Las filtraciones de datos en Perú, como el caso de Wina registrados en enero de 2023, evidencian un problema que va más allá de la exposición inicial: alimentan un ecosistema de fraude digital cada vez más sofisticado. Aunque las empresas y plataformas públicas y privadas enfrentan públicamente estos incidentes con comunicados y reforzando seguridad, el daño real ocurre después, en silencio, cuando los datos filtrados se utilizan para ataques dirigidos.
Eliana Puente, Business Development Manager de Sendmarc para Latinoamérica, explica que tras una filtración, los datos se validan, cruzan con otras bases y se emplean en campañas de fraude altamente personalizadas y coherentes. Estos ataques, que evolucionaron del spam genérico a mensajes específicos y convincentes, se basan en información verdadera para engañar a los usuarios y reducir su capacidad de detección.
El modus operandi más utilizado sigue siendo el correo electrónico, el canal de comunicación más confiable para los usuarios. Cuando una empresa no protege adecuadamente su dominio con políticas de autenticación como SPF, DKIM o DMARC, los atacantes pueden enviar correos que aparentan ser legítimos, llegando a las bandejas de entrada con diseños y nombres similares a los oficiales.
El reporte de Sendmarc para 2025 revela que el 91% de los ciberataques comienza con un correo electrónico y que el 68% involucra errores humanos, no por descuido, sino por vulnerabilidades técnicas. Estas vulnerabilidades permiten la suplantación de identidad, fraudes financieros, toma de control de cuentas y extorsiones, que generan daño acumulativo en las víctimas.
Para las empresas, la exposición es doble: no solo arriesgan su reputación, sino que también enfrentan posibles consecuencias legales y regulatorias. La falta de protección en dominios de correo, mediante protocolos como SPF, DKIM y DMARC, favorece que terceros envíen mensajes fraudulentos en nombre de la marca. Grandes proveedores como Google, Yahoo y Microsoft exigen la implementación de DMARC para evitar estos riesgos.
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un sistema que verifica la autenticidad de los correos y define acciones ante intentos de suplantación. Cuando no se configura correctamente, las empresas pierden control tanto sobre quién envía mensajes en su nombre como sobre la entrega de correos legítimos, afectando operaciones y confianza.
Desde Sendmarc advierten que no tener esta protección convierte a la organización en una identidad vulnerable, poniendo en riesgo a sus clientes y a su propia reputación digital. La pregunta que enfrentan las empresas en Perú es si realmente conocen su nivel de exposición y protección en el ámbito del correo electrónico.
Mientras se siga considerando una filtración de datos como un incidente aislado, y no como el inicio de una cadena de fraudes, el peligro continuará en aumento. El riesgo ya no está solo en los servidores, sino en las bandejas de entrada, donde los ataques se convierten en una amenaza constante para usuarios y organizaciones.
Fuente: <a href='https://www.infobae.com/peru/2026/02/06/la-filtracion-es-solo-el-inicio-como-los-datos-personales-expuestos-en-peru-alimentan-el-fraude-digital/'>Infobae</a>
