Solicita una demo
Infraestructura en la nubeCiberseguridad para EndpointWeb Application Firewall (WAF)Antispam en la NubeCorreos en la NubeAutenticador del dominioFiltros WebGestión de VulnerabilidadesSecure Sockets Layer (SSL)Soluciones de VPNBackup para Microsoft 365Backup para Google WorkspaceGestión de TISoluciones de RMMAntivirus para EmpresasSoftware de Escritorio Remoto
XcitiumXecuraDmarc Protect
🛡Ciberamenazas

Phishing en Perú 2026: cómo proteger a tu empresa del fraude del CEO y BEC

👤Por Equipo Inforland
📅24 de mayo de 2026
🕐6 min de lectura

Análisis del phishing en Perú durante 2026: tipos más comunes, casos reales de Business Email Compromise (BEC) y guía práctica para proteger a tu empresa con tecnología y capacitación.

"La mejor protección es la que actúa antes de que la amenaza logre ejecutarse. Eso es exactamente lo que hace Xcitium."

🔒
Seguridad Empresarial
Ciberamenazas
Protección 24/7

Ransomware: la amenaza número 1 en Perú

El ransomware moderno cifra tus archivos en minutos y exige rescate en criptomonedas. En 2025, los ataques a empresas peruanas se duplicaron respecto al año anterior. La pregunta ya no es si te van a atacar, sino cuándo — y si estarás preparado.

$480K

Costo promedio de rescate en Perú 2025

72h

Tiempo promedio de downtime post-ataque

El phishing dejó hace mucho de ser correos genéricos con mala ortografía pidiéndote actualizar tu cuenta de banco. En 2026, las empresas peruanas enfrentan campañas dirigidas, profesionales, en perfecto español de Lima, con conocimiento específico de tu organización y tu equipo.

Y los números asustan: según data de la Asociación de Bancos del Perú, durante 2025 las pérdidas por fraude del CEO (BEC) en el país superaron US$ 38 millones, con un crecimiento del 240% año contra año.

En este artículo te explicamos qué tipos de phishing están atacando hoy a empresas peruanas, qué controles funcionan en la práctica y por qué la concienciación sola NO alcanza.

Los 5 tipos de phishing que atacan a empresas peruanas

1. BEC / Fraude del CEO

El más caro y dirigido. Funciona así:

  1. Atacantes investigan tu empresa en LinkedIn, web, redes sociales
  2. Identifican al CEO/Gerente General y al área de Finanzas
  3. Suplantan el correo del CEO (vía dominio parecido o explotando ausencia de DMARC)
  4. Mandan correos a Finanzas diciendo:

    "Estoy en una reunión confidencial, necesito que transfieras urgentemente US$ 280,000 a esta cuenta. No me llames, solo confírmame por correo cuando esté hecho. Esto es confidencial."

El truco psicológico: urgencia + autoridad + confidencialidad. Tres palancas que neutralizan el pensamiento crítico.

Casos en Perú 2026:

  • Empresa minera mediana: US$ 480,000 transferidos en 2 horas
  • Universidad privada: US$ 110,000 (recuperaron US$ 30,000)
  • Distribuidora: US$ 290,000 (NO recuperaron)

2. Vendor Email Compromise

Variante del anterior pero más sofisticada. Los atacantes:

  1. Comprometen primero el correo de UN PROVEEDOR tuyo
  2. Esperan hasta que les mandes un PO (orden de compra) genuina
  3. Responden desde el correo legítimo del proveedor pero con datos modificados:

    "Atención: cambiamos número de cuenta bancaria por motivos contables. Te adjunto el nuevo CCI para la transferencia"

Por qué es devastador: el correo viene del proveedor REAL, con su firma real, en respuesta a TU correo real. Detectarlo requiere validación fuera de canal (llamada telefónica al contacto conocido).

3. Phishing de credenciales corporativas

Correos que imitan login de Microsoft 365 / Google Workspace / sistemas internos:

  • "Tu contraseña expira hoy, renuévala aquí"
  • "Tienes 3 mensajes en cuarentena, revisa el portal"
  • "Alguien intentó acceder a tu cuenta, verifica"

El usuario hace click → entra a una página falsa idéntica al login real → ingresa credenciales → los atacantes obtienen acceso a su correo.

A partir de ahí: pueden hacer BEC interno, exfiltrar datos, infectar a otros, o pivotar al ransomware.

4. Smishing (SMS phishing)

Cada vez más usado contra ejecutivos peruanos:

  • "Su tarjeta empresarial fue bloqueada, llame al 0800-XXXX"
  • "Alerta de SUNAT: notificación pendiente, ingrese aquí"
  • "Su paquete está retenido, pague S/. 5.80 aduana"

Los celulares corporativos casi siempre tienen acceso al correo corporativo. Comprometer el celular = comprometer el correo.

5. Phishing en redes sociales

WhatsApp y LinkedIn cada vez más usados:

  • "Hola, soy de Recursos Humanos, necesitamos verificar tu información para nóminas"
  • Mensajes desde cuentas de LinkedIn que parecen contactos reales
  • Solicitudes de conexión seguidas de oferta de "trabajo confidencial" con archivo malicioso

Por qué la capacitación al usuario NO alcanza

Vas a leer en todos lados que "la concienciación del usuario es la principal defensa". Es mentira parcial.

La capacitación AYUDA — reduce el clickthrough de phishing del 25% al 5%, en promedio. Pero ese 5% restante:

  • No es cero. Cualquier usuario, cualquier día, en un mal momento, puede caer.
  • Es suficiente para un ataque exitoso. Un solo click puede comprometer una empresa entera.
  • No te protege del BEC. El BEC dirigido al CFO/CEO no se neutraliza con capacitación porque los ataques son muy plausibles.

Por eso necesitas una defensa en capas técnicas + humanas. No solo capacitación.

Tipos de phishing que atacan empresas peruanas en 2026

Las 8 capas de defensa contra phishing

Capa 1 — DMARC en p=reject

Lo cubrimos en detalle en este artículo sobre DMARC. Esto SOLO ya bloquea ~60% del BEC porque impide que suplanten exactamente tu dominio.

Capa 2 — Antispam avanzado con análisis de contenido

No el antispam que viene gratis con Microsoft 365 o Google. Algo como Xecura Antispam que analiza:

  • Reputación del remitente (sandboxing real-time)
  • Contenido del correo con IA (detección de urgencia/autoridad)
  • URLs en el correo (URL rewriting + sandbox del destino)
  • Adjuntos en contenedores aislados

Capa 3 — MFA en TODO

Si caen las credenciales pero hay MFA, no entran. Es la inversión con mejor ROI en ciberseguridad. OBLIGATORIO en:

  • Correo (Microsoft 365, Google Workspace, etc.)
  • VPN
  • RDP
  • Aplicaciones críticas (ERP, CRM, banca empresarial)

Capa 4 — Filtros web / DNS filtering

Si un usuario hace click en un link de phishing, bloquear el dominio destino antes de que cargue. Es el último guardrail antes de que ingrese credenciales. Filtros web gestionados.

Capa 5 — EDR / Antivirus de nueva generación

Si el correo contiene un adjunto malicioso y el usuario lo abre, el EDR detecta el comportamiento sospechoso y aísla el equipo. Xcitium / Antivirus empresarial.

Capa 6 — Proceso de validación de pagos fuera de canal

Política operativa: CUALQUIER cambio de cuenta bancaria de proveedor o transferencia mayor a [umbral] requiere llamada telefónica al contacto conocido. Sin excepción, sin urgencias.

Esto es un cambio de proceso, no tecnología, pero es el control más efectivo contra BEC.

Capa 7 — Capacitación + simulación de phishing

Capacitación trimestral con phishing simulado interno. Quienes caen reciben mini-training adicional. Quienes reportan correctamente, reciben reconocimiento.

Capa 8 — Plan de respuesta a incidentes

Si ocurre, velocidad = todo. Tener documentado: quién toma decisiones, a quién llamar, qué se desconecta, cómo se contacta al banco para recall de transferencias.

Cuando ya pasó: las primeras 24 horas son críticas

Si tu empresa fue víctima de BEC:

Hora 0-2 (CRÍTICO):

  • Llamar al banco INMEDIATAMENTE — algunas transferencias se pueden anular si actúas en minutos
  • Si fue SWIFT internacional: contactar al banco receptor por canales oficiales solicitando hold
  • Cambiar contraseñas de TODOS los usuarios involucrados

Hora 2-12:

  • Notificar al equipo de respuesta a incidentes (interno o externo como nosotros)
  • Reportar a la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) - PNP
  • Reportar al INDECOPI si hay datos personales involucrados

Hora 12-48:

  • Análisis forense del correo comprometido (cómo entraron)
  • Auditoría de qué otros correos pudieron leer
  • Notificación a clientes/proveedores afectados según corresponda
  • Reporte interno al directorio

Semana 2-4:

  • Implementación de los controles que faltaban
  • Capacitación reforzada al equipo
  • Cierre formal del incidente con reporte ejecutivo

Conclusión

El phishing — especialmente el BEC — es la amenaza con peor ROI defensivo que enfrentan las empresas peruanas en 2026. Pequeñas inversiones (DMARC + MFA + antispam decente) bloquean el 90% de los ataques. No invertir cuesta órdenes de magnitud más cuando pasa.

Si tu empresa nunca hizo una evaluación específica de phishing/BEC, te recomendamos hacerla. Es una de las auditorías más rápidas y de mayor impacto.

También te puede interesar

31 de mayo de 2026

Top 5 ransomware que atacaron empresas peruanas en 2026

Análisis de los 5 grupos de ransomware más activos contra empresas peruanas en 2026: LockBit, BlackCat, Akira, Play y RansomHub. Tácticas, víctimas conocidas y cómo protegerte.

Leer artículo →
29 de mayo de 2026

¿Qué es DMARC y por qué tu empresa lo necesita en 2026?

DMARC, SPF y DKIM explicados sin jerga técnica. Aprende cómo proteger el dominio de tu empresa contra suplantación de correo (spoofing) y phishing dirigido.

Leer artículo →
1 de junio de 2026

¿Qué es Xcitium? Guía completa del antivirus empresarial de 7 capas

Conoce Xcitium, el antivirus empresarial con 7 capas de seguridad antimalware, RMM integrado y gestión remota de TI. Guía completa con beneficios, casos de uso y precios para empresas en Perú.

Leer artículo →
Ver todas las noticias →