En los últimos años, la digitalización del Estado ha traído consigo una serie de beneficios en términos de eficiencia y acceso a la información. Sin embargo, también ha expuesto a las instituciones públicas a un fenómeno preocupante: el aumento exponencial de los ciberataques o los hackeos.

En 2024, Uruguay registró 14.264 incidentes informáticos contra organismos estatales, (según el Centro Nacional de Respuesta a Incidentes de Seguridad Informática) un número que preocupa si se lo compara con los 4.968 reportados en 2023. En términos simples, esto significa que en promedio, hubo un ataque cada 30 minutos, una cifra que debería prender todas las alarmas.

Estos ataques no son simples expediciones de hackers amateurs. Según los registros oficiales, el 44,87% de los incidentes correspondió a recolección de información no autorizada, el 17,75% a problemas de seguridad en los sistemas y el 16,75% a la introducción de software malicioso (El País). Por ejemplo, en julio de 2024, la Intendencia de Paysandú sufrió un ataque que afectó gravemente sus sistemas, dejando en evidencia la vulnerabilidad de muchas estructuras digitales del Estado. Hace unos pocos días, el sitio web de la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (DINACIA) fue hackeado y se publicaron datos personales del Presidente de la República junto con un manifiesto político, generando gran preocupación sobre la capacidad del Estado para proteger información sensible.

Uruguay cuenta con legislación específica para la protección de datos personales. La Ley N° 18.331, de 2008, establece que las entidades que manejan información de particulares deben garantizar su confidencialidad y seguridad. Sin embargo, la normativa por sí sola, no resuelve el problema si no se acompaña de inversiones en tecnología y políticas de prevención eficaces. En 2020, el Decreto N° 64/020 vino a reforzar algunos aspectos técnicos de la ley, estableciendo criterios más estrictos para la auditoría y resguardo de la información, pero el crecimiento de los ataques demuestra que aún hay muchas fallas en la materia.

El problema no es solamente técnico y abstracto, sino que tiene implicancias concretas en la vida de las personas. Basta con suponer el caso de alguien que tramita un documento ante una dependencia estatal y, meses después, descubre que su número de cédula y su dirección fueron filtrados en internet. Este tipo de vulneraciones pueden dar lugar a fraudes bancarios, usurpaciones de identidad o incluso extorsiones. Otro ejemplo común es el robo de credenciales de acceso a sistemas gubernamentales, permitiendo que terceros accedan a información reservada de expedientes judiciales, registros médicos o antecedentes penales.

En un contexto donde los ataques son cada vez más sofisticados, la Estrategia Nacional de Ciberseguridad 2024-2030 (la elaboración de esta estrategia fue un proceso colaborativo que involucró a 49 instituciones públicas, 57 del sector privado, 12 del ámbito educativo, 6 organismos internacionales y 3 organizaciones de la sociedad civil) busca disminuir estos riesgos mediante medidas de prevención y fortalecimiento de la infraestructura digital del Estado.

Si bien la responsabilidad primaria recae en el Estado, los ciudadanos también pueden adoptar medidas para minimizar su exposición al riesgo. El uso de contraseñas seguras, la activación de autenticación en dos pasos en trámites digitales y la revisión periódica de la información personal en organismos oficiales pueden ayudar a detectar irregularidades a tiempo. También es fundamental denunciar cualquier actividad sospechosa que pueda comprometer la seguridad de los datos personales.

El aumento de los ciberataques debe ser tomado con alarma y la debida preocupación. No nos podemos dar el lujo de naturalizar este tipo de incidentes ni asumir que la digitalización del Estado no conlleva riesgos. La seguridad de la información es un derecho que debe ser garantizado con medidas concretas y eficaces. La confianza en el manejo de los datos personales no puede quedar sujeta a la suerte o a la buena voluntad de los atacantes; debe ser una prioridad real en las políticas públicas de modernización del Estado.