Guía Antiphishing y Desinformación en la Vacancia de Dina Boluarte

📌 Ciberseguridad en Crisis: Guía contra Campañas de Desinformación en la Vacancia de Dina Boluarte

Perú atraviesa un ciclo de inestabilidad política agudizado por la pugna entre los poderes Ejecutivo y Legislativo, con la vacancia presidencial como tema central. Este ambiente de polarización e incertidumbre se convierte en el terreno fértil para ciberdelincuentes y actores maliciosos que lanzan campañas de desinformación y ataques de phishing. La necesidad ciudadana de información inmediata a menudo anula la verificación, convirtiendo el entorno digital en una “zona de guerra informativa” donde la verdad se sacrifica por la velocidad y la emoción.

Los datos confirman la urgencia del riesgo. Según reportes de la División de Ciberpolicía, el phishing en Perú experimentó un alarmante aumento del 120% en 2024. Por su parte, CERT-PE reportó un incremento del 40% en intentos de suplantación de identidad relacionados con entidades gubernamentales en los últimos meses. Estas campañas no solo buscan robar datos personales, sino también manipular la opinión pública. En este contexto, donde un estudio de Kaspersky revela que el 79% de los peruanos no distingue una noticia falsa de una verdadera, es imperativo que cada ciudadano se convierta en su propia línea de defensa.

🤔 ¿Qué son las campañas de desinformación y phishing político?

Para protegerte de las amenazas digitales en contextos políticos volátiles, es fundamental diferenciar entre las dos grandes categorías de ataque que explotan la inestabilidad: la desinformación y el phishing político.

🎯 Definición y objetivos

La desinformación política consiste en la difusión intencional de información falsa, inexacta o manipulada (fake news) con el objetivo de influir en la percepción pública, polarizar el debate o dañar la reputación de figuras e instituciones. Su meta es mental y social, buscando un cambio de actitud o voto. Un ejemplo sería la difusión de un rumor sobre una renuncia presidencial sin fuentes oficiales.

El phishing político, por otro lado, es un ciberataque técnico en el que los criminales suplantan identidades de alta autoridad (partidos, ministerios, medios oficiales) para engañar al usuario y lograr que revele información sensible como contraseñas o datos bancarios. Un ejemplo común es un correo falso de la ONPE solicitando “verificar el voto” a través de un enlace malicioso.

🔄 Diferencias y puntos en común

Aunque sus objetivos finales son distintos (uno busca manipular la mente y el otro robar datos), ambos ataques se basan en el mismo principio: la ingeniería social.

• Puntos en común: Ambos se aprovechan del interés ciudadano, utilizan emociones como el miedo o la indignación, y se distribuyen masivamente por redes sociales y mensajería. De hecho, se complementan peligrosamente: una noticia falsa de alto impacto (desinformación) puede incluir un enlace malicioso (phishing) que promete revelar la “evidencia” del bulo.
• Diferencias clave: La desinformación se centra en el engaño narrativo (contenido falso, distorsión), mientras que el phishing utiliza un engaño técnico (URL, correo o formulario falso). El impacto de la desinformación es la influencia en decisiones políticas, mientras que el phishing resulta en pérdidas financieras o robo de identidad.

🚨 Señales de alerta en mensajes, enlaces e imágenes

Un ciudadano con ojo crítico puede desmantelar la mayoría de los engaños antes de que causen daño. Presta atención a estos tres elementos clave.

🚨 URLs sospechosas y dominios falsos

• Verifica el dominio raíz: Los atacantes usan subdominios para engañar. En una URL como www.congreso.gob.pe.noticias.com, el dominio real no es gob.pe, sino noticias.com. El dominio oficial del gobierno peruano siempre termina en .gob.pe.
• Cuidado con el typosquatting: Esta práctica consiste en registrar dominios con errores tipográficos comunes (gobb.pe en lugar de gob.pe) o que sustituyen letras por números (c0ngreso.gob.pe).
• Desconfía de los acortadores: Servicios como Bit.ly o TinyURL pueden ocultar destinos maliciosos.
• El candado (HTTPS) no es garantía: Muchos sitios de phishing modernos usan certificados de seguridad para dar una falsa sensación de confianza. El cifrado no garantiza que el sitio sea legítimo.

🖼️ Análisis de metadatos e imágenes manipuladas

Las imágenes son herramientas poderosas en la desinformación. La táctica más común es la descontextualización: usar fotos antiguas o de otros países y presentarlas como si fueran actuales. En marzo de 2025, la Presidencia de Perú alertó sobre imágenes falsas de la presidenta generadas con IA. Para detectarlo:

• Analiza los metadatos: Son datos ocultos en un archivo que registran la fecha, hora y dispositivo de captura. Incongruencias aquí pueden delatar una manipulación.
• Busca inconsistencias: Ediciones repetidas en software de diseño o fechas de creación que no coinciden con el evento son señales de alerta.
• Atención a los deepfakes: La inteligencia artificial permite crear videos falsos muy realistas que pueden simular declaraciones de políticos.

🤖 Detección de cuentas automatizadas y bots

Los bots (cuentas automatizadas) son clave para crear una "falsa sensación de consenso" o amplificar narrativas artificiales. Según ESET Research, estas redes de bots presentan patrones identificables:

• Alta frecuencia: Publican contenido cada pocos minutos, repitiendo los mismos mensajes o hashtags.
• Perfiles genéricos: Usan nombres que combinan palabras aleatorias, no tienen fotos de perfil reales o fueron creadas recientemente.
• Interacciones desequilibradas: Muestran ratios anormales de seguidores/seguidos y su actividad se centra casi exclusivamente en una única agenda política.

🛠️ Herramientas y métodos de verificación

Existen herramientas gratuitas y accesibles para que cualquier ciudadano pueda verificar la información que recibe.

🔗 Comprobadores de enlaces (VirusTotal, URLScan)

Antes de hacer clic en un enlace sospechoso, analízalo con estas herramientas.

• VirusTotal: Este servicio de Google escanea una URL o archivo con más de 70 motores antivirus y te da un reporte de su peligrosidad. Simplemente copia la dirección del enlace (sin hacer clic) y pégala en su web.
• URLScan.io: Esta herramienta va un paso más allá: muestra una captura de pantalla de la página, los dominios a los que se conecta y detecta redirecciones ocultas.

🔍 Búsqueda inversa de imágenes (TinEye, Google Images)

Esta técnica es crucial para combatir la descontextualización de imágenes.

• Cómo funciona: Sube una imagen sospechosa o pega su URL para rastrear dónde y cuándo apareció por primera vez en la web.
• Qué revela: Permite determinar si una foto que ilustra un evento actual fue en realidad publicada hace años en otro contexto, desenmascarando la manipulación. TinEye es especialmente útil para encontrar el origen más antiguo de una imagen.

🧩 Plugins de verificación de cuentas (Botometer)

Desarrollada por la Universidad de Indiana, esta herramienta analiza cuentas de Twitter (X) y les asigna una puntuación de "boteidad" basada en sus patrones de actividad. Una puntuación alta indica una alta probabilidad de que la cuenta esté automatizada y sea parte de una operación de influencia.

✔️ Checklist práctico para proteger tu identidad digital

La mejor defensa es fortalecer tu seguridad personal con medidas rigurosas.

🔐 Buenas prácticas de contraseña y 2FA

• Contraseñas robustas: Usa claves únicas para cada servicio, con un mínimo de 8 caracteres que combinen mayúsculas, minúsculas, números y símbolos. El CERT-PE advierte que usar contraseñas débiles como '123456' es dejar la puerta abierta.
• Autenticación de Dos Factores (2FA): Es la defensa más robusta contra el robo de credenciales. Aunque un atacante robe tu contraseña, no podrá acceder sin el segundo factor (un código enviado a tu teléfono, una app de autenticación o una huella digital). Actívala en todas tus cuentas críticas: correo, redes sociales y banca.

⚙️ Configuración de alertas de seguridad

Activa notificaciones para detectar inmediatamente un posible secuestro de cuenta.

• Alertas de inicio de sesión: Configura tu correo y redes sociales para que te avisen por email o SMS ante cualquier nuevo inicio de sesión desde un dispositivo o ubicación desconocida.
• Revisión de actividad: Revisa periódicamente la sección de "Actividad Reciente" o "Dispositivos conectados" en tus cuentas y cierra remotamente cualquier sesión que no reconozcas.

📣 Pasos para reportar fraudes y desinformación

Una respuesta organizada es vital para mitigar el impacto de estas campañas.

1. Conserva la evidencia: Toma capturas de pantalla de los mensajes, guarda las URLs completas y conserva los correos fraudulentos.
2. Reporta a la plataforma: Todas las redes sociales y servicios de correo tienen opciones para denunciar contenido falso, suplantación de identidad o phishing
3. Notifica a las autoridades: En Perú, puedes reportar incidentes al CERT-PE o a la División de Investigación de Ciberdelincuencia de la PNP (DIRINCRI) a través de su línea telefónica (942439245).
4. Alerta a tu comunidad: Comparte información verificada con tus contactos para no amplificar el contenido falso.

🌐 Ejemplos de Campañas Globales y Locales

📡 Ejemplos Globales

• Bots rusos: En las elecciones francesas de 2022, se detectaron más de 15,000 cuentas bot que promocionaban candidatos extremistas simulando ser medios locales.
• Deepfakes y desinformación: Durante las elecciones europeas de 2024-2025, se usaron deepfakes y campañas coordinadas desde Rusia para sembrar dudas sobre la legitimidad electoral.
• SIM Swapping: En países como España y Ucrania, se han documentado campañas donde los atacantes duplican la SIM de una figura pública para tomar control de sus redes sociales y difundir información falsa.

🇵🇪 Casos en Perú

• Suplantación de entidades: En 2023, la ONGEI documentó una campaña que suplantaba al JNE con falsas "encuestas de intención de voto" que redirigían a páginas para robar datos bancarios. Durante la crisis de 2022, el CERT-PE alertó sobre correos que se hacían pasar por el Ministerio de Economía para ofrecer "compensaciones" a cambio de datos.
• Smishing del "Bono Mujer": Circuló una estafa masiva por SMS que ofrecía un falso subsidio estatal. El enlace redirigía a un sitio web fraudulento que solicitaba datos personales y bancarios
• QRishing: Una nueva modalidad de engaño utiliza códigos QR distribuidos en espacios públicos y virtuales para robar credenciales a través de billeteras digitales como Yape o Plin.

🏁 Conclusión: La Vigilancia Crítica es un Deber Democrático

La crisis política actual no se limita al debate constitucional; se juega activamente en el plano digital. La desinformación erosiona la confianza, mientras el phishing aprovecha esa fractura para ejecutar robos masivos. Nuestra mayor defensa como ciudadanos digitales reside en la vigilancia crítica y la aplicación rigurosa de la ciberseguridad básica. Si un mensaje parece demasiado urgente o apela a emociones extremas, probablemente sea ingeniería social diseñada para hacerte bajar la guardia.

No dejes tu seguridad al azar. Protege tu identidad y contribuye a un debate público más sano.

📚 Fuentes y Recursos Confiables

• Centro Nacional de Seguridad Digital
• Transformación digital en el Perú
• Europol – Internet Organised Crime Threat Assessment
• ESET Research – Informes sobre ciberseguridad
• Kaspersky – Análisis de Amenazas en Latinoamérica