El Estado peruano ha sido víctima de una grave vulneración de sus sistemas financieros. A través del vishing –un tipo de estafa telefónica que suplanta identidades– los ciberdelincuentes lograron sustraer más de S/4 millones de las cuentas del Instituto Nacional de Estadística e Informática (INEI) y de la Fuerza Aérea Peruana (FAP).
Newsletter exclusivo para suscriptores
Ambos robos se llevaron a cabo luego de obtener, mediante engaños, códigos de verificación enviados a los teléfonos celulares de los funcionarios encargados de administrar las cuentas institucionales. Los casos han sido investigados por la Dirección de Investigación Criminal (Dirincri) de la Policía Nacional.
Debido a los componentes virtuales de la estafa, también intervino la División de Delitos de Alta Tecnología. Según conoció , los delincuentes contactaron a los encargados de las áreas de tesorería y administración de las entidades, utilizando nombres reales de trabajadores del Banco de la Nación. Además, simularon que la llamada provenía del número telefónico de la sede de esa institución financiera. Los delincuentes denunciaron presuntos movimientos irregulares para inducir a los funcionarios a entregar códigos.
—Golpe millonario al INEI—
La mañana del 4 de agosto, un funcionario del INEI recibió una llamada de un presunto trabajador del Banco de la Nación. Le informó que la plataforma bancaria fue “hackeada” y que era necesario bloquear las cuentas a través de los dos titulares firmantes.
El estafador logró que uno de ellos le entregara un código enviado a su celular. Entonces, un funcionario de Hacienda, al notar la insistencia del interlocutor respecto a la falta del código del segundo usuario, se comunicó con el banco, desde donde le dijeron que bloquearían las cuentas. Pese a ello, al día siguiente se constató que ya se habían realizado múltiples transferencias por un total de S/4,671,000.
El INEI dijo a este diario que los servidores involucrados han sido separados hasta que concluyan las investigaciones. Asimismo, señaló que han denunciado al Banco de la Nación ante el Indecopi por fallas detectadas en la seguridad informática de la plataforma empresarial Multired.
—Ataque evitado—
Una historia similar ocurrió con la FAP. En julio, uno de los cuentahabientes de dicha institución recibió una llamada de un presunto funcionario bancario. Le informó que la firma electrónica del segundo propietario había sido bloqueada por un presunto ingreso irregular desde su celular.
Para “restablecer” la firma, la mujer envió un enlace que replicaba la plataforma del banco. Luego de ingresar su nombre de usuario, el administrador recibió un código en su celular que, pese a sus dudas, terminó dictándolo. Con esto los estafadores lograron acceder a la cuenta. Luego de acudir a una agencia del Banco de la Nación, confirmaron que se había intentado robar S/645 mil, pero al final solo lograron retirar un poco más de S/50 mil. Este Diario buscó la versión de la FAP, pero evitó brindar detalles.
Para el ciberexperto Miguel Larrea, el cibercrimen ha evolucionado con la posibilidad de adquirir programas online. «Con esto alguien puede decir que está llamando de cualquier empresa, como por ejemplo el 911. Lo falsifican. Es una técnica que se llama spoofing. Previo a esto ya tiene información de la base de datos que quiere, sabe a quién llamar, las líneas telefónicas, bancarias, etc.», indicó.
Asimismo, el coronel PNP Freddy Delgado, jefe de la División Estafa, indicó que aún no se han identificado a los responsables. Sin embargo, en lo que va de 2025, al menos 34 entidades públicas ya han sido atacadas.
