En Perú, dos organismos asumen la responsabilidad principal en las iniciativas vinculadas con la seguridad y delitos cibernéticos. El PeCERT, el equipo de respuesta a incidentes de seguridad cibernéticos (CSIRT) peruano, se fundó en 2009 y es la principal entidad responsable de los asuntos relacionados con la seguridad cibernética en Perú, incluidas la prevención y gestión de incidentes. La investigación de los delitos cibernéticos y las responsabilidades correspondientes le competen fundamentalmente a la División de Investigación de Alta Tecnología (DIVINDAT), comprendida en la Dirección de Investigación Criminal (DIRINCRI) de la Policía Nacional del Perú (PNP).
Si bien el PeCERT es un CSIRT operativo con responsabilidades a nivel nacional, en la actualidad se encuentra abocado a la tarea de revisar y actualizar sus mecanismos, procedimientos y políticas en materia de respuesta ante incidentes.
Perú no posee una estrategia o política nacional oficial de seguridad cibernética, pero actualmente trabaja en su elaboración.
Tanto la DIVINDAT como el PeCERT capacitan intensamente a su personal con el fin de que desarrolle y mantenga la capacidad requerida para desempeñar sus funciones básicas. La DIVINDAT, por ejemplo, informa que lleva a cabo regularmente talleres orientados a actualizar los conocimientos y las habilidades de su personal en lo que respecta al uso eficiente de herramientas de análisis forense digital. Si bien se informó que en Perú existen instituciones académicas que ofrecen programas de
grado con especializaciones en seguridad cibernética y delito cibernético, no se brindó información acerca de si los funcionarios gubernamentales accedían a esas oportunidades de formación.
En lo que atañe al aspecto legislativo, la reciente aprobación de tres leyes –la Ley que Incorpora los Delitos Cibernéticos al Código Penal (Ley 27309), la Ley de Protección de Datos Personales (Ley 29733) y la Ley de Delitos Cibernéticos (Ley 30096)– ha fortalecido el marco jurídico con que cuenta el país para promover la seguridad cibernética y combatir el delito cibernético. Se encuentran en estudio otras modificaciones de leyes en vigor.
Las entidades del sector privado no tienen obligación de denunciar incidentes cibernéticos ante las autoridades nacionales competentes. No obstante, el PeCERT ha iniciado conversaciones orientadas a aumentar la colaboración con el sector privado, en particular con ISP (proveedores de servicios de Internet) y bancos. Esta iniciativa obedece, en parte, al reconocimiento de que las empresas privadas suelen contar con mayor capacidad para detectar tráfico inusual y ataques, así como con sistemas de gestión de la seguridad más consolidados, y serían, por ese motivo, socios de inmenso valor en la labor de asegurar la infraestructura nacional.
La colaboración y el intercambio de información con autoridades nacionales competentes de otros países ha sido algo limitada; este es un aspecto que se mencionó como una de las áreas en las que deberán implementarse nuevas medidas en el futuro.
Tanto el PeCERT como la DIVINDAT indicaron que se encuentran activamente abocados a mejorar la seguridad de la población a la que atienden, así como a incrementar su capacidad de recuperación y resiliencia. Esas iniciativas consisten en una combinación de medidas preventivas y reactivas. En lo correspondiente a la prevención, se asignó prioridad fundamental a las campañas educativas y de concientización internas y externas. Las campañas de concientización internas conducidas dentro de las propias instituciones incluyeron una variedad de actividades orientadas a lograr que los usuarios comprendan conceptos que no siempre se asocian con la seguridad cibernética pero que son clave para que exista, como por ejemplo la seguridad física, seguridad lógica y la seguridad humana. Respecto de las actividades de concientización externas, se llevaron a cabo campañas en los medios de comunicación, y se efectuaron actividades de difusión de información y educación en entidades del sector privado como bancos, servicios de procesamiento de pagos y otras entidades empresariales y comerciales. También se dirigieron campañas de concientización a la ciudadanía en general en las que se enfatizaba la adopción de buenas prácticas básicas para reducir la vulnerabilidad y proteger la propia identidad y los datos personales al usar Internet y las TIC (tecnologías de la Información y la Comunicación).
La DIVINDAT solicita la ayuda de entidades extranjeras toda vez que es apropiado. Asimismo, mantiene relaciones activas de cooperación con ONG nacionales e internacionales dedicadas a la lucha contra los delitos cibernéticos y otros actos ilícitos que involucren el uso de TIC (trata de personas, prostitución, pornografía, tráfico de órganos, etc.) y apoya sus iniciativas.
El PeCERT y la DIVINDAT señalaron la existencia de diversos impedimentos que deberán superarse con el fin de mejorar la posición del país en materia de seguridad cibernética y mejorar su capacidad para combatir el delito cibernético. Los obstáculos relativos al acceso a la información recibieron particular atención, entre ellos la dificultad de obtener datos de los ISP u otros proveedores de servicios de manera oportuna. También se indicaron como impedimentos clave la insuficiencia de recursos y la falta de voluntad de compartir información y cooperar por parte de otras instituciones gubernamentales y privadas. Los datos oficiales muestran que en 2013 se registró un incremento de alrededor de 30% en la cantidad de incidentes cibernéticos denunciados ante autoridades nacionales e identifican al sector empresarial, el académico, el de las telecomunicaciones y el policial como los sectores más afectados de la población, entre otras instituciones del sector público.
En 2013, se denunció una amplia variedad de delitos ante las autoridades; los más comunes fueron: clonación de tarjetas de crédito, suplantación de identidad, amenazas por correo electrónico, intrusión mediante hackeo o crackeo, acceso no autorizado a bases de datos, extorsión por Internet, chantaje sexual, operaciones financieras fraudulentas, pornografía infantil y piratería de software. Las técnicas empleadas para perpetrar esas actividades fueron tan variadas como los actos delictivos e incluyeron:
intrusiones en puntos de venta (PoS), ingeniería social, pharming (estafa a través de ingeniería social y sitios fraudulentos), phishing (suplantación de identidad) y malware (programas maliciosos).
La DIVINDAT informó que en 2013 se registraron varios incidentes de impacto relativamente alto, a los cuales lograron responder con eficacia: la división identificó, localizó y aprehendió a los culpables y los entregó a las autoridades judiciales competentes. En un caso, el presidente de una institución estatal recibía mensajes de correo electrónico amenazantes y difamatorios. Mediante la aplicación de técnicas forenses, el personal de la DIVINDAT logró determinar el origen de los mensajes de correo electrónico e identificar el remitente; a continuación, notificó a sus colegas de la Policía Nacional con el fin de iniciar el procesamiento penal del infractor. El PeCERT, en otro caso, respondió con éxito a un ataque (vandalismo) contra el portal web de la Presidencia de la Nación: obtuvo acceso a la información pertinente, la analizó y adoptó las medidas necesarias para restaurar su integridad.