El año 2025 dejó en evidencia un aumento sostenido de los delitos de ciberseguridad en Uruguay, con ataques que afectaron tanto a organismos públicos como a empresas privadas y entidades estratégicas. Casos que involucraron a instituciones como ANEP, Ceibal y al sistema financiero expusieron vulnerabilidades estructurales, el avance de técnicas cada vez más sofisticadas por parte de los ciberdelincuentes y la necesidad de fortalecer la defensa digital del Estado.
En ese contexto, el gobierno impulsó en los últimos meses dos medidas clave. Por un lado, la aprobación de la versión 5.0 del Marco Nacional de Ciberseguridad por parte de Agesic y un decreto presidencial que obliga a todos los organismos públicos a implementar sistemas de autenticación multifactor para el acceso a sus sistemas y servicios.
Marcela Mercapidez, ingeniera en computación y CEO de Zabyk (una de las principales empresas de ciberseguridad de Uruguay), analizó el escenario actual y los desafíos que persisten.
Según Mercapidez, el crecimiento de los ciberincidentes no es un fenómeno aislado ni reciente. “Los ataques vienen aumentando desde hace varios años y en 2024 ya se había registrado un incremento muy fuerte en los reportes oficiales”, explicó, aunque aclaró que todavía existe una subnotificación, especialmente en el sector privado.
El avance de la economía digital juega un rol central. Cada vez más servicios, transacciones y datos sensibles circulan por internet, lo que vuelve al ecosistema más atractivo para el delito. “Eso multiplica las oportunidades de ataque y también las consecuencias económicas y reputacionales”, señaló.
Entre los principales vectores de ataque se repiten tres factores, como el phishing (engaños para robar credenciales), la explotación de vulnerabilidades en sistemas desactualizados y el uso de credenciales robadas mediante malware. “No son los únicos, pero sí los más frecuentes”, indicó.
La mayoría de los ciberataques buscan un beneficio económico, ya sea a través de extorsión, robo de información o acceso a cuentas. Sin embargo, Mercapidez explicó que también existen grupos con motivaciones ideológicas o políticas. “El activismo digital existe, aunque no es mayoritario. A veces la exposición pública también se usa como herramienta de presión para obtener dinero”, advirtió.
Algunos ataques registrados este año contra organismos públicos incluyeron mensajes de contenido político, lo que generó dudas sobre su motivación real. “No siempre es fácil distinguir si se trata de activismo o de una estrategia de chantaje”, afirmó.
El Marco Nacional de Ciberseguridad no es nuevo, pero la versión 5.0 introduce cambios relevantes. Mercapidez lo definió como “un conjunto de buenas prácticas alineadas con estándares internacionales”, pero destacó que ahora es más explícito y operativo.
“Antes se decía qué había que hacer, ahora se describe mejor cómo hacerlo y con qué nivel de exigencia, según el riesgo de cada organización”, explicó. Además, el nuevo marco clasifica a los organismos según su criticidad y define planes de acción con plazos concretos, lo que permite medir avances y exigir cumplimiento.
El decreto que obliga a implementar autenticación multifactor apunta a uno de los puntos más vulnerables, que es el uso exclusivo de usuario y contraseña. Este sistema exige una segunda prueba de identidad (como un código adicional o un dispositivo) y reduce significativamente el riesgo de accesos indebidos.
“Hoy muchas personas ya lo usan en aplicaciones bancarias. La diferencia es que ahora pasa a ser obligatorio en todo el Estado. No hace a los sistemas invulnerables, pero dificulta mucho el trabajo de los atacantes”, explicó Mercapidez.
Para la especialista, uno de los grandes déficits sigue siendo la capacidad de respuesta ante incidentes. “No alcanza con prevenir. Hay que estar preparados para cuando algo pasa”, sostuvo.
Eso implica contar con planes, procedimientos y equipos entrenados específicamente para gestionar incidentes, algo distinto del trabajo cotidiano de las áreas de tecnología. “Cuando hay un robo en una casa, no se llama al arquitecto: se llama a la policía. En ciberseguridad pasa algo parecido”, ejemplificó.
Mercapidez subrayó la importancia de denunciar los ataques, tanto a la unidad de cibercrimen del Ministerio del Interior como al CERTuy de Agesic. “Las estadísticas nos permiten prepararnos mejor. Cuanto más información real tengamos, mejor será la capacidad de respuesta”, afirmó.
Por otra parte, afirmó que Uruguay no está rezagado en materia de ciberseguridad, pero el camino por recorrer es largo. Uno de los principales desafíos es la escasez de profesionales especializados. “Siempre faltan perfiles altamente capacitados y también que la seguridad sea una competencia básica en todas las carreras de TI”, señaló.
A eso se suma un nuevo factor, que es la inteligencia artificial. “Para los atacantes, la IA abarata costos y acelera el desarrollo de ataques. Para quienes defendemos, implica redoblar esfuerzos y adaptarnos constantemente”, resaltó.
Escuchá la entrevista completa.
En Soundcloud:
En Spotify:
