Saltar a contenido
Futuro Convivencia
Gustavo Betarte y Rodrigo Martinez. · Foto: Inés Guimaraens

Gustavo Betarte y Rodrigo Martinez.

Foto: Inés Guimaraens

Uruguay vive una paradoja: cuanto más se digitaliza, más se convierte en un blanco para los ciberdelincuentes, advierten expertos

Especialistas aseguran que el país ya no enfrenta “ataques aislados”, sino un “cambio estructural” impulsado por la inteligencia artificial, el crecimiento de los servicios digitales y una mayor exposición de datos.

Nuestro periodismo depende de vos

Si ya tenés una cuenta Ingresá

Uruguay suele aparecer entre los países más avanzados de América Latina en materia de gobierno digital. Durante los últimos años, el Estado amplió la cantidad de trámites que pueden realizarse completamente en línea, avanzó en la digitalización de servicios públicos y comenzó a desarrollar proyectos como la identidad digital y una futura billetera digital que permitirá a cada ciudadano portar documentación oficial desde el celular.

Sin embargo, esa misma transformación también incrementó la superficie de ataque para el cibercrimen. Cuanto mayor es la cantidad de información crítica, servicios y procesos que migran hacia entornos digitales, mayor es también el interés de organizaciones criminales capaces de explotar vulnerabilidades mediante herramientas cada vez más sofisticadas, muchas de ellas potenciadas por inteligencia artificial (IA), advirtieron expertos en diálogo con la diaria.

El principal desafío ya no consiste únicamente en seguir digitalizando el Estado, sino en lograr que las capacidades de protección evolucionen con la misma velocidad que los servicios digitales, señalaron los ingenieros Gustavo Betarte y Rodrigo Martínez.

Betarte, quien es profesor grado cinco del Instituto de Computación de la Facultad de Ingeniería de la Universidad de la República (Udelar) y responsable del Grupo de Seguridad Informática, sostuvo que Uruguay vive hoy una paradoja: el mismo proceso que lo convirtió en referente regional en gobierno digital también lo transformó en un objetivo más atractivo para los atacantes.

En la misma línea, Martínez, ingeniero en Computación, profesor de la Facultad de Ingeniería de la Universidad de la República (Udelar) y consultor sénior de seguridad de la información en Tilsor, sostuvo que el avance de Uruguay en materia de gobierno digital también “lo vuelve un objetivo interesante para los atacantes”, ya que cada vez más información crítica es gestionada por el Estado a través de internet, lo que “abre la puerta a que exista información potencialmente expuesta”.

En ese contexto, advirtió que el país enfrenta un “crecimiento constante” de los ciberataques, al punto de que “es muy difícil para las organizaciones seguir ese ritmo y poder protegerse”.

“Se está dando un cambio estructural, que recién ahora lo estamos empezando a visualizar, y creo que vamos a tener una estadística más clara a partir del año que viene, pero la IA es una herramienta que están usando los atacantes [...] y la velocidad con la que están saliendo este tipo de ataques es mucho más alta que la capacidad de parchear y de proteger las infraestructuras”, indicó.

Cifras

Según un reporte de enero de este año del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Certuy), durante 2025 se detectaron y respondieron 42.768 incidentes de seguridad, frente a 14.264 en 2024, mientras que solo 0,17% fueron clasificados como de severidad alta o muy alta. “Si consideramos los incidentes relevados en el mismo período de 2024, hubo un aumento del 199,83%”, afirmó.

Mientras tanto, el 9 de mayo, Yecsy Escalona, ejecutiva al frente de las operaciones de Fortinet en Bolivia, Paraguay, Uruguay y Venezuela, dijo a Forbes que “Uruguay recibió 495 millones de ciberataques en 2025” y señaló que los ataques dirigidos específicos aumentaron un 35%.

El costo de liderar la transformación digital

Betarte sostuvo que Uruguay atraviesa dos realidades que conviven y generan una tensión creciente. Por un lado, destacó que el país es uno de los que más avanzó en gobierno digital en la región y ocupa posiciones destacadas en los indicadores internacionales. Pero, al mismo tiempo, ese liderazgo incrementó su exposición frente al cibercrimen.

“Uruguay tiene dos realidades que están existiendo al mismo tiempo y que generan una tensión. Es uno de los países con mayor crecimiento en gobierno digital de la región y de las Américas en general. Entre 2022 y 2024 ocupó un puesto alto en el índice de gobierno digital de Naciones Unidas. Pero, sin embargo, esa misma modalidad digital lo convierte en un blanco muy atractivo”, afirmó.

Según explicó, el principal problema es que el fortalecimiento de las defensas no avanzó con la misma velocidad que la digitalización de los servicios públicos.

“Hay una brecha muy importante entre la sofisticación o la gran exposición de servicios que tiene hoy nuestro país a través de internet y, por otro lado, la madurez que tienen las defensas de nuestros sistemas. Hay un desbalance muy importante”, sostuvo.

A su juicio, ese fenómeno se aceleró durante la pandemia, cuando gran parte de los servicios públicos y privados migraron hacia plataformas digitales y el trabajo remoto se expandió.

“Al migrar gran parte de la disponibilidad de servicios y del trabajo remoto, lo que hizo Uruguay fue abrir las ventanas y las puertas de la casa. El tener sus servicios en internet genera una gran exposición que, si como contraparte uno no se prepara para protegerse -y yo creo que no lo hemos hecho al mismo nivel-, genera un problema”, explicó.

Para el investigador, esa mayor exposición no implica que la estrategia de digitalización haya sido equivocada. Por el contrario, consideró que el desarrollo del gobierno digital fue una decisión acertada y recordó el impulso que recibió durante las administraciones anteriores para que los ciudadanos pudieran realizar sus trámites completamente en línea.

Sin embargo, insistió en que ese proceso debía ir acompañado por inversiones equivalentes en materia de seguridad informática.

“Me parece bien que el país haya apostado por la digitalización. Pero si toda esa política de disponibilización de servicios a través de internet no es acompañada con las medidas adecuadas de protección de la seguridad y de la privacidad, entonces se convierte en un problema”, afirmó.

La IA acelera el cambio

Para Betarte, el aumento de los ataques no responde a una sucesión de episodios aislados, sino a un cambio estructural que viene desarrollándose desde hace años y que ahora se profundiza por el avance de la IA.

“Estos no son incidentes aislados. Hace ya muchos años que nosotros estamos alertando de que Uruguay pasó a ser un objetivo. Como tenemos tan permeada la digitalización, hay un montón de información y datos interesantes que son objetivos de distintos tipos de actores maliciosos”, afirmó.

Según explicó, además de la mayor exposición de datos, cambiaron las formas de atacar. Los ciberdelincuentes cuentan hoy con enormes volúmenes de información pública y herramientas capaces de automatizar tareas de reconocimiento, perfilamiento y selección de víctimas.

“Hay una combinación muy importante entre la gran cantidad de datos que disponibilizamos todos los días y las capacidades que tiene hoy la tecnología para hacer correlación, automatizar un montón de cosas y realizar ataques mucho más orientados”, señaló.

Una visión similar expresó Martínez, quien consideró que la inteligencia artificial marca un “punto de inflexión” para quienes buscan vulnerar sistemas informáticos.

“Creo que se está dando un cambio estructural que recién ahora estamos empezando a visualizar. La IA es una herramienta que están usando los atacantes y eso está llevando cada vez más a ataques sobre vulnerabilidades nuevas, que todavía no tienen parches ni soluciones. La velocidad con la que aparecen esos ataques es mucho más alta que la capacidad para proteger las infraestructuras”, explicó.

Martínez sostuvo que la IA ya está siendo utilizada para perfeccionar campañas de phishing y de ingeniería social, haciendo mucho más difíciles de detectar los intentos de fraude.

“Antes uno recibía un correo mal traducido y rápidamente se daba cuenta de que era falso. Hoy, con IA, esos mensajes son mucho más realistas. También empiezan a utilizarse voces y videos sintéticos que vuelven mucho más creíbles los ataques”, señaló.

Además, advirtió que la tecnología también está siendo empleada para identificar automáticamente vulnerabilidades y desarrollar herramientas capaces de explotarlas.

“Se están generando muchos ataques donde se explotan automáticamente vulnerabilidades que todavía no son conocidas. Entiendo que gran parte del crecimiento de esos ataques está impulsado justamente por la inteligencia artificial”, afirmó.

Por su parte, Betarte coincidió en que históricamente los atacantes incorporan las nuevas tecnologías antes que quienes deben defenderse.

“Los ciberdelincuentes siempre explotan antes la tecnología que quienes tratan de defenderse. Con la IA también pasa eso”, sostuvo.

De un problema técnico a una política pública

El crecimiento de los ataques también está modificando la forma en que la ciberseguridad es entendida dentro del Estado. Para Betarte, Uruguay avanzó en materia regulatoria, pero todavía necesita una estrategia más integral que combine normas, capacidades técnicas y organización.

Uno de los ejemplos que mencionó es el decreto aprobado a fines de 2025, que obligó a los organismos públicos a implementar autenticación multifactor para acceder a sus sistemas. Sin embargo, recordó que recientemente trascendió que apenas una pequeña parte de los organismos había cumplido con esa exigencia.

“Eso es una alerta importante. Y solamente estamos hablando de reforzar mecanismos para la autenticación de los usuarios, cuando además tenemos muchos otros problemas de seguridad a nivel de las plataformas e infraestructuras de los organismos públicos y también de las empresas del Estado”, sostuvo.

Según una nota publicada por Búsqueda a finales de junio, solo diez de 244 organismos públicos cumplían con el decreto 275/025 para reforzar la seguridad informática en toda la administración pública.

Acciones desde el Estado

El gobierno busca incorporar un nuevo mecanismo de seguimiento de la ciberseguridad en el Estado. A través del proyecto de Rendición de Cuentas, propuso que, una vez al año, todos los organismos públicos elaboren un informe sobre el estado de sus sistemas de protección informática y lo presenten ante la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), siempre que la iniciativa sea aprobada por el Parlamento.

Para Betarte, los avances regulatorios, como el establecido en la Rendición de Cuentas, muestran que existe una preocupación creciente por la ciberseguridad, pero todavía hace falta profundizar una política pública que abarque todas las dimensiones del problema.

En una línea similar, Martínez consideró que la obligación de que los organismos públicos presenten informes anuales sobre su nivel de ciberseguridad constituye un paso relevante porque permite dar seguimiento al cumplimiento del marco de ciberseguridad impulsado por Agesic.

“El informe complementa lo anterior porque obliga a los organismos a mostrar cuál es su estado de avance y qué piensan hacer. De alguna manera los fuerza a rendir cuentas sobre la implementación”, explicó.

No obstante, ambos especialistas coincidieron en que el principal desafío continúa siendo cultural. Martínez sostuvo que muchas organizaciones todavía reaccionan únicamente después de sufrir un incidente.

“La ciberseguridad se sigue viendo como un gasto y no como una inversión. Recién cuando tienen un incidente es muy difícil que las organizaciones piensen en invertir, como uno piensa en contratar un seguro”, señaló.

Betarte también consideró que el país necesita fortalecer sus capacidades humanas para acompañar la transformación digital. En ese sentido, sostuvo que Uruguay requiere formar más técnicos, ingenieros e investigadores especializados en ciberseguridad, además de incrementar la inversión en investigación y desarrollo desde el sistema científico y educativo.

“Necesitamos más capacidades de ingeniería en ciberseguridad, más investigación y más posgraduados que acumulen conocimiento y lo transfieran al sector productivo”, afirmó.

Identidad digital: una innovación con nuevos desafíos

El próximo gran paso de la transformación digital del Estado será el desarrollo de una identidad digital y una billetera digital, proyectos impulsados por Agesic que buscan concentrar la documentación en formato digital para facilitar la interacción de los ciudadanos con los organismos públicos.

Para Betarte, se trata de iniciativas con potencial para simplificar trámites y ampliar el acceso a servicios, pero que también exigen incorporar la ciberseguridad y la protección de la privacidad desde el diseño.

“Claramente uno puede visualizar distintos tipos de amenazas”, afirmó, aunque aclaró que todavía no se conocen todos los detalles técnicos del proyecto. Recordó que recientemente investigadores de la Udelar participaron de una presentación realizada por Agesic sobre la hoja de ruta de la identidad digital y la futura billetera digital.

El investigador sostuvo que será necesario desarrollar modelos de amenazas que permitan evaluar distintos escenarios antes de la implementación.

“Es una realidad bastante compleja; es una combinación de factores económicos, sociales y humanos que requiere un estudio serio y detenido”, señaló.

Según explicó, uno de los aspectos centrales será definir cómo se administrarán los datos personales y cuánto control tendrán los propios ciudadanos sobre esa información.

Betarte advirtió que una arquitectura excesivamente centralizada podría incrementar los riesgos de seguridad y privacidad.

“Toda la información de la persona concentrada en un único lugar obviamente genera riesgos. Son iniciativas interesantes, que pueden facilitar muchos procesos e incluso tener un efecto democratizador, pero también pueden generar nuevas brechas si no todos tienen acceso a dispositivos adecuados o si no se diseñan con criterios de seguridad y privacidad desde el comienzo”, afirmó.

Por su parte, Martínez coincidió en que cualquier nuevo servicio digital amplía la superficie de ataque.

“Siempre que pasamos un servicio a modalidad digital agrandamos la exposición de los datos. Todavía hay poca información sobre cómo será el uso final de estas herramientas, pero seguramente aparecerán nuevos vectores de ataque”, sostuvo.

Para ambos especialistas, el desafío no consiste en frenar la transformación digital, sino en garantizar que cada nuevo servicio incorpore la seguridad desde su concepción. Como resumió Betarte, Uruguay continuará digitalizando activos cada vez más críticos para el funcionamiento del Estado y para la vida cotidiana de los ciudadanos.

“Lo que tenemos que apuntar es a darle la mayor protección posible a todos esos activos digitales, de los cuales depende el funcionamiento del país, pero también nuestra privacidad y nuestra seguridad como ciudadanos”, concluyó.