En este artículo encontrarás:
Más de 42.000 denuncias por ciberdelitos en 2024, con la suplantación de identidad casi duplicándose en un solo año. Las empresas peruanas ya no pueden ignorar este riesgo.
Nota metodológica: En Perú existen dos sistemas de registro paralelos: la Fiscalía (UFEC) y la PNP/DIVINDAT. Sus cifras difieren porque registran en momentos y con criterios distintos. Por ejemplo, la PNP reportó 1.204 casos de suplantación en 2024, mientras la Fiscalía registró 10.353. Ambas fuentes son oficiales y se indican explícitamente a lo largo de este artículo.
¿Qué es la suplantación de identidad?
La suplantación de identidad ocurre cuando una persona utiliza medios digitales para hacerse pasar por otra persona o institución, causando algún tipo de perjuicio material, económico o moral. No se trata solo de robar contraseñas: los delincuentes pueden solicitar créditos a nombre de la víctima, vaciar cuentas bancarias, comprometer reputaciones corporativas o cometer delitos usando la identidad de otra persona.
En el contexto empresarial peruano, la suplantación afecta tanto a personas naturales como jurídicas. Los ciberdelincuentes crean páginas web falsas imitando a bancos o empresas reconocidas, suplantan ejecutivos para autorizar transferencias y clonan cuentas de WhatsApp de negocios para estafar a sus clientes.
Un ejemplo real en Perú: Una banda operando desde Pucallpa creó un dominio web prácticamente idéntico al de un banco reconocido para capturar datos de empresas. Con esa información lograron sustraer hasta USD 59.060 de una sola compañía. El cabecilla, Nils Alvarado, fue condenado a 11 años de prisión efectiva tras 53 audiencias.
Las modalidades más usadas en Perú
La Dirección de Investigación de Ciberdelincuencia de la PNP (DIVINDAT) ha identificado las siguientes técnicas como las más frecuentes. Los datos de denuncias corresponden a 2025 según el registro policial:
Phishing
Clonación de sitios web de bancos o marcas reconocidas para capturar credenciales. Se distribuye por correo, SMS o redes sociales aparentando ser comunicaciones oficiales.
291 denuncias PNP en 2025 — modalidad #1
Carding
Acceso ilegal a tarjetas bancarias para realizar compras en línea, especialmente en montos pequeños para pasar desapercibidos. También mediante tarjetas físicas clonadas.
218 denuncias PNP en 2025 — modalidad #2
Thief Transfer
Extracción del chip de un celular robado o extraviado para insertarlo en otro dispositivo y acceder a contactos, mensajes y aplicaciones bancarias sin PIN de seguridad.
108 denuncias PNP en 2025 — modalidad #3
SIM Swapping
El delincuente convence a la operadora de duplicar el chip usando datos personales de la víctima. Con el duplicado intercepta SMS bancarios y accede a cuentas digitales.
11 denuncias PNP en 2025
Fake App
Aplicaciones falsas que imitan billeteras digitales (Yape, Plin) o tiendas como Temu, distribuidas fuera de las tiendas oficiales para capturar datos financieros.
41 denuncias PNP en 2025
Deepfake e IA
Uso de inteligencia artificial para clonar voces o imágenes de ejecutivos y autorizar transferencias fraudulentas. En Arequipa se detuvo a un sujeto por crear deepfakes de 50 mujeres con fines de extorsión.
Modalidad emergente — crecimiento acelerado en 2025
⚠️ Alerta QRishing: Una modalidad emergente usa códigos QR falsos para redirigir a páginas maliciosas o instalar software espía. Es especialmente peligrosa en contextos de pagos presenciales y menús digitales. Aún no cuenta con una categoría propia en el registro policial, pero ya figura en reportes de la PNP.
La curva ascendente: cómo creció este delito
El crecimiento de la suplantación de identidad en Perú no es un fenómeno aislado, sino el resultado directo de la masificación digital. Nueve de cada diez peruanos tiene un teléfono móvil, y la digitalización de servicios financieros abrió nuevas superficies de ataque para los delincuentes.
2020
Punto de partida y creación de la UFEC
Se crea la Unidad Fiscal Especializada en Ciberdelincuencia (UFEC). Perú registra niveles bajos de ciberdelitos formalmente reportados. En regiones como Amazonas, apenas 3 casos de suplantación de identidad. La PNP registró 8.897 denuncias totales por delitos informáticos ese año.
2021
Primer año completo de la UFEC
La Fiscalía registra 18.424 denuncias totales por delitos informáticos en su primer año de operación completa. La PNP reporta 14.671 denuncias, un aumento del 65% respecto a 2020. La suplantación de identidad ya ocupa el segundo lugar entre los ciberdelitos más denunciados.
2023
Aceleración del fenómeno
La Fiscalía registra 5.246 casos de suplantación de identidad. En regiones antes poco afectadas el crecimiento es exponencial: Amazonas pasa de 3 casos en 2020 a 42 en 2023; Cajamarca de 25 a 170 en el mismo periodo.
2024
Casi duplicación de casos y récord de pérdidas
Los casos de suplantación ante la Fiscalía saltan a 10.353, prácticamente el doble del año anterior. El total de ciberdelitos ante la Fiscalía alcanza 42.161 (más del doble que en 2021). Solo en Lima Metropolitana los ciberdelincuentes robaron 90 millones de soles ese año, según Sidpol/PNP. Lima concentra 23.689 de las denuncias totales.
2025
Tendencia que no se detiene
Entre enero y abril: 3.244 nuevas denuncias por suplantación ante la Fiscalía (+10,4% vs mismo periodo 2024). Entre enero y septiembre la PNP registra 7.054 casos de suplantación a nivel nacional. En septiembre se promulga la Ley 32451 que penaliza la venta ambulatoria de SIM cards.
Casos reales documentados en Perú
Caso documentado · Pucallpa
Banda clona web de banco y sustrae USD 59.060 a empresa
Siete integrantes operaban desde Pucallpa, capturando datos bancarios corporativos mediante un dominio web fraudulento idéntico al de una entidad financiera reconocida. Con esa información accedían a cuentas empresariales. El cabecilla, Nils Alvarado, fue condenado a 11 años de prisión efectiva y 60 días-multa tras 53 audiencias. Fuente: Revista Caretas / eBIZ Noticias.
Caso documentado · Arequipa, 2025
Sujeto detenido por crear deepfakes de 50 mujeres para extorsionarlas
Tomó imágenes públicas de perfiles de redes sociales y las procesó con inteligencia artificial para crear material comprometedor. Fue detenido por suplantación de identidad y manipulación de imágenes mediante IA. El caso puso en evidencia la ausencia de una ley específica para deepfakes en el país: los delitos se persiguen bajo la Ley 30096 y normas generales del Código Penal. Fuente: Fiscalía de Delitos Informáticos / eBIZ Noticias.
Caso documentado · Lima, enero 2025
15 jóvenes cobran entre S/ 20.000 y S/ 40.000 por suplantar identidades en exámenes universitarios
La banda fue desarticulada por garantizar ingresos fraudulentos a carreras de Medicina Humana, Enfermería y Administración. Cada plaza vendida costaba entre S/ 20.000 y S/ 40.000. Fuente: Perú21 / PNP.
Caso documentado · Lima, 2024
Filtración interna en Interbank expone datos de miles de clientes
Un trabajador accedió y proporcionó datos sensibles de clientes de la entidad financiera. El caso evidenció que la suplantación de identidad no solo proviene de ataques externos: las amenazas internas (insider threats) representan un riesgo igual de grave para las empresas. Fuente: Estudio Ugaz Zegarra / medios nacionales.
Marco legal en Perú: ¿qué dice la ley?
La suplantación de identidad está tipificada en el Artículo 9 de la Ley N° 30096 (Ley de Delitos Informáticos), cuyo texto ha sido actualizado en varias oportunidades. La versión vigente a febrero de 2026 incluye modificaciones que amplían su alcance y aumentan las penas en casos agravados.
|
Supuesto |
Pena |
Nivel |
|
Suplantación con perjuicio material, moral o de cualquier índole (Art. 9) |
3 a 5 años |
Base |
|
Suplantación cuando la víctima es menor de 18 años (Art. 9, agravante) |
6 a 9 años |
Agravada |
|
Fraude informático mediante clonación de sistemas o interfaces (Art. 8) |
4 a 8 años |
Alta |
|
Fraude contra patrimonio del Estado o programas sociales (Art. 8) |
5 a 10 años |
Muy alta |
|
Venta ambulatoria ilegal de SIM cards — Ley N° 32451 (sept. 2025) |
1 a 4 años + multa |
Nueva figura |
La Ley N° 32451, publicada en El Peruano el 30 de septiembre de 2025, reforzó la trazabilidad de líneas móviles: penaliza su venta ambulatoria sin autorización y fortalece el rol de OSIPTEL como ente de control, obligándolo a comunicar directamente al Ministerio Público cuando detecte indicios de activación ilegal de SIM cards.
Complementariamente, la Ley N° 29733 de Protección de Datos Personales establece obligaciones para empresas que manejan información de personas, incluyendo sanciones por el uso indebido de datos y la posibilidad de responsabilidad solidaria ante daños a terceros.
Vacío legal a tener en cuenta: Perú aún no cuenta con una ley específica para los deepfakes. Según el CEPLAN, estos delitos se persiguen bajo las normas generales de la Ley 30096 y el Código Penal, sin contemplar aún la complejidad tecnológica específica de la IA generativa.
El impacto sobre las empresas peruanas
La suplantación de identidad no es solo un problema de personas naturales. Las empresas enfrentan escenarios de riesgo cada vez más sofisticados que afectan directamente sus operaciones, reputación y responsabilidad legal:
Fraude en onboarding: clientes se registran con identidades robadas o sintéticas para acceder a créditos, billeteras digitales o seguros sin intención de pago.
Suplantación de ejecutivos (BEC): correos o audios falsos que imitan a directivos para aprobar transferencias urgentes. Con IA de clonación de voz, resulta casi imposible detectarlos sin controles técnicos.
Clonación de marca: webs y cuentas falsas que imitan a la empresa para estafar a sus propios clientes, generando pérdidas reputacionales y potencial responsabilidad legal.
Amenaza interna (insider threat): como el caso de Interbank (2024), donde un trabajador expuso datos de clientes. Los controles de acceso internos son tan críticos como los externos.
Responsabilidad regulatoria: empresas que no implementan controles adecuados de verificación pueden enfrentar sanciones bajo la Ley N° 29733 y responder solidariamente por daños a clientes afectados.
¿Qué puede hacer tu empresa para protegerse?
La prevención efectiva combina tecnología, procesos internos y cultura organizacional. Estas son las medidas más relevantes para el contexto empresarial peruano:
Verificación de identidad digital en el onboarding: implementar soluciones que combinen biometría facial, liveness detection y validación de documentos contra bases de datos oficiales como RENIEC.
Autenticación multifactor (MFA) sin dependencia de SMS: dado el riesgo de SIM Swapping, priorizar apps autenticadoras o llaves de seguridad física en lugar de códigos por mensaje de texto.
Monitoreo de filtraciones: verificar periódicamente si datos de clientes o colaboradores han aparecido en bases de datos comprometidas, para actuar antes de que sean explotados.
Detección de identidades sintéticas: usar motores de análisis que identifiquen combinaciones inusuales de datos (nombre real + documento de otra persona + foto manipulada), que los controles manuales no detectan.
Monitoreo de marca digital: vigilar dominios similares al de la empresa y configurar alertas en redes sociales para detectar cuentas o sitios que suplanten la identidad corporativa.
Capacitación interna continua: el personal que gestiona transferencias o accesos a sistemas debe conocer las señales de alerta del vishing y los ataques BEC impulsados por IA generativa.
Consejo clave ante deepfakes de voz: Si recibes una llamada de alguien que conoces solicitando algo urgente e inusual, verifica siempre por un canal diferente antes de actuar. Los clones de voz generados con IA ya son indistinguibles al oído sin análisis técnico. Establecer un código de verificación interno entre equipos puede marcar la diferencia.
¿Qué hacer si tu empresa es víctima?
Recopilar evidencia digital de inmediato: capturas de pantalla, correos, mensajes, URLs y registros de acceso antes de que sean eliminados o sobreescritos.
Denunciar ante la DIVINDAT (PNP): llamar al 1818 o acudir al piso 9 de la Dirección de Investigación Criminal (Dirincri) en Lima. También ante la Fiscalía Especializada en Ciberdelincuencia (UFEC), presente actualmente en Lima Centro, La Libertad y Arequipa.
Notificar a entidades financieras afectadas: solicitar el bloqueo y anulación de operaciones fraudulentas lo antes posible para limitar el daño económico.
Verificar líneas telefónicas activas a nombre de la empresa: OSIPTEL pone a disposición el portal checatuslineas.osiptel.gob.pe para detectar líneas activadas sin autorización.
Contar con asesoría legal especializada en ciberdelincuencia: los procesos por delitos informáticos tienen particularidades procesales que requieren experiencia específica para proteger los intereses de la empresa y acelerar la investigación.
Protege a tu empresa con verificación de identidad inteligente
Truora ofrece soluciones de verificación de identidad, biometría y detección de fraude diseñadas para el contexto latinoamericano. Desde el onboarding digital hasta el monitoreo continuo, ayudamos a las empresas a operar con confianza.
Conoce cómo Truora puede ayudarte
Llena el formulario a continuación y te ayudamos con eso:
.jpg?width=352&name=futuro%20kyc%20(1).jpg)
