Los ciberataques responden, en general, a diferentes motivaciones. La primera es económica. La ciberdelincuencia funciona hoy como una industria global del crimen organizado, mueve cifras similares al narcotráfico y se sostiene sobre ecosistemas de lavado de dinero. Sus estrategias son variadas: desde fraudes dirigidos a personas hasta secuestros de información (como el ransomware) en empresas y ataques a bancos o sistemas financieros. Así lo explicó la especialista Marcela Mercapidez, quien ha liderado proyectos de innovación tecnológica y seguridad de la información en instituciones como el MEF, Ceibal, ANII y Antel, entre otros.
La segunda motivación es política o ideológica, conocida como hacktivismo. En este caso, el objetivo no es obtener ganancias, sino generar impacto, presión o desprestigio hacia instituciones, en ocasiones gubernamentales. Uruguay, por su alto grado de digitalización y exposición tecnológica, se ha vuelto un “blanco atractivo” para este tipo de ataques.
La experta recordó que históricamente, el Estado uruguayo —al igual que el sector privado— ha sido víctima de ciberataques, “una tendencia que no ha dejado de crecer”. En los últimos dos años, este tipo de incidentes se ha incrementado de forma exponencial, según los registros de Agesic. “Los ataques no son un fenómeno nuevo, lo que cambió es su visibilidad. En el pasado, muchos incidentes quedaban fuera del conocimiento público; hoy, en cambio, los delincuentes buscan deliberadamente hacer ruido. La exposición mediática se ha convertido en parte de su estrategia”, aseguró la ingeniera.
“Mi percepción es que esta resonancia creciente no responde solo a fines económicos. En algunos casos, también persigue objetivos políticos o ideológicos, especialmente cuando se trata de instituciones estatales. Los atacantes no solo quieren dinero, sino también influencia, impacto o notoriedad”, remarcó.
Por último, dijo que, si bien Uruguay como país neutral no es un país con riesgo geopolítico alto, existe una tercera dimensión a considerar: la ciberguerra e inteligencia. En un plano más sutil, servicios de inteligencia de potencias globales usualmente mapean la infraestructura de otros países. No se trata necesariamente de hacer daño o extorsionar, sino muchas veces de generar información de inteligencia, añadió. Aclaró que más allá de que podría no revestir un riesgo directo, no significa que el país no esté recibiendo operaciones en busca de información.
La experta explicó que, en Uruguay, los infostealers —malwares diseñados específicamente para robar credenciales y cookies de sesión— se han convertido en uno de los vectores de ataque más relevantes. Estas herramientas, disponibles incluso en foros clandestinos como “servicios” listos para usar, permiten a los delincuentes obtener accesos válidos sin necesidad de ejecutar intrusiones complejas.
En muchos casos, no se trata de hackeos sofisticados, sino del uso de usuarios y contraseñas reales obtenidos mediante infostealers, phishing, errores humanos o vulnerabilidades conocidas. Una vez dentro, los atacantes pueden moverse lateralmente, exfiltrar información o desplegar ransomware con mínima fricción.
La respuesta del Estado: avances y deudas pendientes
Pese a las dificultades, Mercapidez considera que el Estado uruguayo ha demostrado en los últimos períodos de forma continua un compromiso creciente con la ciberseguridad, impulsando iniciativas y avances que merecen ser destacados.
En primer lugar, mencionó que se ha desarrollado una Estrategia Nacional de Ciberseguridad, acompañada de un Marco de Ciberseguridad actualizado para evaluar y fortalecer la madurez de la postura de seguridad de los organismos públicos. “Esta hoja de ruta brinda lineamientos claros para la gestión de riesgos, la respuesta ante incidentes y la mejora continua”, opinó.
A su vez, afirmó que la adhesión al Convenio de Budapest —acuerdo internacional que armoniza marcos legales para la persecución de delitos informáticos a nivel global— y la promulgación de la Ley de Ciberdelito representan pasos decisivos hacia la modernización del marco normativo. “Por primera vez, Uruguay cuenta con tipificaciones específicas para delitos digitales, lo que permite investigar y sancionar con mayor eficacia”, subrayó.
Dijo también que se observa una creciente conciencia sobre la importancia del capital humano. En este sentido, ejemplificó que el Estado y las universidades del ecosistema han comenzado a invertir en formación de profesionales especializados, fortaleciendo una base de conocimiento que será “clave” para la próxima década.
“Uruguay, además, cuenta con un ecosistema tecnológico sólido, con empresas, equipos técnicos y capacidades que se han desarrollado en alineación con las políticas públicas. La articulación entre sector público, académico y privado constituye uno de los pilares fundamentales para consolidar una defensa digital sostenible”, expresó.
Sin embargo, aseguró que la madurez del Estado en materia de ciberseguridad es muy desigual, puesto que existen déficits estructurales y puntos débiles que no pueden pasarse por alto. Entre ellos, mencionó la falta de recursos y priorización. “El Estado enfrenta múltiples demandas presupuestales, y cuando ‘la torta es chica’, la ciberseguridad suele quedar relegada. Esto se traduce en inversiones reactivas o insuficientes frente a la magnitud del riesgo”, advirtió.
Se refirió también a la desigualdad entre organismos, enfatizando que la madurez en ciberseguridad varía significativamente entre distintas áreas del gobierno. “Mientras algunos ministerios o entes han avanzado en procesos y capacidades, los organismos del interior del país enfrentan una brecha marcada en recursos, infraestructura y formación”, indicó.
Además, hizo alusión a la cadena de suministro débil, es decir, que muchas instituciones públicas aún no evalúan la seguridad de sus proveedores y contratistas, por tanto, el foco sigue puesto en la propia organización, sin contemplar que una brecha en un tercero puede convertirse en la puerta de entrada al Estado.
Finalmente, aseveró que todavía falta una cultura sólida de respuesta y aprendizaje ante incidentes. “Invertir para prevenir lo que aún no ocurrió siempre es difícil de justificar, pero es lo que diferencia a una organización reactiva de una resiliente”, concluyó al respecto.
Recomendación clave: no improvisar y buscar al especialista
En ciberseguridad, el trabajo más importante de una organización ocurre antes del incidente, de acuerdo con Mercapidez. De hecho, declaró que la verdadera defensa comienza con una estrategia preventiva: identificar los activos críticos, evaluar los riesgos, definir políticas de protección y establecer controles que reduzcan la posibilidad de error o negligencia.
Pero incluso dejó en claro que, con todas las medidas, la probabilidad de sufrir un ataque nunca es cero. Por eso, además de prevenir, es esencial planificar cómo responder, adelantó. La gestión del impacto implica saber qué está ocurriendo, cómo contener el daño, qué decisiones tomar y con qué recursos hacerlo. En ese momento, según su visión, no se puede improvisar. La falta de preparación o de especialistas calificados puede agravar el impacto, sostuvo.
“Esto requiere procedimientos claros y apoyo profesional especializado. Contar con un área de TI o personal técnico no equivale a tener un equipo capaz de manejar un incidente de ciberdelincuencia. La analogía es sencilla: si están robando mi casa, probablemente lo mejor es llamar a la policía, no al albañil ni al arquitecto, por más que estos perfiles conozcan cada rincón de la casa en la que vivo. Así como hay quienes se dedican a atacar, también existen profesionales especializados en proteger, contener y recuperar. La diferencia entre el caos y la resiliencia está en la preparación, y en saber a quién llamar”, señaló la especialista.