Hackeos al Estado: avances, críticas y qué dicen en la Agencia Federal de Ciberseguridad sobre la estrategia nacional

Un informe que compara las distintas políticas de ciberseguridad en América Latina destaca que en Argentina “las estrategias están bien definidas, pero enfrentan desafíos en su implementación debido a la falta de recursos técnicos y humanos”. Además, se presentan dudas respecto de un decreto de Presidencia introducido el mes pasado en el que se le da más poder a la Agencia Federal de Ciberseguridad (AFC), entidad creada dentro de la órbita de la Secretaría de Inteligencia de Estado (SIDE) en julio de 2024.

El reporte fue publicado por la Organización No Gubernamental Derechos Digitales y repasa, de manera cronológica, qué políticas públicas de ciberseguridad se adoptaron en Latinoamérica, donde uno de los pasos más significativos lo dio Chile en marzo de 2024 con la promulgación de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.

El análisis del caso argentino gira en torno a la así llamada Segunda Estrategia de Ciberseguridad, aprobada en septiembre de 2023. “El cambio recientemente introducido por el Decreto 274/2025, que modifica la gobernanza cyber tras la creación de la AFC, genera incertidumbre sobre la continuidad del enfoque de derechos en la implementación de la estrategia por parte de esta entidad”, dijo a Clarín Juan Carlos Lara, codirector ejecutivo de la ONG y autor del estudio.

“Si bien el contenido de la estrategia representa un avance normativo y discursivo, persisten dudas relevantes sobre su implementación en la práctica. Además, compartimos las preocupaciones expresadas por organizaciones argentinas tras la creación de la AFC, especialmente en lo relativo a facultades de vigilancia”, agregó.

La seguridad de la información y los hackeos no son un tema menor en Argentina. A tono con un crecimiento mundial de ciberataques y la profesionalización de grupos que operan con la infraestructura de una organización criminal, basta recordar algunos hackeos de los últimos años: Dirección Nacional de Migraciones, Senado de la Nación, el PAMI y la Comisión Nacional de Valores fueron víctimas de distintas variantes de ransomware, un malware que encripta información para volverla inaccesible y pedir un rescate a cambio.

El año pasado se filtró la base de datos completa del Renaper, exponiendo datos de millones de argentinos, además de fotos de licencias de conducir que terminaron a la venta en un canal de Telegram, por mencionar sólo dos casos de repercusión mediática.

Más allá de la AFC, Argentina ya contaba con dos entidades que forman parte de la estructura que protege los activos digitales del Estado: el CERT.ar, que es el equipo de respuesta a incidentes y monitoreo de vulnerabilidades, y la Dirección Nacional de Ciberseguridad (DNC), que coordina y diseña la estrategia de ciberseguridad para todo el territorio.

“Entendemos que falta mucho por hacer. Que necesitamos invertir recursos para mejorar la resiliencia de la infraestructura crítica del Estado, y mejorar la ciberseguridad que afecta al país en general”, dijeron a Clarín en el entorno de la Agencia Federal de Ciberseguridad.

“Por otro lado, el CERT.ar no estaba respondiendo a incidentes (se enteraban de muy pocos de los eventos relevantes, rara vez ayudaban a recuperar y no investigan); el Comité de Ciberseguridad no se reunió en 2024 -y pocas veces antes-, y hubo una carencia de inversión que redundó en que no tenemos un mapeo de infraestructura crítica y no hay actividades a nivel nacional de concientización”, siguieron.

El señalamiento del informe de Derechos Digitales sobre la falta de “recursos técnicos y humanos” lo confirman en la Agencia. “Lamentablemente el año pasado comenzamos con un presupuesto casi nulo. El Gobierno anterior había bajado el presupuesto de SIDE de su valor histórico a un 25-30%, y eso sin contemplar las nuevas funciones de ciberseguridad asignadas a la AFC. Tuvimos menos presupuesto que un banco chico para asegurar al país. No compramos firewalls o switches [dispositivos para controlar y proteger el tráfico] con tan poca plata. Este año creció un poco, aún así es ínfimo comparado con lo que gasta -por ejemplo- una multinacional”, concluyeron.

El pasado 16 de abril, esta agencia, una novedad para nuestro país, pasó a tener más peso y esto no ocurrió sin críticas del ambiente. “Argentina ha dado un paso a contramano o más bien fuera de época designando a la AFC de la SIDE como órgano rector en prevención y seguridad del ciberespacio, y quitándole la mayoría de las funciones a la dirección nacional de Jefatura de Gabinete (Decreto 274/2025)”, explica a este medio Marcela Pallero, especialista en regulación en ciberseguridad en el sector público.

Otras fuentes del mundo de la ciberseguridad estatal aseguraron a este medio que “al principio no cayó bien la decisión de darle más preponderancia a la AFC por sobre la DNC”, porque la AFC “le copia muchas funciones” a la dirección. Sin embargo, también reconocen la formación dentro de la agencia: “La gente que está trabajando en el área, en particular dos personas, tienen mucha capacidad técnica”, aseguraron en el entorno.

“Será interesante observar los resultados del experimento actual, considerando que la naturaleza reservada con la que opera la SIDE resulta difícil de conciliar con los principios de confianza digital promovidos por organismos internacionales como la OCDE o la CEPAL y del mundo en general, sobre todo para las cuestiones internas urgentes de la seguridad digital”, advierte Pallero.

La ciberseguridad en el Estado enfrenta los mismos problemas de la gestión pública en Argentina: poco presupuesto, o mal utilizado.

“Los últimos 27 años me dediqué a lo que hoy se llama ciberseguridad, de los cuales 15 fueron en el Estado. Hay un cuerpo técnico muy capaz, pero sin los recursos materiales, humanos ni políticos que se necesita. Se destinan partidas a licencias de soluciones ‘caja negra’ que prometen mucho, pero requieren certificaciones y tiempo que el personal estatal no puede afrontar”, describe a este medio Arturo Busleiman, especialista en ciberseguridad de Buanzo Consulting.

Otros critican los procesos de contrataciones de las licencias: “La plata está, pero se gasta en soluciones propietarias de empresas amigas, muchas veces hay exdirectivos de las mismas compañías tecnológicas en las licitaciones: Red Hat, IBM, Oracle, Microsoft, Fortinet, Cisco y otros”, dice un excontratista que trabajó 12 años en el Estado y hoy está en el sector privado.

En relación a América Latina, Argentina está unos pasos atrás, en tanto la región atraviesa un momento embrionario que tiene algunos pioneros: “Mientras la Unión Europea viene avanzando a paso firme en la legislación de ciberseguridad y protección de datos personales, América Latina aún viene en la etapa de establecimiento de Políticas y Estrategias Nacionales desde el ejecutivo, a grandes rasgos, salvo Chile y El Salvador, que tienen una ley nacional de ciberseguridad desde hace muy poco”, dice Pallero.

“Creemos que la cooperación regional en ciberseguridad debe avanzar no sólo en términos técnicos, sino también en asegurar un enfoque basado en derechos. Esto implica mecanismos de intercambio de capacidades y asistencia mutua, pero también principios comunes que garanticen la protección de la privacidad, la libertad de expresión y la inclusión digital”, coincide Lara de la ONG que hizo el reporte.

Busleiman cree que es clave contratar profesionales capacitados, además de formar escuela: “Hay que profesionalizar la carrera, cambiar cómo se asignan los presupuestos, coordinar los tres poderes del Estado, convocar a quienes realmente saben y —sobre todo— priorizar una política de Estado por encima de las lógicas partidarias”, dice.

La creación de un órgano rector de ciberseguridad como la AFC es, para una parte del entorno, un paso hacia adelante. En este sentido, Derechos Digitales destaca un aspecto positivo.

“Desde Derechos Digitales valoramos que la Segunda Estrategia de Argentina haya incorporado de forma explícita principios de derechos humanos, inclusión y perspectiva de género, que la distingue positivamente dentro del panorama regional. Además, es valioso contar con procesos como una consulta pública y espacios participativos, lo que parecería haber favorecido un enfoque más abierto e inclusivo, aunque siempre caben críticas sobre esa participación”, dice Lara.

El desafío parece quedar del lado de la transparencia de la AFC y cuál será su vínculo con las otras dos entidades que ya existían, CERT.ar y DNC, con el interrogante de si es posible un trabajo cooperativo o si serán un rompecabezas donde sus piezas son siglas que no encajan entre sí.

"Ciberseguridad en América Latina: estrategia nacional en 2024" analiza las políticas públicas de ciberseguridad de Argentina, Brasil, Chile, Colombia, Costa Rica, Ecuador, Guatemala, México, Nicaragua, Panamá, Paraguay y República Dominicana.

El reporte completo se puede leer a continuación, o en este enlace.