Este reportaje denuncia la grave crisis de ciberseguridad en el Estado peruano, evidenciada por el reciente colapso informático en Essalud y la filtración de datos de casi 4 millones de usuarios. La negligencia de altos funcionarios, la falta de preparación de los CISO y la impunidad reinante exponen al país a riesgos críticos. Pese a existir normas claras, no hay sancionados ni responsables. Se cuestiona el rol ausente de la Autoridad Nacional de Protección de Datos y se exige una urgente depuración en las áreas de seguridad digital del Estado para evitar mayores catástrofes y proteger los datos de los ciudadanos.
“CISOs del Ocho: Cuando la ciberseguridad del Estado queda en manos de la improvisación”
La nota elaborada en nuestra redacción recoge hechos recientes, llamando a la reflexión nacional sobre la grave situación de ciberseguridad en el Estado peruano.
(americasistemas.com.pe. Lima, Perú – 04 de junio 2025) Hace apenas unas semanas, América Sistemas advirtió sobre la preocupante precariedad técnica de los responsables de ciberseguridad en el Estado peruano, en una nota que parodiaba su rol llamándolos los “CISOs del Ocho” (ver aquí). Lamentablemente, la realidad ha confirmado con creces dicha alerta.
El reciente escándalo en Essalud es la muestra más clara y dolorosa de esta tragedia anunciada. Hace apenas unos días, todos los sistemas informáticos de la institución colapsaron: correo electrónico, sistemas de asistencia, firma digital, interconexiones médicas y hasta la mesa de partes quedaron fuera de servicio. ¿La razón? El firewall central —un chasis Fortinet que maneja reglas de seguridad, conectividad y VPN— simplemente dejó de operar.
La situación no fue un accidente, fue una negligencia calculada. Desde septiembre de 2024 se sabía que las licencias de ciberseguridad debían renovarse. Sin embargo, ni el entonces gerente general Ricardo Ramírez Moreno, ni el CISO a cargo, y quien ocasionó este desbarajuste Frank Guzman Castillo, ellos no movieron un dedo para garantizar esa continuidad. Se esperó hasta que Fortinet suspendiera el servicio tras cinco meses de licencias gratuitas mientras la contratación pública naufragaba en la burocracia de OSCE.
Pero eso no es todo. América Sistemas ha conocido, a través de fuentes internas, que existen profundas fricciones y descoordinación entre los responsables de la ciberseguridad en Essalud, lo que agrava aún más la crisis. Los gerentes generales entran y salen sin establecer liderazgo ni continuidad, y las áreas técnicas operan sin dirección clara ni objetivos comunes. La falta de orden y cohesión entre los propios funcionarios ha sido también una causa directa de este colapso institucional.
El resultado fue desastroso: la exposición masiva de los sistemas sin ninguna regla de seguridad, una ventana abierta al crimen digital. Más grave aún, al mediodía de ese mismo día, se liberó el acceso a internet sin filtros ni reglas, dejando vulnerables millones de datos personales y exponiendo al país entero a ciberataques.
Horas después, se confirmó el peor escenario: el actor «injectioninferno2» filtró una base de datos con 3,999,149 registros de afiliados a Essalud, incluyendo nombres, direcciones, correos, DNIs, RUCs, datos médicos y de facturación. La exposición afecta no solo a ciudadanos comunes, sino a miles de profesionales del sistema de salud.
¿Y si mañana el ataque fuera al sistema judicial?
Este caso debe servir como campanazo de alerta nacional. Hoy fue Essalud, pero ¿qué pasaría si el próximo ataque cibernético afectara al sistema judicial penal del país?
Imaginemos por un momento que un actor malicioso accede, manipula o borra expedientes penales en curso, incluyendo investigaciones por corrupción, narcotráfico, violencia de género o crimen organizado. Bastaría una alteración mínima en una evidencia digital, un fallo deliberado en la cadena de custodia o la desaparición de un archivo clave para que centenares de casos se caigan legalmente.
Los criminales quedarían libres, las víctimas sin justicia, y la confianza ciudadana en el Estado quedaría destruida. En tiempos donde muchos juicios se tramitan de forma electrónica, los riesgos no son hipotéticos, son inminentes.
Y como ya se ha visto: no hay responsables, no hay sanciones, y la Autoridad de Datos Personales guarda silencio.
Impunidad institucionalizada
Esta crisis no solo revela incompetencia, sino una cultura de impunidad rampante. A pesar de que existe una legislación clara que sanciona estos hechos —como la Ley de Protección de Datos Personales y el marco normativo de ciberseguridad del Estado—, hasta hoy no se conoce un solo funcionario sancionado, multado ni menos judicializado.
La Autoridad Nacional de Protección de Datos Personales, ente adscrito al Ministerio de Justicia y liderado por Eduardo Luna Cervantes, ha brillado por su ausencia cómplice. Sus funcionarios, percibiendo salarios generosos, han guardado silencio ante una de las filtraciones más graves en la historia del país.
Un Estado hackeado por su propia indolencia
No se trata de un caso aislado. Las áreas de ciberseguridad del Estado peruano están —como señalan expertos— “con metástasis”. La improvisación, el desconocimiento técnico y la falta de ética profesional son moneda corriente. Y el caso Essalud no hace más que destapar la podredumbre estructural.
Preguntamos con justa indignación: ¿El CISO de Essalud sabe cómo acceder a un servidor de seguridad nacional? ¿Conoce cómo evitar interferencias entre sitios web? ¿Detecta ataques de denegación de servicios, fallos en bases de datos, transacciones comprometidas o posibles secuestros de información?
La pregunta de fondo
¿Cómo vamos a avanzar en transformación digital, interoperabilidad estatal o protección de datos si seguimos entregando responsabilidades críticas a profesionales que no cumplen ni con lo básico? ¿Dónde están los filtros técnicos, los concursos de méritos y la voluntad de sancionar?
El Estado no puede seguir funcionando con profesionales que aprenden en el camino, mientras el país entero paga las consecuencias. El sistema está comprometido, y si no se toman acciones firmes, el siguiente escándalo será peor.
Es tiempo de exigir responsabilidades claras, sanciones reales y una depuración urgente en las áreas críticas de ciberseguridad del Estado peruano. Ya no basta con informes, auditorías o declaraciones. Se necesitan acciones y responsables con nombre propio.
2 respuestas
Espero que te pronuncies sobre la «corrupción» en el aeropuerto. Como siempre se pronuncian en este medio pero al final todo queda en nada y los corruptos hacen lo que quieren, el Colegio de Ingenieros y otros colegios profesionales no hacen nada y solo cobran «mensualidades»
El sistema de control esta hecho para que se genere parálisis y no haya respuesta, este es un caso.
El tema no son sanciones, ni aprender en el camino, crees que ESSALUD puede pagar un CISO de verdad?, ahi viene la frase «obtienes lo que pagas», claramente un buen CISO no trabajará en ESSALUD por las responsabilidades y las posibles sanciones que se tienen, prefiere mil veces trabajar en el privado, en donde a lo mucho lo botan (no lo enjuician y lo empapelan y tiene que pasarse años gastando en abogados defendiéndose)
parece que tienes una obsesion por las sanciones, como si con eso se solucionará el tema, lo unico que hara es desincentivar que buenos profesionales tomen los retos.