La investigación realizada por los especialistas de SENDMARC examina el uso de protocolos de seguridad del correo institucional en las universidades del país
El reciente incidente en el que la universidad de Harvard sufrió una filtración de datos tras un ataque de ingeniería social demuestra que, incluso en instituciones con altos estándares tecnológicos, un solo punto débil puede abrir la puerta a una brecha grave. Este caso internacional refleja una tendencia que también afecta a la región, y el panorama peruano no es ajeno a esta amenaza.
Las universidades se han convertido en uno de los blancos preferidos de los ciberdelincuentes, especialmente a través del correo electrónico. Según el último análisis de Sendmarc en 2025, más de la mitad de los dominios de los sectores financiero, minero y educativo de Perú están completamente desprotegidos ante ataques de suplantación de identidad (spoofing, phishing), al no contar con la implementación del protocolo DMARC.
“El correo electrónico sigue siendo la principal puerta de entrada para los ataques digitales. Cuando una organización no autentica su dominio, no solo expone a sus usuarios, sino también su reputación y continuidad operativa”, señala Guido Luciani, Regional Manager de Sendmarc para Latam.
Al ser el punto de partida para más del 90 % de los ciberdelitos, la falta de esta autenticación básica es crítica, especialmente cuando la GenAI (Inteligencia Artificial Generativa) está acelerando los ataques por correo electrónico, volviéndolos más sofisticados y difíciles de detectar.
El Protocolo DMARC es capaz de verificar las fuentes de origen de los mensajes y se asegura de que solo los correos legítimos alcancen las bandejas de entrada.
Vulnerabilidad por Sector
Las herramientas de Sendmarc analizaron la implementación de DMARC para verificar las fuentes de origen de los mensajes y determinaron el puntaje promedio de dominio, que indica la vulnerabilidad de las empresas en diversos sectores.
La vulnerabilidad se mide tanto en el porcentaje de dominios que no han implementado DMARC como en el puntaje promedio de seguridad del dominio, donde 5 es la máxima protección.
| Sector | Dominios Analizados | % Desprotegidos (Sin DMARC) | Puntaje Promedio (de 5) | Enfoque de la Vulnerabilidad |
| Educación (Universidades) | 20 | 65 % | 2.8 sobre 5 | Es el sector con el mayor porcentaje de desprotección y el puntaje más bajo de seguridad promedio, lo que ubica a la mayoría de las instituciones como vulnerables. |
| Minería (Compañías) | 32 | 59.4 % | 2.8 sobre 5 | Comparte el puntaje de vulnerabilidad más bajo con Educación, ubicando a la mayoría de empresas como vulnerables. |
| Financiero
(Bancos y Financieras) |
17 | 53 % | 3.6 sobre 5 | A pesar de tener el menor porcentaje de desprotección, más de la mitad de los dominios bancarios analizados están desprotegidos y son vulnerables. |
* Un puntaje promedio bajo indica que la mayoría de las entidades en el sector son consideradas vulnerables
El análisis de 2025 sobre la ciberseguridad del correo electrónico en Perú sugiere que el sector más vulnerable es el de las Universidades, seguido de cerca por el sector Minero.
La seguridad de los dominios universitarios sigue siendo un desafío crítico que, de no atenderse, podría derivar en pérdidas de datos, afectación reputacional y serias consecuencias operativas.
Riesgos críticos para los tres sectores
Ignorar la protección del correo electrónico en estos sectores incrementa la exposición a ataques, los cuales implican serias amenazas y consecuencias.
– Riesgo Financiero y de Datos: La principal consecuencia es la pérdida de datos personales y/o financieros de los usuarios. Los incidentes de seguridad pueden acarrear costos de recuperación y mitigación tras los ataques, y en un contexto global, el costo medio mundial de una violación de datos supera los US$ 4 millones.
– Riesgo Operacional: Se pone en peligro la interrupción de servicios críticos, lo que puede resultar en sanciones y pérdidas económicas.
– Riesgo Reputacional y Legal: El daño a la reputación puede ser devastador y llevar a la fuga de clientes. Además, existe un alto riesgo de litigios por parte de clientes o terceros afectados.
En 2024, el BEC (Business Email Compromise) fue el segundo delito informático más costoso a nivel global con pérdidas de US$ 3.000 millones. Esta estafa puede suplantar correos electrónicos, crear sitios web falsos o incluso piratear cuentas de correo electrónico reales.
En este contexto, la creciente digitalización obliga a las organizaciones a asumir la ciberseguridad como un factor clave y estratégico para el negocio. La mitigación de estos riesgos requiere un enfoque integral que combine autenticación, monitoreo, y capacitación.
