El Centro Nacional de Respuesta a Incidentes de Seguridad Informática reporta en su página web que durante el año pasado se detectaron 42.768 incidentes de seguridad de la información. La modalidad de ciberataque más utilizada fue el phishing, presente en el 73% de los incidentes constatados en 2025, vinculados principalmente al robo de datos bancarios y personales. En muchos casos, estos ataques suplantan la identidad de bancos, organismos del Estado u otras empresas.
Los delincuentes utilizan correos electrónicos, mensajes de texto o WhatsApp, y provocan pánico mediante avisos de cuentas bloqueadas o premios falsos, estrategias muy frecuentes para obtener información sensible.
Al comparar estos datos con los delitos relevados en 2024, se observa un aumento cercano al 200%. Este crecimiento no es exclusivo de Uruguay: se trata de un fenómeno global que se expande y se perfecciona constantemente.
El 73% de los incidentes corresponde a recolección de información o robo de datos, seguido por ataques a la seguridad de la información, que representan el 17% de los casos. Estas acciones comprometen las cuentas de los usuarios en sistemas estatales. Los meses con mayor cantidad de incidentes fueron mayo, noviembre y diciembre, este último con un pico de 6.400.
Cada usuario es responsable de su cuenta y, en ocasiones, la curiosidad por abrir un mensaje sospechoso impide dimensionar las consecuencias futuras. Del otro lado, una persona u organización, desde cualquier parte del mundo, aprovecha ese descuido para extraer datos.
De este modo se sustrae dinero de cuentas bancarias o información sensible que luego se comercializa en un mercado ilícito cada vez más grande y en expansión. Así, en cuestión de minutos, pueden cambiarse vidas o situaciones económicas familiares.
Este delito internacional mueve enormes sumas de dinero, incluso más que el narcotráfico, al punto de ser considerado la tercera economía del mundo.
Las modalidades de engaño son diversas y apelan a reacciones simples como el miedo, la credulidad o la curiosidad. Son emociones explotadas en supuestas oportunidades para ganar dinero o en pedidos urgentes vinculados a familiares enfermos o con problemas legales. Incluso, en muchos casos, la estafa se presenta con el logo de la institución bancaria donde la víctima tiene sus ahorros, alegando falsos errores técnicos. Mientras la protección contra los ciberdelitos se masifica, los delincuentes también perfeccionan sus técnicas. Por ello, son necesarias campañas educativas en medios tradicionales, plataformas digitales y redes sociales, que reiteren —tantas veces como sea necesario— que la ciudadanía está expuesta diariamente a ataques cada vez más sofisticados.
Actualmente, Uruguay es miembro observador del Convenio sobre Delitos Cibernéticos, o Convenio de Budapest, cuya adhesión plena permitiría un mayor acceso a la cooperación internacional en la materia.
La sofisticación de los mecanismos de engaño avanzó rápidamente con el uso de inteligencia artificial, desde la reproducción de logos institucionales hasta detalles específicos de ciudades o hábitos de vida de las víctimas. Esto exige una mayor alerta. Las vulnerabilidades son estructurales y requieren una combinación de medidas técnicas y educativas, especialmente en una población cada vez más habituada a la economía digital y al uso intensivo de dispositivos para pagos, cobros y otras transacciones.
Hace unos meses, un decreto presidencial obligó a los organismos estatales a implementar sistemas de autenticación para acceder a sus servicios. Los datos sensibles circulan con mayor frecuencia por Internet y son obtenidos mediante phishing, vulnerabilidades de sistemas no actualizados, malware o ransomware.
El decreto introdujo la versión 5.0 del Marco Nacional de Ciberseguridad, que exige, además de usuario y contraseña, un código adicional o un dispositivo de verificación, con el objetivo de reducir riesgos. Este marco obligatorio dificultará la labor de los ciberatacantes; sin embargo, la capacidad de respuesta y la escasez de profesionales especializados continúan siendo debilidades del sistema en Uruguay.
Hace cuatro meses, el Banco Hipotecario del Uruguay sufrió un ataque de este tipo y aún no es posible abrir cuentas de ahorro, sin que exista una fecha concreta para la restitución del servicio. Tampoco se permite el ingreso de dinero a través de redes de cobranza externa, ya que el enlace técnico con el banco continúa interrumpido, ni está habilitada la operativa mediante su sitio web.
El ataque, atribuido a Crypto24, provocó la caída del sitio web, la interrupción de pagos electrónicos y la publicación de 700 gigabytes de información bancaria, compuesta por datos internos y confidenciales. Entre ellos se encuentran comprobantes de pago de miles de clientes, expedientes judiciales y propuestas de conciliación presentadas en litigios. Este caso es considerado uno de los incidentes más graves por la alta sensibilidad de la información expuesta.
Otro episodio, quizás el más insólito, ocurrió a mediados del año pasado en la base de datos de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), organismo responsable de la política digital. En este caso se filtraron nombres, números de cédula de identidad y datos de vacunación de 1.645.000 uruguayos, prácticamente la mitad de la población del país.
A esto se suma la filtración de datos en otros 18 organismos públicos, con distintos niveles de gravedad.
Estos hechos demuestran que no somos una isla frente a los ciberataques. A nivel global, se estima que ocurre un ciberataque cada 39 segundos. Solo en Estados Unidos se registran unos 2.300 diarios, y las cifras continúan en aumento. En Uruguay, 2025 cerró con un ciberataque cada 13 minutos.
El 95% de las brechas de seguridad se atribuye a errores humanos. Uruguay cuenta con internautas con habilidades mínimas en ciberseguridad y, aunque el tema parezca lejano, basta observar las estadísticas para comprender que, efectivamente, “a cualquiera le puede pasar”.
