Ciberincidentes y protección de datos en Uruguay: claves del informe 2025 de CERTuy
El último informe de CERTuy, el Centro Nacional de Respuesta a Incidentes de Seguridad Informática…
Read more
Por Manuel Pittaluga, socio – Data Privacy
El último informe de CERTuy, el Centro Nacional de Respuesta a Incidentes de Seguridad Informática de Uruguay, deja un mensaje claro para las organizaciones: la pregunta ya no es si van a enfrentar un incidente de ciberseguridad, sino cuándo y con qué nivel de preparación.
Durante el primer semestre de 2025 se registraron más de 17.000 ciberincidentes en el país. Este dato no debe interpretarse únicamente como un aumento de ataques. En parte, refleja una mejora en las capacidades de detección y monitoreo del ecosistema digital uruguayo. Sin embargo, el escenario sigue siendo exigente: la superficie de exposición continúa creciendo y muchas organizaciones aún reaccionan tarde.
Uno de los aspectos más relevantes del informe es que la mayoría de los incidentes detectados corresponde a recolección de información. Este tipo de eventos suele minimizarse por no generar un impacto inmediato visible. No obstante, en la práctica, son frecuentemente la antesala de ataques más complejos, como accesos indebidos, filtraciones de datos o afectaciones a activos estratégicos.
Desde una perspectiva jurídica y de gobernanza, este punto es central. La ciberseguridad ya no puede abordarse como un problema exclusivamente técnico. Involucra protección de datos personales, cumplimiento normativo, preservación de información confidencial y los deberes de diligencia de directores y administradores.
Cuando están comprometidos datos personales o bases de datos, entran en juego responsabilidades legales, obligaciones de notificación ante autoridades, riesgos regulatorios y consecuencias reputacionales relevantes. En este contexto, contar con políticas adecuadas, capacitar equipos y disponer de planes de respuesta a incidentes deja de ser una buena práctica para convertirse en un componente esencial de una gestión responsable del riesgo digital.
El informe de CERTuy funciona, así, como un recordatorio incómodo pero necesario: invertir en prevención no es opcional. La verdadera madurez digital no se mide por la ausencia de incidentes, sino por la capacidad de detectarlos oportunamente, gestionarlos adecuadamente y aprender de ellos.
Anticiparse también es parte de una adecuada protección jurídica de la información y de los datos personales.