Crece internet. Crecen las transacciones. Crecen los fraudes. La ciberseguridad se ha transformado en un tema central en la forma en que se construye la confianza en el sistema financiero uruguayo. El avance de las fintech, la digitalización de servicios y el uso creciente de inteligencia artificial plantean nuevos desafíos para empresas, usuarios y reguladores. En el Uruguay Fintech Summit 2025, referentes del sector advirtieron que la protección de datos, la prevención del fraude y la respuesta ante incidentes ya no son tareas técnicas, sino pilares estratégicos para sostener la estabilidad del ecosistema financiero digital.
El CEO de Quinta Disciplina–Domus, Ignacio Pérez Crisafulli, fue el primero en marcar la magnitud del cambio: “Estamos viendo una comoditización de los ataques. Ya no es una persona con capucha en un sótano, sino empresas que están atrás de esto y generan todo un mercado”, explicó.
Según detalló, el cibercrimen se volvió una industria profesionalizada, donde se ofrecen servicios de ransomware, venta de credenciales y hasta inteligencia artificial para generar voces y videos falsos. “Ya no podés confiar con quién estás hablando del otro lado”, advirtió, aludiendo a los riesgos de suplantación de identidad con IA.
Pérez Crisafulli destacó que los ataques más comunes siguen siendo el ransomware y el phishing, junto con la venta de credenciales en foros clandestinos. “La persona sigue siendo la pata más vulnerable del sistema”, dijo. “Hoy cualquiera puede comprar credenciales, contratar un servicio de ransomware o usar bots impulsados por IA para simular identidad. Ya no se trata de hackers técnicos, sino de gente que compra esos servicios", dijo.
El CEO de Forsvar, Adrián Samartín, complementó el panorama con datos locales: “En Uruguay los ciberataques aumentaron de 5.000 en 2023 a 15.000 en 2024. El incremento es exponencial y además crece la sofisticación". Contó que el fenómeno no se limita a estafas tradicionales. “Por ejemplo —dijo— hubo casos en India donde se usaron procesos de selección falsos. Entrevistaban a programadores, les enviaban un archivo para una prueba técnica y ese archivo contenía malware. Así lograban acceso a los sistemas", indicó.
Samartín señaló que la capacitación es fundamental y que la responsabilidad no debe recaer solo en el usuario. “Hay que capacitar a las personas y todos, como usuarios, debemos estar atentos a no caer en phishing, a no ingresar a un link indebido o compartir datos. Pero las empresas también tienen una responsabilidad: deben capacitarnos, no solo a los usuarios, sino también internamente a su propio personal.”
El CEO de Forsvar subrayó que se debe ir más allá del simple cumplimiento normativo. “Muchas veces se trata solo de hacer el check y cumplir con lo exigido o con buenas prácticas. Eso hoy no alcanza. En la región, y también a nivel local, todavía estamos un poco atrás. Hay que definir una estrategia integral desde el comienzo para enfrentar este tipo de amenazas".
El cofundador de Akua, Juan José Behrend, coincidió en que la realidad cambió drásticamente: “No es solo venta de credenciales en la dark web, también hay venta de tarjetas en canales de Telegram. Está al alcance de la mano". Aclaró que hoy el cibercrimen no requiere conocimientos avanzados. “Ya los hackers son todos”, afirmó.
Behrend contó que incluso adolescentes uruguayos han vulnerado sistemas públicos. “Un chico de 18 años hackeó varias entidades acá. Hoy el acceso se democratizó totalmente. Cualquiera puede hacerlo", agregó. Mencionó además herramientas como WormGPT y FraudGPT, modelos de lenguaje similares a los usados por empresas tecnológicas, pero diseñados “específicamente para atacar y crear agentes automáticos de hackeo”.
Según Behrend, el problema no es solo la intención del atacante, sino la falta de mantenimiento de los sistemas empresariales. “Muchas compañías tienen software heredado, vulnerabilidades antiguas y sistemas que no se revisan hace años. Entonces cualquier persona con acceso a esas herramientas puede encontrar una puerta abierta", dijo.
El desafío de regular, prevenir y cambiar la cultura empresarial
El lanzamiento del nuevo marco nacional de ciberseguridad, anunciado en octubre, fue uno de los temas más comentados del panel. “Es un paso importante, pero todavía estamos corriendo de atrás”, reconoció Pérez Crisafulli.
“El marco está genial, pero hay que garantizar que se cumpla. El desafío ahora es que no quede solo en el papel”, insistió. También remarcó que las empresas privadas deben sumarse voluntariamente, aunque no estén obligadas. “Cuanto más alineadas estén, menos riesgo corremos todos".
El experto planteó además una cuestión cultural dentro de las compañías. “Nosotros mismos a veces medimos los riesgos de ciberseguridad en matrices técnicas que nadie entiende. Hay que llevarlos al lenguaje de negocio. Cuando se muestran los impactos en términos financieros, ningún director quiere asumirlos. Ese es el cambio que necesitamos".
El CEO de Forsvar, Adrián Samartín, señaló que muchas empresas aún no incorporan la seguridad como parte de su planificación. “Sí, está buena la pregunta, porque bueno, muchas veces las empresas definen obviamente una estrategia de comercialización, una estrategia de operaciones, y los temas de prevención de fraude, prevención de lavado de activos o incluso ciberseguridad escapan un poco de la definición inicial del negocio”, dijo.
Para Samartín, ese es uno de los principales errores. “Un error principal es no tener en cuenta una estrategia de riesgo. Eso es algo clave. Definir una estrategia de riesgo desde un comienzo y no esperar a que eso sea un problema".
El ejecutivo explicó que muchas organizaciones no dimensionan el riesgo hasta que lo enfrentan. “Muchas veces las empresas se dejan estar en ese sentido porque no lo ven como un problema hasta que les llega el problema en sí, y a veces tiene mucho peso, es un golpe que puede ser incluso hasta de nocaut para algunas empresas".
Según Samartín, la respuesta pasa por un enfoque más amplio. “Entonces, primer error: no tenerlo en cuenta desde un comienzo y definir una estrategia integral que implique desde capacitaciones, asesoramiento, herramientas adecuadas".
Tips
Por su parte, Behrend compartió la experiencia de Akua en ese sentido. “Toda la información que entra a nuestra plataforma está tokenizada desde el primer momento. Eso incluye tarjetas, nombres y datos personales. Si llegaran a vulnerarnos, el riesgo se reduce al mínimo. Tokenizar desde el origen es clave.”
El especialista insistió en el principio de “seguridad por diseño”: pensar la protección desde el inicio del desarrollo de productos. “Si construís sin seguridad, después es muy difícil remendarlo. La estrategia tiene que cortar el problema de raíz.”
Los panelistas coincidieron en que la educación digital del usuario final también es decisiva. Samartín recordó que muchos ataques comienzan con phishing o mensajes engañosos. “Todos recibimos ese SMS que dice: ‘El paquete está atrasado, ingresá al link’. Hay que desconfiar siempre, mirar bien el dominio y no compartir datos.”
El CEO de Forsvar mencionó además un caso regional: “En Brasil, una banda usó deepfakes de influencers para promocionar productos falsos. La gente los compraba creyendo que eran reales. Después del pago, no recibían nada. Es un ejemplo de cómo la IA potencia el fraude”.
Behrend coincidió en que el cambio debe ser integral. “Si seguimos defendiendo todo de la misma forma, los atacantes van a ir más rápido que nosotros. Hay que cambiar el paradigma de defensa”.
