El 65 % de las universidades peruanas carece de protocolos Dmarc, exponiéndose a filtraciones y suplantación de identidad según un reciente estudio del 2025.
El panorama de la ciberseguridad en las instituciones de educación superior ha encendido las alarmas en el país. Un reciente incidente en la Universidad de Harvard, donde un ataque de ingeniería social derivó en una grave filtración de datos, sirve como una advertencia global sobre cómo un solo punto débil puede comprometer a instituciones con altos estándares tecnológicos. Este fenómeno internacional se refleja con fuerza en la región, y el escenario peruano no es ajeno a este tipo de amenazas digitales que ponen en riesgo la información sensible.
Actualmente, las universidades se han consolidado como uno de los blancos predilectos para los ciberdelincuentes, quienes utilizan principalmente el correo institucional como vía de ataque. De acuerdo con el último análisis realizado por la empresa Sendmarc en 2025, más de la mitad de los dominios pertenecientes a los sectores minero, financiero y educativo en Perú se encuentran completamente desprotegidos ante ataques de suplantación de identidad, tales como el spoofing o el phishing. Esta vulnerabilidad se debe, fundamentalmente, a la falta de implementación del protocolo Dmarc (Domain-based Message Authentication, Reporting and Conformance).
El correo electrónico como puerta de entrada
La importancia de este protocolo radica en su capacidad para autenticar el origen de los mensajes. «El correo electrónico sigue siendo la principal puerta de entrada para los ataques digitales. Cuando una organización no autentica su dominio, no solo expone a sus usuarios, sino también su reputación y continuidad operativa», afirma Guido Luciani, Regional Manager de Sendmarc para Latam. En un contexto donde la Genai (Inteligencia Artificial Generativa) está acelerando la creación de ataques más sofisticados y difíciles de detectar, la ausencia de una autenticación básica se vuelve crítica, considerando que el correo es el punto de partida para más del 90 % de los ciberdelitos.
El protocolo Dmarc funciona verificando las fuentes de origen de los correos electrónicos, asegurando que solo los mensajes legítimos lleguen a las bandejas de entrada de los destinatarios. Sin embargo, el estudio realizado mediante el análisis de la implementación de este protocolo y el puntaje promedio de seguridad del dominio (donde 5 es la máxima protección), revela cifras preocupantes para las instituciones locales.
Sectores bajo la lupa: Educación en riesgo crítico
El análisis de 2025 detalla la vulnerabilidad por sectores en el Perú, posicionando a las universidades en el nivel de riesgo más alto:
- Educación (Universidades): De los 20 dominios analizados, el 65 % se encuentra desprotegido. Su puntaje promedio de seguridad es de apenas 2,8 sobre 5, lo que las sitúa como el sector más vulnerable del país.
- Minería: Con 32 dominios analizados, el 59,4 % carece de protección Dmarc, compartiendo el puntaje de vulnerabilidad más bajo (2,8) con el sector educativo.
- Financiero: Aunque presenta un mejor desempeño, el 53 % de los 17 dominios bancarios analizados siguen desprotegidos, con un puntaje de seguridad de 3,6.
La falta de atención a la seguridad de los dominios universitarios representa un desafío crítico que podría desencadenar pérdidas masivas de datos, daños irreparables a la reputación de las instituciones y graves consecuencias en su operatividad diaria.
Riesgos financieros y operativos devastadores
Ignorar la protección del correo electrónico conlleva amenazas que van más allá de un simple problema técnico. El riesgo financiero es latente; el costo medio mundial de una violación de datos ya supera los 4’000.000 de dólares. Además, el sector se enfrenta al riesgo operacional, que implica la interrupción de servicios críticos, sanciones legales y pérdidas económicas directas.
Un peligro particularmente costoso es el BEC (Business Email Compromise), que en 2024 fue el segundo delito informático más dañino a nivel mundial, generando pérdidas por 3.000’000.000 de dólares. Esta modalidad permite a los atacantes suplantar correos, crear sitios web falsos o incluso piratear cuentas reales para cometer fraudes. Ante este panorama, la ciberseguridad debe ser asumida como un factor estratégico para cualquier organización, mediante un enfoque integral que combine la autenticación de dominios, el monitoreo constante y la capacitación del personal.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
