Tras la engañosa alerta de sismo y tsunami que recorrió miles de celulares en el territorio, el hackeo al SISMATE evidenció lo expuestas que están las instituciones del Estado a nivel ciberseguridad, y quiénes responden cuando los problemas ocurren.
Por Mauricio Mendoza y Álvaro Urquizo
Perú, país de alto riesgo sísmico, sufrió el pasado 20 de mayo una alerta de un sismo de magnitud 8,7 y un tsunami en todo el litoral. El mensaje, atribuido al Sistema de Mensajería de Alerta Temprana de Emergencias (SISMATE), era falso. Horas después, un segundo aviso, esta vez con contenido político, terminó por confirmar la sospecha: el sistema había sido vulnerado.
Al ser un aviso de interés nacional, el caso encendió las alarmas sobre la seguridad digital de las instituciones del Estado. ¿Qué tan expuestos están realmente los entes del aparato estatal en el terreno digital?
El acceso permitido
De acuerdo con el Ministerio de Transportes y Comunicaciones (MTC), el acceso al SISMATE se produjo a través de una cuenta del proveedor del sistema, el Consorcio Everbridge. Este matiz cambia la naturaleza del propio incidente, pues no se habría vulnerado el sistema como tal, sino conseguido un acceso legítimo por los medios incorrectos.
En esa línea, según Alejandro Bernal, experto en seguridad cibernética, el término que se asocia siempre a lo técnico admite varias lecturas. “El concepto de vulnerar un sistema se traduce prácticamente a tener acceso no autorizado”. Ese paso puede lograrse buscando huecos en la tecnología o, de forma más directa, comprometiendo una credencial. El “phishing” es justamente la otra vía. “Es otra manera de vulnerar el sistema, pero no desde el punto de vista tecnológico, sino desde el punto de vista humano”, destacó Bernal.
Asimismo, se identifican tres modalidades que hoy concentran los ataques a entidades públicas. La primera —como ocurrió últimamente— es entrar gracias a un tercero encargado que no está enterado. La segunda es mediante el robo de credenciales con software malicioso. Por último, la amenaza interna en donde un trabajador, a cambio de un favor, voluntariamente permite el acceso.
Esta última posibilidad es la que más afecta para Álvaro Cruz, ingeniero especialista en ciberseguridad. Para él, cuando una entidad que sí invierte en protección termina comprometida, casi nunca es por la fuerza. «Siempre buscan un interno para hacer ese tipo de operaciones y con el fin de que no salte la alerta del ingreso», afirmó, en referencia a cómo un acceso así puede pasar inadvertido para los firewalls y antivirus.
Sin embargo, Cruz consideró que el problema muy rara vez está en la tecnología, pero casi siempre en las prácticas que la rodean. Por ello, el guardar contraseñas en el navegador es un error que muchas veces se comete. «Estas contraseñas, por más que estén cifradas o codificadas, igual se pueden decodificar», advirtió.
Detrás de todo hay un modelo de fondo en donde el Estado opera buena parte de sus sistemas a través de terceros. Para Cruz, esto no es necesariamente un error, sino que es una necesidad mal ejecutada, pues no puede validar su propia seguridad. En ese sentido, lo comparó con un certificado de salud, en donde “uno tiene que acudir a un tercero”, pues “no puede darse el certificado”. No obstante, ese tercero debe estar también certificado bajo estándares internacionales que sometan al sistema a pruebas de intrusión periódicas.
Aunque el SISMATE trabajaba con un proveedor, no necesariamente cumplía esa revisión constante de las organizaciones con las que trabaja. El acceso no se forzó, pero se obtuvo aprovechando a alguien dentro de la organización. ¿Quién es responsable de resguardarlo y bajo qué reglas?
Responsabilidad sin reclamar
Las responsabilidades en relación a la seguridad digital de los datos que el Estado tiene acerca de la ciudadanía se terminan diluyendo. Según la Propuesta de la Estrategia Nacional de Ciberseguridad del Perú 2026-2028, publicada por el mismo gobierno del Perú, se mencionó que cada objetivo en la estrategia tiene entidades responsables designadas que son: la Presidencia del Consejo de Ministros, el Ministerio de Defensa, el Ministerio de Transportes y Comunicaciones y OSIPTEL.
La falta de un ejecución coordinada entre entidades públicas dificulta las soluciones eficientes ante situaciones como la vivida con el SISMATE. Sin embargo, también se tiene que tener en cuenta la tercerización de las empresas. Para Cruz, “la empresa terciaria es quien se debería hacer responsable” y que “el 70% de responsabilidad se la lleva la empresa contratada, pero también 30% el mismo cliente, quien tiene que poner a prueba lo que está contratando”.
No obstante, para Bernal, la responsabilidad es un tema más complejo de abarcar debido a que se incluye más de un factor diferencial para hablar de personas involucradas en una vulneración a un sistema estatal.
“Al verse afectada una entidad que está bajo un monitoreo, hay una responsabilidad indirecta porque significa que la empresa que está vigilando se tiene que hacer responsable de que se vulnere la seguridad. Si sucede, no lo está haciendo bien, y entonces hay como una jerarquía de esa manera”, explicó el experto en ciberseguridad.
Este vacío de responsabilidad no es solo operativo, sino también legal. Desde el 2020, el Decreto de Urgencia N° 007-2020 obliga tanto a las entidades de la administración pública como a los proveedores de servicios digitales a notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad.
Sin embargo, el mismo decreto no señala sanciones ante el incumplimiento de esas obligaciones. En la práctica, esto significa que existe un marco que distribuye la responsabilidad entre el Estado y sus contratistas, pero la norma obliga a reportar, más no castiga si no se hace. De todos modos, para Bernal, esa distancia entre lo que la ley exige y lo que ocurre en la práctica responde a algo más estructural.
«Creo que la principal diferencia está en la voluntad. Mucho pasa, incluso en empresas privadas, de que se puede tener una política bien definida a nivel de seguridad, pero la implementación, la aplicación o el cumplimiento de la misma no se da tanto», señaló.
Cuando el fallo ocurre en el acceso de una cuenta del proveedor, y no hay auditorías periódicas que verifiquen la seguridad de ese mismo, la cadena se rompe antes de que alguien pueda, siquiera, activarla. La pregunta que queda en el aire no es solo quién falló, también quién debía estar vigilando que no suceda de nuevo.
Fallo en el sistema
Cuando el SISMATE emitió la alerta falsa, el daño inmediato fue técnico y psicológico. Un sistema diseñado para —en teoría— salvar vidas usó esa misma autoridad para generar miedo sin razón. Y aunque el mensaje solo hubiera durado minutos, la imágen del sistema igual se manchó, siendo una de las consecuencias de las vulneraciones digitales a entidades.
Perú llega a este incidente con una desconfianza institucional que ya venía en alza. Según INEI se registró que, solo en la primera mitad del año pasado, prácticamente todas las instituciones del sector público se ubicaban en la categoría de «no confiables» para la ciudadanía.
Un sistema de alerta de emergencias opera bajo la misma lógica que cualquier institución del Estado. Sobre esto, Cruz advirtió que «un sistema de emergencia funciona porque la gente le cree” y “si le das una alerta falsa de sismo y tsunami se verá totalmente afectada esa credibilidad”.
El impacto reputacional de este tipo de incidentes es, según Bernal, inevitable. «Siempre que pasa una incidencia de seguridad, se genera una desconfianza alrededor de la empresa u organización afectada. Eso es inevitable», señaló.
Pero en su análisis, estos casos van más allá del caso puntual y apunta a un problema cultural más profundo. «Como país, no tenemos una cultura preventiva, recién se tomen acciones cuando sucedan las cosas, de manera reactiva». En esa línea, el incidente del SISMATE no sería una excepción, sino la expresión más visible de una condición.
Un antecedente recordado fue cuando el sistema de denuncias policiales de la PNP, conocido como SIDPOL, había sido vulnerado por un hacker que ofrecía la base de datos robada en foros de la dark web. La filtración incluía datos personales de miles de ciudadanos correspondientes al periodo 2019-2025, y estaba disponible desde 1,500 dólares.
En ese contexto, el Estado ya se ha visto en situaciones así y recuperar la confianza ciudadana no basta con un comunicado. Para Cruz, la posible solución pasa por cambios estructurales concretos, como exigir que las certificaciones de seguridad de los sistemas que manejan datos sensibles sean validadas por empresas extranjeras, sometiendo a pruebas periódicas todo lo que se contrata.
«Si no son las correctas, pues pasan ese tipo de escenarios. Y no es la primera vez que pasa», advirtió. La confianza, una vez fracturada, no se recupera tan fácilmente y, en un país donde prácticamente todas las instituciones públicas ya cargan con el peso de la desconfianza, el margen para otro fallo como el del SISMATE es, simplemente, mínimo.
