La advertencia es clara y contundente: el tiempo de la inacción terminó. Uruguay enfrenta una encrucijada tecnológica sin precedentes. La amenaza ya no es una hipótesis lejana, es una realidad operativa.
El reciente Decreto 66/2025 del Poder Ejecutivo marcó la cancha. Diario El Pueblo accedió a una entrevista exclusiva con el salteño Rafael Pereira Manager de PwC para la región quien, como experto en ciberseguridad y tecnologías, desmenuzó la normativa y pintó un panorama crudo de la realidad nacional.
La nueva reglamentación establece una necesidad imperiosa. Los organismos públicos y las empresas críticas deben alinearse a un marco de ciberseguridad. Esto abarca desde ministerios completos, gigantes estatales y organismos colaterales o dependientes.
Un marco estricto y validado
Rafael explicó que la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) lidera este proceso desde el Marco de Ciberseguridad en su actual versión 5 (MCU). El Ejecutivo definió el punto de inflexión, Agesic establece los lineamientos que todos deben cumplir.
Esta normativa (MCU) no es un invento local aislado. Se basó en el NIST de Estados Unidos, un estándar de buenas prácticas mundial. La clave radica en que este sistema permite medir la madurez de la Gestión de la Seguridad de la Información.
Al implementar este marco, el Estado podrá auditar a cada oficina. Se sabrá con exactitud qué tan protegida está la información. Esto elimina las zonas grises en la gestión de datos sensibles y prepara para la continuidad operativa a los organismos (resiliencia).
El especialista detalló que el abanico de exigencias es amplio. Incluye desde la capacitación del personal hasta pruebas de phishing. También exige monitoreos constantes y análisis de vulnerabilidad de los sistemas.
La realidad: «Estamos en el horno»
El diagnóstico de situación que brindó Rafael fue preocupante. Gran parte de los organismos públicos están «hiperatrasados» en gestión de la seguridad y ciberseguridad tecnológica. Aunque hay algunos que están muy ajustados a las exigencias. Pero la gran disparidad y la gravedad del asunto impulsó la celeridad del decreto.
El experto citó ejemplos concretos de las consecuencias de esta situación. Recordó casos que son de amplio conocimiento por la prensa como el caos vivido por la Intendencia de Paysandú tras un ataque. El gobierno departamental vecino tenía varias medidas de control que luego del ataque se podría decir que claramente no eran efectivas, no tenían gestión de riesgo adecuada y no se media la eficiencia de las mismas, como consecuencia el impacto en la Intendencia de Paysandú fue dramático afectando a los servicios de los ciudadanos y a la propia recaudación del Estado. Los respaldos estaban encriptados por los delincuentes. Hubo que retroceder más de medio año en los registros. Se llegó al extremo de pedir a los ciudadanos que llevaran sus boletas de papel para reconstruir y probar efectivamente la situación de sus las deudas.
En contrapartida, Rafael destacó el caso de Plan Ceibal. Este organismo logró certificarse en la norma ISO 27001. Gracias a tener un sistema de gestión, pudo reponerse rápidamente de un ciberataque reciente.
El mensaje del Ejecutivo fue interpretar este escenario. Se dieron cuenta de que otro ataque masivo los dejaría atados de pies y manos. La recuperación sería imposible sin un marco legal robusto que permitiera una gestión adecuada de la Seguridad de la Información.
Empresas críticas: el motor del país en juego
El decreto puso especial énfasis en las infraestructuras críticas. Rafael mencionó a DUCSA y ANCAP, como ejemplos de «perfil alto». Si estas empresas caen, se paraliza la distribución de combustible en todo el Uruguay. Esto hace a la criticidad. La normativa busca establecer la resiliencia tecnológica de los organismos críticos del país. Aunque en el caso de Ancap puntualmente es uno de los organismos mejor preparados.
“Para comprender la dimensión y el impacto pensemos en áreas de logística, fármacos, producción, etc.”. Es imperioso proteger la continuidad del negocio o la operativa y servicios críticos para los ciudadanos y empresas y al mismo motor económico del país. Si cualquiera de estos organismos sufriera un ataque y no tuviera un nivel aceptable de preparación, o sea, estuviera sin defensas, el daño sería catastrófico. No solo perdería dinero, sino que afectaría la vida cotidiana de todos los uruguayos.
El experto fue tajante sobre la inevitabilidad de los ataques. «Todo el mundo va a ser atacado y muchos sin saberlo ya están siendo atacados», aseguró. La diferencia la hará quien tenga los controles proactivos, de monitoreo y reactivos listos. Eso generará un «colchón de mitigación» ante el desastre.
Para evitar un colapso económico inmediato, AGESIC actuó con cautela. Decidió no exigir el cumplimiento inmediato a las empresas privadas críticas al menos en este año. Imponer inversiones millonarias de un día para el otro hubiera generado un caos en el mercado.
Inversión y «Carrito de Compras»
Uno de los puntos más consultados fue el costo de esta seguridad. Implementar la continuidad del negocio requiere mucha inversión de capital. Se necesitan centros de cómputos alternativos y líneas de backup.
Muchas empresas se encontraron con requisitos impresionantes. Al leer el decreto, notaron que no tenían presupuesto para cumplirlo. La «resiliencia digital» es cara, pero Europa ya la exige como norma.
Ante la duda sobre si hay personal capacitado, Rafael fue optimista. Confirmó que en Uruguay sí hay profesionales, aunque tal vez no en el mismo Estado, para afrontar el desafío. El problema histórico era cómo el Estado contrataba esos servicios.
AGESIC diseñó una solución transparente e innovadora. Creó un sistema de «carrito de compras» para contratar consultoras. Esto evita las contrataciones a dedo y los sobreprecios injustificados.
El funcionamiento es sencillo y cristalino. Se homologan empresas como PwC u otras locales. Se establecen precios de hora estándar para el mercado. Los organismos compran las horas de auditoría o acompañamiento para la implementación que necesitan directamente de ese menú.
Un plan gradual a tres años
La implementación no será de golpe. AGESIC generó un plan escalonado a tres años. El ritmo dependerá del perfil de criticidad asignado a cada organismo.
Durante el primer año, se exigirán las bases. Para el tercer año, los organismos críticos deberán tener planes de continuidad completos. Los menos críticos se enfocarán en monitoreo y concientización.
Esta gradualidad permitió destrabar la resistencia inicial. Los directores entendieron que podían licitar los recursos paso a paso. No se les exige sacar dinero de donde no tienen en el presupuesto actual.
Además, se habilitó la autoevaluación para los entes pequeños. Un director del agro o turismo puede entrar a la web de AGESIC y autodiagnosticarse. Un formulario automático le indica en qué nivel de seguridad se encuentra.
La matemática del riesgo
Rafael profundizó en cómo se decide qué proteger. Todo se basa en el análisis de riesgo: probabilidad por impacto. Se identifican los activos (datos, personas, sistemas, etc.) y se calcula cuánto dolería perderlos o simplemente verlos afectados.
El especialista ilustró esto con un ejemplo cotidiano. Si una red no tiene antivirus, la probabilidad de infección es altísima. Si el impacto también es alto, la multiplicación de factores obliga a actuar.
Las instituciones deben definir su «apetito de riesgo». Si el cálculo supera el límite aceptable, hay que invertir. Puede ser un antivirus hoy o un centro de datos mañana. Lo importante es bajar el riesgo a un nivel manejable.
El factor humano y la educación
Más allá de los fierros y el software, están las personas. El marco de ciberseguridad incluye dominios específicos para el capital humano. La capacitación en seguridad es un requisito ineludible.
Rafael insistió en la concientización. De nada sirve la mejor tecnología si el usuario cae en un engaño. Las pruebas de vulnerabilidad deben ser constantes para mantener la guardia alta.
El cambio cultural es quizás el desafío más grande. Hasta ahora, muchos veían la ciberseguridad como una «moda tecnológica lejana». Creían que los ciberataques nunca los afectaría.
Esa mentalidad cambió a la fuerza estos últimos años. Los hechos demostraron que nadie le daba importancia a las recomendaciones. AGESIC no tenía poder de fiscalización, solo sugería buenas prácticas.
Ahora, con el decreto, la sugerencia se transformó en obligación. O hacen algo, o quedan expuestos a una parálisis total. El Estado entendió que la seguridad digital es un asunto de soberanía.
Un futuro de auditorías constantes
El nuevo escenario trae controles permanentes. Lo que está claro es que AGESIC implementará facilidades para las auditorías año a año. Los organismos no podrán «correr solos» ni esconder sus falencias.
Rafael advirtió que la situación del sector privado también es grave. Las inversiones actuales están lejísimos de lo esperado internacionalmente. El informe de PwC DTI 2026 realizado con base en casi 4000 roles de dirección de corporaciones y empresas globales muestra que Latinoamérica debe acelerar el paso. Uruguay también.
El experto concluyó con una reflexión sobre la dependencia tecnológica. Hoy casi el 100% de los servicios y productos dependen de la tecnología. Un ciberataque está a un solo paso de «dejar muerta» a una empresa.
El caso del Banco Hipotecario sirvió de advertencia final. Quedó afectado en su operativa varios días tras un golpe digital. Si eso le pasa a un banco, el impacto en el Ministerio del Interior o Identificación Civil sería inimaginable.
Uruguay comenzó a transitar un camino sin retorno. El escudo digital se está forjando a marcha forzada. La seguridad de los datos depende ahora de qué tan rápido se cumpla este plan.
Que las empresas privadas “vayan poniendo las barbas en remojo” como reza el famoso dicho.
Acceda al texto completo del Decreto en el siguiente enlace:
https://www.impo.com.uy/bases/decretos/66-2025
Acceda al Informe Digital Trust Insight 2026 de PwC en este enlace:
https://www.pwc.com.uy/es/acerca-de-nosotros/publicaciones/encuesta-digital-trust.html
