Educación (18%)–universidades y colegios–, concentran la mayor cantidad de fuga de datos.

Producto de ello, Julio estuvo a punto de convertirse en víctima de fraude. En agosto de este año, recibió una llamada que, en apariencia, venía del Banco Interbank. En la pantalla de su celular figuraba el número de la entidad financiera y, tras contestar, una supuesta asesora le advirtió que su tarjeta se estaba usando en compras no autorizadas y quería saber si él las estaba ejecutando.

La presunta operadora le indicó que recibiría un código por mensaje de texto para bloquear su tarjeta. Fue entonces cuando notó el engaño. “Cuando me llegó el mensaje decía código de compra. Ahí me di cuenta que era una estafa y colgué la llamada”, recordó. Aunque su aplicación identificaba al número como del Interbank, luego advirtió que no tenía el código 01 con el que suelen empezar las llamadas oficiales del banco.

Tras colgar, Julio bloqueó de inmediato sus tarjetas de débito y crédito. La entidad le confirmó luego que no se habían registrado compras irregulares y que iniciarían una investigación al respecto. Aunque se salvó del fraude, quedó con la certeza inquietante de que alguien tenía acceso a información suficiente sobre él y su propio banco.

Su caso es solo un ejemplo de cómo los delincuentes pueden usar la información personal de clientes y trabajadores de entidades, pero ¿cómo la obtienen? Hace tres meses, un colegio de Surco, que prefirió mantener su identidad en reserva, contrató a una empresa para organizar el viaje de promoción de los escolares del quinto de secundaria.

Como parte del trámite, padres y alumnos llenaron un formulario en línea con nombres, apellidos, edades, teléfonos, direcciones físicas e incluso fotografías. Por descuido del proveedor, la información quedó expuesta en la web sin ningún tipo de seguridad y fue aprovechada por ciberdelincuentes que la descargaron y la ofertaron en la Dark Web, según pudo detectarlo Soluciones Virtuales.

Un hecho similar ocurrió a inicios de noviembre, cuando el usuario “juliusdeane” puso a la venta un paquete con más de 8.400 evaluaciones psicológicas de estudiantes de la Universidad de Lima en un foro de la web oscura. En conversación con La República, Jorge Román Deacon, director de Tecnologías Cloud y Ciberseguridad de Soluciones Virtuales Perú, señaló que la filtración de datos muchas veces no responde únicamente a ataques externos, sino también a fallas internas, sobre todo, en la cadena de suministro digital.

“Un banco puede tener cubiertos muy bien sus sistemas, pero su proveedor no y ahí es donde se filtra la información porque los bancos comparten información con los call centers, con diferentes empresas y estas manejan información de clientes que es crítica”, advirtió.

El especialista también alertó que los ataques actuales han alcanzado un nivel de sofisticación sin precedentes debido al uso de la inteligencia artificial, que los sistemas de seguridad de las empresas no pueden detener con facilidad. “Muchas empresas todavía se defienden con sistemas tradicionales basados en firmas de malware, pero los nuevos códigos maliciosos se autoescriben y cambian en minutos. Por eso atraviesan las barreras de defensa con mucha facilidad”, señaló.

Ello le pasó a una minera en agosto debido a una vulnerabilidad en el sistema de gestión de operaciones que usaban. “Este software no tiene los controles. Hay un término que se llama el análisis de código fuente, que es el SAST, Análisis de Código Estático (…). Cuando no se hace esto y el software crece muy rápido, se generan brechas de seguridad”, explicó Deacon.

Los "hackers" explotaron esa falla y lograron acceder directamente a la base de datos. El programa almacenaba información de operaciones mineras, pero también datos del personal y de proveedores de varias empresas que trabajaban con esta. Aunque el ataque ocurrió en Lima, el alcance llegó a otras partes de Latinoamérica debido al tamaño de la compañía.  

Información personal, médica y financiera de miles de peruanos es subastada en la Dark Web

El informe también revela que durante el tiempo del estudio –entre abril y septiembre de 2025–, se filtró información personal, médica y financiera hacia la Dark Web, a través de foros de piratería, mercados clandestinos, canales IRC, sitios web de pegado y otros espacios donde los ciberdelincuentes suelen intercambiar o publicitar datos robados. Asimismo, se expusieron contraseñas de correo electrónico, datos médicos, tarjetas de crédito, datos biométricos, estados financieros, tokens de autenticación e información detallada y privada de trabajadores.

“Es gravísimo, esa información debería estar protegida por la Autoridad de Datos Personales. Al tener todas estas informaciones se generan ataques sistemáticos, como los conocidos como BEC. Pueden saber quienes trabajan en tal empresa, quién es el jefe de tal persona y enviar correos simulando ser el gerente para poder extraer cierta información confidencial o hacer que se hagan transferencias no autorizadas, que son muy exitosas a nivel mundial”, enfatizó Román Deacon.

Según el director del estudio, desde hace varios años se viene exponiendo información confidencial y el nivel de detalle que alcanzan estos registros permite a las redes criminales construir perfiles completos de las víctimas. Al menos 1 millón 46.785 datos médicos, personales y financieros de peruanos ya se encuentran en páginas ilegales. Para Deacon, ello es aprovechado por los delincuentes para cometer fraudes, extorsión e incluso tráfico de órganos.

“Definitivamente, esa información, o ya se utilizó o se va a utilizar para futuros ataques porque ya se encuentra en estos foros clandestinos, en la Dark Web, con nombre y clasificado, como Combi List, o con el nombre de la cadena de suministro del servicio que agrupa toda esta información”, explicó.

Ningún rubro se salva de la fuga de informaciones, ni siquiera el Gobierno peruano, que figura como el quinto sector con más afectado, con 81.123 datos expuestos hacia la red oscura del internet. “Las entidades más emblemáticas del Gobierno tienen brechas severas que deberían ser corregidas ya auditadas”, agregó.

El caso mediático más reciente ocurrió en septiembre en la Dirección de Inteligencia de la Policía Nacional del Perú (DIRIN-PNP), cuando el grupo denominado DefacePeru accedió a las bases de datos internas de esta unidad especializada y difundió información considerada altamente sensible. Identidades de agentes, números CIP, cargos, registros de sedes, bases de datos clasificadas, documentos oficiales, reportes internos, así como credenciales y comunicaciones institucionales se filtraron hacia sitios web ilegales.

¡Sigue a La República en WhatsApp! Únete a nuestro canal desde tu celular y recibe las noticias más importantes de Perú y el mundo en tiempo real.