El eslabón más débil: El usuario sigue siendo la principal grieta en la ciberseguridad uruguaya
En un mundo hiperconectado, la cerradura de nuestra vida digital sigue dependiendo, en gran medida, de una combinación de caracteres que solemos descuidar. Cada primer jueves de mayo se conmemora el Día Mundial de la Contraseña, una fecha que busca concientizar sobre un dato alarmante: el 94% de las contraseñas a nivel global son débiles o reutilizadas. En Uruguay, la situación no es ajena a esta tendencia y los números oficiales reflejan una vulnerabilidad creciente.
Según el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), en 2024 se detectaron 14.264 incidentes de ciberseguridad en el país. La cifra no solo representa un aumento del 65% frente al año anterior, sino que arroja un promedio escalofriante: en Uruguay se registra un ciberataque cada 30 minutos. La mayoría de estos eventos, phishing, robo de credenciales y accesos no autorizados, explotan la misma debilidad: claves vulnerables o reutilizadas.
A esto se suma que, de acuerdo con el Informe Datasec 2025, el 77% de las empresas uruguayas no cuenta con políticas documentadas de ciberseguridad, y casi la mitad no realiza capacitaciones periódicas a sus colaboradores sobre buenas prácticas digitales A pesar de la frecuencia de los ataques, el país mantiene un liderazgo institucional sólido.
El Estado uruguayo ha avanzado en la infraestructura digital para la realización de trámites y hasta el almacenamiento de datos personales de los ciudadanos. Sin embargo, queda la incógnita si la ciberseguridad tiene el mismo nivel de desarrollo.
El Explorador conversó con Naciela Olivera, Gerente de Tecnología, Datos y Seguridad del Grupo Quantik. Su trabajo se enfoca en fortalecer la seguridad de la información, la identidad digital y la adopción de buenas prácticas para proteger a las organizaciones y sus usuarios. Ella destaca que Uruguay integra el grupo de naciones de América con un nivel «avanzado» en madurez de ciberseguridad, compartiendo podio con potencias como Canadá.
«Uruguay cuenta con una base institucional relevante: normativa de protección de datos, un gobierno digital consolidado, el trabajo del CERTuy y una Estrategia Nacional de Ciberseguridad 2024-2030 que reconoce la necesidad de proteger infraestructuras críticas», explica Olivera con más de 25 años de experiencia en tecnología y transformación digital. Sin embargo, advierte que el indicador de madurez país no siempre se traduce en la seguridad individual: «El desafío está en transformar esa madurez en protección cotidiana y efectiva para las personas: mejores hábitos digitales y empresas más responsables».
A menudo se culpa a la falta de atención del ciudadano, pero para Olivera la responsabilidad es compartida. «No usaría la palabra descuidado, porque suena a que toda la responsabilidad es del usuario. Lo que sucede es que muchas personas todavía resuelven la seguridad desde la comodidad», señala.
Aunque el uso del doble factor de autenticación (2FA) ha dejado de ser una herramienta «para expertos» y comienza a normalizarse, el ritmo de aprendizaje del usuario sigue siendo más lento que la evolución del crimen organizado en la red. «El doble factor es el camino sano, porque en trámites sensibles no podemos depender únicamente de algo que alguien puede robar, adivinar o hacer que entreguemos mediante engaño«, afirma la experta.
La transición hacia el fin de las contraseñas
Uruguay, pionero en Gobierno Digital, ya transita el camino hacia sistemas passwordless (sin contraseña). A través de ID Uruguay y la plataforma de Agesic, el Estado busca que la identidad digital no dependa de una clave memorizada, sino de factores más robustos como la biometría, el chip de la cédula o la firma digital.
«Agesic ya comenzó a implementar el doble factor obligatorio para el usuario gub.uy. Estamos yendo hacia una identidad digital donde la contraseña se usará cuando corresponda, pero se priorizarán mecanismos más seguros», comentó Olivera. No obstante, aclara que para el sector privado el salto no es inmediato: «No es simplemente sacar el campo de ‘contraseña’ de una pantalla. La empresa debe saber cómo identificar al usuario, cómo recuperar una cuenta si se pierde el celular y cómo detectar el fraude».
Ley de Protección de Datos Personales
Uno de los puntos más críticos es qué sucede cuando la seguridad falla del lado de la organización. En Uruguay, la Ley de Protección de Datos Personales establece obligaciones claras. Ante una filtración, las empresas no solo enfrentan un problema técnico, sino un compromiso legal y reputacional.
«Si la filtración se produjo por una falla en sus propios sistemas, la empresa debe asumirlo como un incidente de seguridad», enfatiza Olivera. La normativa exige comunicar la vulneración a la Unidad Reguladora y de Control de Datos Personales (URCDP) en un plazo de 72 horas. «Una filtración no es un trámite operativo menor. La respuesta tiene que ser rápida, transparente y con evidencia de que se actuó correctamente para proteger al usuario».
Por otro lado, la especialista aclara que “una contraseña robusta ayuda, pero no alcanza. En un ataque de phishing, muchas veces el delincuente no intenta hackear la contraseña si no más bien intenta que la persona se la entregue”.
Continúa: “Por eso, frente a campañas que suplantan bancos, entes públicos o empresas conocidas, la defensa tiene que ser más amplia: contraseña única, doble factor, no entrar desde links recibidos por WhatsApp, SMS o correo, revisar bien el dominio y usar siempre canales oficiales”
¿Qué hacer ante una filtración?
Para el ciudadano común que detecta que su información circula en bases de datos filtradas lo primero es “no entrar en pánico, pero sí actuar rápido”, la experta recomienda tres pasos inmediatos: lo primero es asegurar el correo, cambiar la clave de la cuenta principal (que suele ser la llave de recuperación de todo lo demás), cerrar sesiones abiertas y activar el doble factor.
Segundo paso es identificar si esa clave se repetía en bancos o aplicaciones financieras y cambiarlas de inmediato. “Revisar si esa contraseña filtrada ha sido utilizada en alguna otra cuenta, aplicación o servicio comenzando por los más críticos como cuentas bancarias, billeteras electrónicas, correos secundarios de recuperación. Si la ha repetido, hay que cambiarla también. El problema no es solo que se filtre una clave; el problema es que esa clave abra varias puertas”
Por último, recomienda estar atentos a las “señales raras”. “Revisar reglas de reenvío en el correo, dispositivos conectados, teléfonos o mails de recuperación, movimientos bancarios, accesos recientes y mensajes enviados. Si hubo pérdida económica, intento de suplantación o acceso a cuentas sensibles, hay que contactar al banco o al proveedor por canales oficiales y hacer la denuncia correspondiente”.
Inversión de Pymes en ciberseguridad
En el país existen muchas micro, pequeñas y medianas empresas que manejan información sensible de muchos clientes y que no están exentas de que puedan vulnerar su base de datos. Por ellos, que Naciela Olivera recomienda a esas empresas comenzar por “algo muy concreto y básico que requiere poca inversión y genera un alto impacto: ordenar los accesos. Tomando las acciones como no compartir usuarios, activar doble factor en correo y sistemas críticos, usar un gestor de contraseñas y revisar quién tiene acceso a qué información según su rol y funciones. Estas acciones ya mejoran mucho su postura en cuanto a seguridad”.
“Lo segundo es encarar las obligaciones legales y normativas en cuanto a datos personales. Recomiendo que utilicen la guía publicada por la URCDP para micro, pequeñas y medianas empresas sobre protección de datos personales, la cual recuerda obligaciones como la inscripción de bases, la gestión adecuada de datos y la comunicación de vulneraciones cuando ocurren”, cerró.
Es importante recordar que Quantik es un grupo empresarial uruguayo, fundado en 1979, que brinda soluciones tecnológicas de integración TIC, software y movilidad eléctrica en Latinoamérica y el mundo, integrado principalmente por empresas como Isbel, HeyNow y Swapy. Con más de 40 años de trayectoria, transforma tecnología en rendimiento empresarial desde Montevideo.
