La reciente filtración de documentos altamente sensibles de la Dirección de Inteligencia de la Policía Nacional del Perú (DIRIN) por parte de un grupo de hackers nacionales, ha puesto al descubierto una verdad incómoda: ninguna institución pública del Perú está preparada para enfrentar ataques informáticos. Este incidente, ocurrido el 6 de septiembre de 2025, expone fallas graves en ciberseguridad y gestión digital, probablemente en el ente público que mejor preparado debe estar, estos hechos no solo afectan la confidencialidad del Estado, sino también la confianza de la ciudadanía.
📉 ¿Dónde estamos fallando?
A pesar de contar desde 2018 con el Decreto Legislativo N.º 1412 – Ley de Gobierno Digital, el cual busca establecer un marco normativo para la transformación digital y la seguridad de la información, la implementación ha sido débil, fragmentada y, en muchos casos, simbólica. Aquí los principales problemas:
❌ 1. Implementación incompleta del marco legal
El artículo 30 del Decreto Legislativo N.º 1412 define la seguridad digital como un estado de confianza en el entorno digital, que debe garantizarse con medidas proactivas y reactivas. Sin embargo, para la mayoría de entidades públicas el uso de la tecnología es lo menos importante y menos aún la implementación de los Sistema de Gestión de Seguridad de la Información (SGSI), a pesar de ser obligatorio.
⚠️ 2. Fragmentación institucional
La legislación actual reparte competencias de ciberseguridad entre diversos entes:
- El Ministerio de Defensa lidera la ciberdefensa.
- La DINI emite normas técnicas de seguridad digital.
- El MININTER, la PNP y el Poder Judicial manejan temas de ciberdelincuencia.
- La Secretaría de Gobierno Digital (SEGDI) dicta lineamientos generales.
El resultado: nadie tiene el control total, las responsabilidades se diluyen y la reacción ante incidentes se vuelve lenta, descoordinada e ineficaz. Esto escala y se convierte en una prueba más de la necesidad de implementar una Plataforma única como base de Infraestructura Tecnológica para todas las Instituciones públicas.
💸 3. Sin presupuesto, no hay seguridad
El artículo 34 del Decreto establece que todo debe implementarse “sin demandar recursos adicionales al Tesoro Público”. Esto es un error de diseño. La ciberseguridad no es gratis. Requiere infraestructura, auditorías, talento y actualización constante.
Sin financiamiento específico y sostenido, las entidades públicas seguirán en riesgo y gastarán mucho más presupuesto con soluciones temporales.
👥 4. Falta de especialistas y cultura digital
En un entorno tan cambiante, no basta con normas: se necesita gente capacitada. Aunque la ley menciona la capacitación como un principio (art. 7.4 y art. 18.3), en la práctica no existe un plan nacional de formación en ciberseguridad para funcionarios públicos.
Peor aún, la cultura institucional sigue siendo reactiva: se actúa después del ataque, no antes. Y muchas veces, con secretismo.
🛡️ ¿Cómo salir de esta situación? — Una propuesta
En el siguiente artículo…