Solo el 21% cuenta con un encargado formal de ciberseguridad y el 15% tiene políticas definidas, pese a que el 63% se declara preocupado por los incidentes, según una encuesta
Las empresas uruguayas reconocen el riesgo cibernético pero no actúan en consecuencia. Así lo establece una nueva encuesta elaborada por Grupo Radar, en conjunto con Datasec, una empresa uruguaya de ciberseguridad.
Las cifras: mientras el 63% se declara bastante o muy preocupado por los incidentes de seguridad de información, solo el 15% cuenta con políticas formales en la materia y apenas un 20% considera haber implementado plenamente las medidas necesarias para protegerse.
Los datos, que surgen de una encuesta a 600 empresas representativas del universo nacional y que se realizó entre noviembre y diciembre del año pasado, muestra más preocupación entra las empresas medianas y grandes.
Sin embargo, esa percepción no se traduce en medidas concretas. El 35% reconoce no haber adoptado medidas suficientes y el 44% dice haber tomado solo medidas parciales. Y la diferencia entre tamaños vuelve a aparecer: el 78% de las medianas y grandes afirma tener medidas implementadas (completa o parcialmente), frente al 63% de micro y pequeñas. En el interior del país, el 45% admite directamente que no ha tomado medidas suficientes.
En concreto, los controles más extendidos son el antivirus (69% de las empresas lo utiliza) y la filtración de correos basura y fraudulentos (61%). Sin embargo, ambas cifras retrocedieron respecto a 2023, cuando alcanzaban 83% y 62% respectivamente. El respaldo de información en sitios externos también cayó: pasó del 55% en 2023 al 48% actual.
Otras prácticas básicas siguen con adopción minoritaria. La concientización de los colaboradores se mantiene en el 41%, el segundo factor de autenticación para trabajo remoto llega al 27% y la encriptación de equipos portables alcanza apenas el 25%. Las empresas medianas y grandes tienen niveles sustancialmente más altos en todos los indicadores: 89% tiene antivirus, 71% respalda información y 53% concientiza a su personal.
Las brechas más profundas aparecen en la gobernanza. Solo el 21% de las empresas tiene un responsable formal de ciberseguridad. Y cuando ese responsable existe, en el 37% de los casos es el dueño o socio de la firma, en el 29% una empresa o persona externa contratada, y apenas en el 10% un jefe de Seguridad de la Información dedicado.
La evaluación periódica del estado de la seguridad sigue siendo una práctica no muy realizada por las empresas en Uruguay. El 68% de las empresas no ha realizado ninguna evaluación de su ciberseguridad y no lo considera necesario, mientras que solo el 8% lo hace de forma regular y otro 9% de manera excepcional. En la industria, el porcentaje que no evalúa ni piensa hacerlo trepa al 74%.
La contratación de seguros específicos también es marginal. Apenas el 7% de las empresas medianas y grandes tiene una póliza para cubrirse ante incidentes de ciberseguridad, una cifra que se mantiene estable respecto a años anteriores. En paralelo, el 50% de las firmas guarda datos personales de sus clientes, lo que las somete a obligaciones legales en materia de protección de información.
En el último año, el 7% de las empresas sufrió un hackeo, lo que proyectado al universo equivale a unas 12.873 firmas. Otras 11.034 (el 6%) tuvieron caídas de sistema. Los casos de ransomware, pérdidas económicas, robo de equipos y pérdida de información se ubican entre el 1% y el 2% cada uno, lo que representa entre 1.839 y 3.678 empresas afectadas por cada tipo de incidente.
A esto se suma una zona gris poco visible. El 13% de las empresas declara conocer al menos una firma que sufrió un incidente grave de ciberseguridad en el último año pero que no fue publicado en la prensa. La cifra trepa al 18% en empresas medianas y grandes y al 19% en Montevideo y zona metropolitana, lo que sugiere un nivel relevante de subregistro.
Otro dato que matiza el panorama: cuando se pregunta a las empresas que dicen evaluar regularmente su seguridad si realizaron hacking ético o escaneos de vulnerabilidad en sitios web, mails y aplicaciones expuestas a internet, solo el 35% responde afirmativamente. El 23% directamente no lo considera necesario, una cifra que se duplicó respecto al 11% de 2023.
La presión externa por mejorar las prácticas de ciberseguridad sigue siendo baja. Solo el 15% de las empresas medianas y grandes declara que sus clientes le exigen niveles importantes de protección, una cifra prácticamente idéntica al 12% de 2024 y al 15% de 2023.
La exigencia es algo mayor en servicios (19%) y en Montevideo y zona metropolitana (19%), y mucho menor en el interior, donde apenas el 7% de las medianas y grandes recibe exigencias de este tipo por parte de sus clientes.
