La expresión "¡sálvese quien pueda!" parece haber perdido sentido en el año que acabó. El aprendizaje que dejó el 2025, al menos en la ciberseguridad, es que “¡nadie está a salvo!”. Hasta el australiano Troy Hunt, conocido como uno de los hombres que más saben de la prevención de ataques informáticos, fue víctima de sus predicciones en marzo, cuando agotado tras un viaje cayó en una de las estafas más antiguas y se filtraron miles de registros de los suscriptores de su blog temático. ¡Nadie está exento, tampoco en ese país al sur de América al que “todo llega tarde” y llaman Uruguay!
¿Por qué está “explosión” de ciberataques?
Cuando un paciente visita a un médico con un diagnóstico de una enfermedad crónica no transmisible, casi siempre la causa desencadenante es múltiple: hay un poco del estilo de vida, otro tanto de la genética, del ambiente y de las acciones que se han tomado. En el auge de los ciberataques registrados en Uruguay en 2025 pasa un poco lo mismo: por un lado mejoraron los sensores de búsqueda de incidentes —y se automatizaron procesos que permiten cazar más sucesos sospechosos en menor tiempo—, aumentó la vida en internet (su uso, su acceso, sus plataformas) y también quienes están dispuestos a hacer el mal en esa vida digital.
“Uruguay está a la cabeza regional de captores de información digital per cápita”, comentó a El Observador el experto en ciberseguridad Marcelo Campiglia, CTO de Sabyk. “Parte de la explicación es la alta penetración digital que tiene Uruguay, la interacción que puede hacerse hasta con el Estado a través de internet que es comparable a los países más desarrollados en lo digital”.
El especialista hace una pausa, aclara que dará una opinión personal, y expresa:
— Si se piensa desde la puja geopolítica, Uruguay es un lugar interesante donde los delincuentes internacionales pueden probar sus ataques. Somos muy pequeños para tomar represalias, pero a la vez tenemos estándares de penetración digital comparables al primer mundo donde esos mismos delincuentes tienen sus principales objetivos.
El cibercrimen es un delito que mueve dinero, demasiado dinero. Si fuese una economía, sería la tercera más grande del mundo (sola la superaría Estados Unidos y China). Y como parte de un crimen organizado, es la segunda que más plata mueve (solo le gana el tráfico de armas, no así de drogas ilegales). Pero a diferencia del tráfico material, la propia actuación en el “anonimato” de internet acorta las chances de ser capturado o, al menos, baja la sensación de un riesgo inminente de ser perseguido por la Justicia.
El director de Cibercrimen de la Policía, Paulo Rocha, lo sabe: el Estado avanza, pero corre de atrás. En 2025 fueron formalizados cuatro hackers que atacaron a organismos públicos —incluyendo a la Dinacia, cuando alteraron el sitio web y expusieron información personal del presidente de la República, y al Ministerio de Salud—, pero son solo un puñado al lado de la cantidad de delincuentes involucrados en los demás casos.
Esa torre de ataques a razón de uno cada 13 minutos que vivenciaron los organismos sensibles de Uruguay en 2025 incluyeron redes internacionales, además de los pocos casos locales. Muchas de esas redes usaron viejos sistemas, y la mayoría aprovecharon la inteligencia artificial para automatizar el envío de mensajes a usuarios, probar identidades y contraseñas o convertir en imágenes hiperrealistas el mecanismo de fraude.
Y como los organismos al igual que las empresas se fueron blindando (en el sector privado que tiene consciencia del tema se destina entre el 3% y 5% del presupuesto a ciberseguridad, según los cálculos de Campiglia), como la sociedad fue aprendiendo, hubo un tipo de incidente que aumentó exponencialmente: la recolección de información.
En esta industria criminal que mueve más dinero ilícito que las drogas, fue creciendo la lógica de acceder a credenciales válidas, recoger información y ponerla a la venta. A veces ni siquiera eso: solo demostrar la capacidad de atacar, como esas competencias primitivas (y animales) en que entre los machos se disputaban quién era el dominante.
La recolección de información —como extracción de bases de datos— sin autorización sería el equivalente a un robo en la clasificación de delitos contra la propiedad. Pero no es lo mismo que un delincuentes haya robado una casa porque hubo un despiste y sus propietarios dejaron las puertas o ventanas abiertas, porque probaron las claves para desactivar la alarma cuando los habitantes estaban de vacaciones, porque rompieron una reja. Lo mismo sucede en los ciberdelitos. Y las causas principales están en la falta de prevención por errores humanos, el mal uso de los datos o el tener sistemas inactivos que los organismos se olvidan de su existencia y son tierra fértil para los atacantes.
En la mayoría de los casos —como sucedió con Ceibal o el BHU— hay un robo de identidad que permite el ingreso al sistema. A veces a datos no tan sensibles, a veces muy graves como el levante de facto del secreto bancario.
Por política europea, ante casos así las empresas y organizaciones deben informarle a los usuarios. Eso no sucede en Uruguay, aunque el gobierno trabaja en una reglamentación en ese sentido. El Banco Hipotecario, por mencionar el caso más grave y sensible, no tuvo la delicadeza siquiera de enviar un mail como lo hizo la compañía Iberia a todos sus viajeros tras el ataque recibido este 2025.
Pero Uruguay sí ya avanzó en alguna medidas preventivas. El segundo día de diciembre, el presidente Yamandú Orsi firmó un decreto en que se obliga a los organismos públicos a implementar la autentificación multifactor en menos de 120 días.
Se trata de un método que te pide más de una prueba para entrar a una cuenta (por ejemplo, tu contraseña y un código que te llega al celular a través de un SMS) para asegurarse que quien está ingresando al sistema sea el funcionario o jerarca verdadero y no alguien que robó una identidad o que lo hizo probando combinaciones automatizadas de usuarios y contraseñas.
La medida, que incluso tuvo que implementar la Universidad ORT Uruguay luego de padecer un ataque en 2025, puede no ser la más amigable con los usuarios. Mucho menos cuando se piensa en sistemas como los de Ceibal donde es necesario que el docente ayude a los escolares al ingreso uno a uno. Pero, hasta que se mejoren las protecciones, es un paliativo.
Campiglia lo explica de otra manera: los costos de padecer un ataque son mucho mayores que lo engorroso de la prevención. Ni que hablar cuando el ataque es severo y deja al sistema en jaque. El solo hecho de “apagar el incendio” y sin dejar todo funcionando, cuesta más de US$ 40.000 según la estimación que había hecho un estudio de la consultora KPMG. Y súmesele a eso el resto de reconstruir la casa digital para volver a habitarla.
En octubre, cuando atacaron al BHU, el Centro de Respuesta detectó al menos cinco ataques clasificados como de “muy alta” severidad. Son casos extremos, sensibles y caros (en todo sentido).
Pero, si “nadie está a salvo”, ¿tiene sentido cuidarse? Otra vez, vale la analogía médica. La mayoría de las vacunas no previenen el contagio de las enfermedades, sino que disminuyen los riesgos de los cuadros graves y la mortalidad. Y cuando la vacunación es más masiva, más chances de que esa inmunización reduzca también los contagios. El costo de una dosis es más efectivo que cualquier noche en un CTI. La lógica es la misma para los ciberataques, mucho más si se tiene en cuenta que una información que se roba y puede parecer poco sensible (como saber a qué escuela asiste un niño, cosa que ha pasado en el 2025), es potencialmente riesgosa si se hace ingeniería social: ¿ese niño fue cambiado de escuela porque es un testigo protegido? ¿Es víctima de violencia intrafamiliar? ¿Cuáles son sus rutinas si se quiere cometer un delito?
La alfabetización en habilidades informáticas de seguridad es parte de la clave. La última Encuesta de Usos de Tecnologías de la Información y la Comunicación muestra esa brecha en Uruguay. Cuatro de cada diez internautas con nivel educativo más bajo carecen de habilidades mínimas de ciberseguridad. Incluso en los sectores más ilustrados, más de la cuarta parte tiene conocimientos básicos o nulos.
¿Dejar de compartir información es la solución? Los Estados más conservadores —Uruguay se encuentra dentro de ellos en un sentido cultural—suelen pensar que dejar de divulgar datos o que un organismo público lo comparta con otro es una postura lógica. El derecho, la transparencia, la vida democrática y, sobre todo, la mejora de la calidad de vida a través de políticas públicas basadas en datos muestran lo contrario: la respuesta a las chances de ser atacado no debe ir en detrimento a restringir el acceso a datos estadísticos anonimizados, a información que es relevante para la esfera pública. Los organismos públicos no son los propietarios, sino la ciudadanía.
El debate parece alejado a la cotidianeidad, pero según las últimas discusiones en Naciones Unidas se trata de uno de los cinco principales problemas identificados para la próxima década.
