¿Cuál es el impacto de los ciberataques en retail y manufactura?

Retrato fotográfico Giovanna Cochachi
Giovanna Cochachi

Audit Senior Manager, EY Peru

6 minute read 21 abr. 2026
Temas relacionados
Auditoría y Finanzas
Transformación del comercio retail
Auditoría

Riesgo cibernético es riesgo financiero, Perú refuerza el Decreto 016-2024-JUS y las NIIF guían revelaciones para proteger valor y confianza

La exposición cibernética se traduce en un riesgo de mercado cuantificable. Las violaciones de seguridad cibernética no solo comprometen datos, sino que generan caídas medibles en el valor de mercado de las empresas. En el estudio de EY US “Estudio de ciberseguridad de EY 2025: Bridging the C-suite Disconnect” indica que las compañías del índice Russell 3000, aquellas que sufrieron incidentes cibernéticos vieron una disminución promedio del 1.5% en el precio de sus acciones durante los 90 días posteriores al evento. Según el mismo estudio, persiste la desconexión entre la alta dirección y los responsables de ciberseguridad sobre las medidas que realmente protegen a la organización. 

En el Perú, más de
64 millones
de ciberataques fueron registrados en 2023, y se proyecta un aumento del 35% para 2025.

Los sectores de retail y manufactura figuran entre los sectores más atacados. Esta realidad exige que los C-suites consideren la ciberseguridad como parte de su estrategia corporativa.

El sector retail, por su alta exposición al consumidor y sus sistemas de pago, ha sido especialmente vulnerable en lo que va del año 2025 en casos que fueron titulares de noticias. Campañas conocidas como Cyber Wow y Black Friday, registraron ataques DDoS y ransomware en otros países que paralizaron plataformas de e-commerce y sistemas de facturación, generando pérdidas superiores al 20% en conversión el año anterior.

En 2025, plantas automotrices en México y Brasil fueron víctimas de ciberespionaje, comprometiendo planos técnicos y algoritmos de producción. EY y Bitsight coinciden en que la manufactura es uno de los sectores más atacados por tercer año consecutivo, con un 71% de aumento en actividad de actores maliciosos. Este sector enfrenta un doble desafío: sistemas legados y creciente automatización.

Los ciberataques generan interrupciones operativas significativas, incluyendo la paralización de ventas, robo de datos personales y pagos por rescate en casos de ransomware. Estos eventos tienen un impacto reputacional directo, evidenciado por estudios que indican que más del 60% de los consumidores abandona una marca tras una brecha de datos. Desde una perspectiva financiera, estos incidentes implican costos asociados a la restauración de sistemas, campañas de recuperación de imagen y compensaciones a clientes.

Como parte del compliance regulatorio peruano varias empresas tuvieron que actualizar sus políticas internas para adecuarse al nuevo reglamento de Protección de Datos (Decreto 016-2024-JUS) vigente desde marzo 2025 que exige:

Cómo EY puede ayudar

  • Servicios de auditoría

    Combinamos enfoques tradicionales e innovadores, junto con una metodología coherente, para ofrecer servicios de auditoría de calidad. Obtén más información.

    Leer más

Al evaluar el impacto de incidentes en las empresas se tiene que considerar que pueden enfrentar demandas civiles por daños y perjuicios; además, del impacto reputacional y operativo antes mencionado.

En el actual contexto, los Comités de Auditoría y las gerencias tienen que mirar el panorama global de un ataque cibernético y cómo se prepararán y presentarán los estados financieros de la Compañía según las Normas Internacionales de Información Financiera (NIIFs) ante este incidente:

En Perú, aunque no existe una norma contable específica que obligue a revelar riesgos cibernéticos, las empresas deben considerar la evaluación del impacto financiero, pues la transparencia financiera fortalece la confianza de inversionistas y reguladores, especialmente cuando los incidentes cibernéticos afectan activos, provisiones o ingresos. Por ejemplo, las empresas registradas ante la SEC en EE. UU. están obligadas a revelar estos eventos en el formulario 10‑K, conforme a los lineamientos de la SEC Cybersecurity Disclosure Rules vigentes desde 2023.

Para mitigar el impacto financiero de los ciberataques, se recomienda a las empresas alinear estratégicamente la gestión de ciberseguridad entre el CISO y el C‑suite. Esto implica integrar controles desde la planificación comercial y operativa, y abordar brechas clave como: establecer un marco de ciber‑gobernanza respaldada por el Directorio, definir niveles adecuados de inversión en tecnologías emergentes como IA generativa, asegurar el cumplimiento regulatorio en protección de datos personales, y fortalecer la capacitación del personal, especialmente en sectores con alta rotación como el retail. Estas acciones contribuyen a reducir riesgos operativos y financieros, y a mejorar la presentación de los estados financieros conforme a las NIIF.

La ciberseguridad debe ser abordada como un componente estratégico de la gestión financiera.

Los C‑suites, Comités de Auditoría y Directorios deben adoptar una postura proactiva, evaluando si el impacto de un ciberataque es material para los estados financieros y asegurando que los controles internos estén alineados con las nuevas exigencias digitales. La anticipación estratégica, más que la defensa reactiva, será clave para preservar el valor empresarial y la confianza del mercado.

Contacto

Giovanna Cochachi

Audit Senior Manager, EY Peru
Profesional responsable, comprometida y organizada. Aficionada del arte, promotora del consumo de productos y comida saludable.
Lima, Peru

Resumen

La exposición cibernética es un riesgo de mercado cuantificable: el estudio EY US “Estudio de ciberseguridad de EY 2025: Bridging the C-suite Disconnect” señala que empresas del Russell 3000 con incidentes cibernéticos registraron una caída promedio de 1.5% en el precio de sus acciones en los 90 días posteriores, evidenciando además desconexión entre C‑suite y ciberseguridad. En Perú se registraron más de 64 millones de ciberataques en 2023 y se proyecta +35% para 2025; retail y manufactura destacan (DDoS, ransomware, ciberespionaje). El Decreto 016‑2024‑JUS (marzo 2025) exige notificar en 48 horas, Oficial de Datos Personales y multas. Los impactos deben evaluarse bajo NIIF (NIC 36, NIC 37, NIC 10, NIIF 15) y alinear CISO‑C‑suite con ciber‑gobernanza del Directorio.

Acerca de este artículo

Retrato fotográfico Giovanna Cochachi
Giovanna Cochachi
Audit Senior Manager, EY Peru
Profesional responsable, comprometida y organizada. Aficionada del arte, promotora del consumo de productos y comida saludable.
Temas relacionados
Auditoría y Finanzas
Transformación del comercio retail
Auditoría

EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.