El último 24 de julio, Uruguay amaneció con chaparrones aislados. En Paysandú, el sexto departamento más poblado de Uruguay, la jornada empezó más cubierta que lo anunciado. Un vecino intentó pagar los tributos a distancia y la computadora solo le devolvió mensajes de error. Otro quiso revisar su expediente electrónico y no pudo. Poco a poco empezaron a llover los reclamos: los sistemas informáticos del gobierno departamental habían quedado en jaque.
Fue uno de los ataques informáticos más graves —y caros— que enfrentó Uruguay durante el último año. Más de un semestre después, el departamento no se recuperó del todo y la comuna destinó “mucho más” que “medio palo verde” (medio millón de dólares) para la recuperación de una parte de lo perdido.-
Los técnicos le llamaron al caso “Costa Rica versión local”, en alusión al ciberataque que dejó al Estado costarricense sin funcionar en 2022. La analista programadora de la Intendencia de Paysandú, Andrea Innella, lo había explicado de otra manera: “Por más que quisiéramos, no podíamos recuperar” la información que los ciberdelincuentes habían sustraído, encriptado, y para la que pedían un “abultado rescate”.
Ese ataque —que paralizó la liquidación de sueldos, el sistema tributario, el correo electrónico, el sitio web institucional, el registro civil y la conectividad con el Sucive— fue solo uno en la estadística de los 14.283 que reportó el CERTuy en el último año: uno cada media hora.
Los incidentes informáticos contra el Estado uruguayo —y otros organismos sensibles como los bancos— dibujan una línea que crece como una exponencial: son casi el triple que al año anterior, más que septuplican los casos de hace un lustro.
Nada hace pensar que la tendencia se revierta este 2025. Al contrario. Un informe del Banco Mundial, publicado en el libro Economía de la ciberseguridad para los mercados emergentes (2024), revela que los ciberincidentes reportados en Latinoamérica han aumentado un 25% anual en la última década (siendo la región con un incremento más acelerado y sin miras de detenerse).
Los ciberataques son, para la elite que discute en el Foro Económico Mundial, una de las cinco principales amenazas para el futuro cercano de la humanidad. Y para Mauricio Papeleo, director de Seguridad de la Información del gobierno, también lo es para Uruguay. Sobre todo para algunos organismos públicos cuya madurez en términos de seguridad informática se encuentra en estado "crítico".
Este “incremento natural y exponencial de los incidentes a nivel mundial” es la primera explicación del aumento sin precedentes de los ciberataques registrados en Uruguay. Pero la Agencia de Gobierno Electrónico dice que a eso se les suma “la implementación de nuevas metodologías de detección, la incorporación de nuevos casos de uso en el análisis de amenazas (incluyendo la automatización de procesos) y el fortalecimiento de los sistemas de monitoreo en los organismos del Estado”.
Eso sí: la mayor capacidad de detección no significa que vengan encontrándose incidentes de menor magnitud. Todo lo opuesto. El análisis por severidad revela que la categoría "media" fue la que presentó el mayor crecimiento, pasando de 2.507 incidentes en 2023 a 11.086 en 2024, lo que significa un aumento del 342,2%.
Un ataque informático es como el incendio de una casa. El solo hecho de apagar el fuego, cuando el incidente es de “alta” severidad, cuesta unos 50.000 dólares cada 15 días de trabajo. Pero eso no incluye el reacondicionamiento de la casa y que vuelva a ser habitable.
La información vale
Cuando estaba terminado el 2024, el Ministerio de Salud Pública (MSP) de Uruguay sufrió un ciberataque. Se filtró una base de datos que contenía más de 2.000 correos electrónicos de funcionarios y personas vinculadas a la institución.
Un grupo delictivo anunció la venta de accesos a cuentas del MSP, junto con otras entidades como la Dirección General Impositiva (DGI) y República AFAP. Para demostrar la autenticidad de la filtración, los atacantes expusieron datos de una cuenta perteneciente al exlegislador Gustavo Penadés.
La recopilación de información —ya sean bases de datos o bien el robo de usuarios y contraseñas— constituye el ciberdelito más detectado contra los organismos sensibles de Uruguay.
Los ciberdelincuentes acceden a bases de datos de distintas organizaciones y las venden en internet. Por el ataque a la Intendencia de Paysandú, por ejemplo, exigieron 650 mil dólares (que la comuna no pagó porque eso suponía "financiar a la delincuencia")
"Una vez que tus datos son subidos a internet, quedarán ahí para siempre. Incluso si tomás acciones legales para borrarlos o el administrador del sitio decide eliminarlos, no tenés control sobre cuántas personas ya los descargaron o replicaron", explicó Mauro Eldritch, analista en ciberseguridad.
La replicación de datos vulnerados puede distribuirse "ad infinitum" y, casi siempre, sin que comprendamos el alcance de esa distribución.
Las herramientas de inteligencia artificial están facilitando la detección de los ciberataques, pero también las capacidad de los perpetradores de hacer daño. Por eso ha iniciado una carrera en que atacantes y defensores se disputan el poder. Y en esa puja caben todo tipo de usuarios y organismos.
Más ciberataques en Uruguay
Partidos políticos y otras instituciones públicas fueron víctimas de hackeos que tuvieron repercusión en el último año.
El Partido Nacional sufrió tres adulteraciones de su sitio web que llevó a su presidenta, Macarena Rubio, a presentar denuncias ante la Unidad de Cibercrimen.
El Correo Uruguayo fue uno de los objetivos de los ciberataques perpetrados por el grupo ExPresidents en 2024. Los atacantes lograron publicar certificados VPN de la institución, documentos que permiten acceder a su red interna como si fueran usuarios legítimos.
Además, según supo El Observador, hubo ataques clave a empresas privadas. El grupo de cibercriminales Akira atacó a la cadena de Supermercados El Dorado, filtrando 18 GB de datos sensibles de la empresa. La información comprometida incluyó documentos internos, datos de clientes y proveedores, y detalles financieros.
¿Quiénes atacan en Uruguay? Las nacionalidades se desconocen a ciencia cierta. La empresa Birmingham Cyber Arms, que se dedica a estudiar estos ataques en el país, conoce los nombres de estas compañías, que en algunos casos publican su autoría del delito en foros cibercriminales como Breach Forums, un lugar que el FBI logró desmantelar en 2024, pero que fue reconstruido por atacantes al poco tiempo.
Los autores del ataque más importantes en el país fueron ExPresidents, GODHAND, Lockbit, APT73 y Akira.
