Ciberseguridad, ciberseguridad y más ciberseguridad. Los líderes empresariales uruguayos entienden que este es el tema que más les preocupa este año. incluso más que la inflación y que la macroeconomía. Entonces, ¿qué deberían hacer para mejorarla?

Cuatro expertos en ciberseguridad consultados por El Observador echan luz sobre un tema acuciante y que, como la mayoría dicen, se necesita de consciencia y preparación.

Apoyo a una tarea ingrata

El cibercomandante de la Defensa, Claudio López, ubica el tema en una tensión que atraviesa cualquier organización. “La seguridad es contraria a la libertad/productividad”, afirma. En su marco, cada control cambia hábitos, tiempos o permisos, y eso abre un frente interno.

Ese choque cultural aparece también en el enfoque del equipo de Sabyk, empresa que brinda servicios de ciberseguridad, que describe entornos frecuentes en PYMES: nube, dispositivos móviles y trabajo remoto, con recursos limitados. Su énfasis es priorizar controles “simples, consistentes y verificables” para reducir riesgo real de manera medible, precisamente porque el margen para “improvisar” es chico cuando la operación depende de pocos sistemas y pocas personas.

Ese impacto se traduce en resistencia de quienes trabajan con sistemas todos los días. “Se toma una medida de seguridad y algo voy a afectar”, dice López. “Por lo tanto la seguridad genera rechazo del empleado”, agrega, y lo presenta como un dato operativo.

Por eso, en su mirada, el primer factor no es técnico sino político. “En este escenario el CEO a sabienda de esto, debe mostrar apoyo a esa tarea ingrata”, sostiene. El respaldo, dice, funciona como señal hacia toda la cadena.

López lo formula como condición de posibilidad para que las medidas se sostengan. “Si la alta dirección no la apoya, menos aún los que se vean afectados directamente”, expresa. Y remata: “Área de ciberseguridad sin apoyo está destinada al fracaso”.

Maximiliano Alonzo introduce un conocimiento básico antes de enumerar controles. “Hay que ver cuál es la empresa”, plantea, porque “no son las mismas las necesidades que tiene una PyME que las que tiene una multinacional”. Esa diferencia cambia recursos y velocidad de cómo adoptar medidas.

Alonzo propone ordenar prioridades con un criterio común. “Cualquier empresa tiene que buscar proteger tres cosas: la disponibilidad, la confidencialidad y la integridad de la información”, explica.

En esa distinción por tamaño, el equipo de Sabyk ordena el paquete de acciones por problemas concretos que ve repetirse en PYMES: credenciales reutilizadas, configuraciones débiles y equipos desactualizados. Su recorte propone cinco prácticas que, combinadas, cubren prevención de acceso no autorizado, reducción de superficie de ataque, reducción de error humano y capacidad de recuperación.

Alan Mai, por su parte, se refirió al problema de las consecuencias y la reacción tardía. Señala que muchas organizaciones se enteran cuando el daño ya está hecho. “La mayoría de las empresas se entera del incidente días o semanas después”, advierte, y fija un estándar temporal: “En 2026, eso es inaceptable”.

¿Cómo actuar? El equipo de Sabyk propone un plan de acción escalonado “30-60-90 días”, empezando por “cierre de brechas inmediatas”, pasando por “estandarización y verificación” y cerrando con “resiliencia y mejora continua”. La secuencia, en su planteo, busca que las medidas no queden en declaración sino en ejecución verificable.

Apoyo explícito del CEO y un plan que marque el rumbo

López sostiene que la seguridad genera costos internos y por eso debe estar respaldada desde arriba. “El CEO debe mostrar apoyo”, insiste, para sostener decisiones que incomodan. Ese apoyo, dice, se vuelve concreto con reglas claras y un rumbo realista. “Tener establecido el marco en el cual se va a trabajar, qué se va a proteger, cómo se lo va a proteger”, enumera. También pide fijar límites: “Qué se puede hacer, y qué NO se puede hacer”.

En esa misma línea, el equipo de Sabyk sugiere definir métricas simples para saber si el plan avanza: “% de equipos parchados, éxito de restauraciones, participación en capacitación”. La idea es que el respaldo del CEO se traduzca en objetivos y control, no solo en una consigna.

El plan, según López, debe describir un punto de partida y una meta posible. Habla de “donde estoy realmente y a donde quiero llegar (realista, según los recursos que tengo)”. Para él, esa estrategia ordena el debate interno cuando llegue el momento de aplicar controles.

López suma un criterio de negocio para evitar que la seguridad sea vista como freno. “En una línea de producción de chorizos lo importate es que el chorizo salga al final de la misma”, grafica. Desde ahí advierte: “No se puede implementar medidas… que impacten en gran medida el negocio”.

Nombrar un responsable de ciberseguridad con dedicación y capacidad de coordinación. López plantea que alguien debe sostener la “tarea ingrata”. “Nominar a un área/persona responsable de ciberseguridad”, propone, y lo presenta como decisión organizacional, no como tarea secundaria. El rol, en su descripción, necesita mirar riesgos por fuera de la urgencia. “Tener una visión externa a las líneas productivas y ver que se está haciendo y qué riesgos lo afectan”, dice. Luego debe “trabajar en bajar esos riesgos”, siempre “alineados al plan”.

Para que ese responsable no quede atado a percepciones, el equipo de Sabyk agrega una práctica operativa: un “inventario básico de activos y cuentas (quién tiene acceso a qué)” y la revisión de accesos por rol, además de un control de altas y bajas de los sistemas de la compañía. La meta es que el control no dependa de memoria informal ni de usuarios compartidos.

Esta figura, en la práctica, conecta dirección, tecnología y usuarios. También ayuda a decidir qué se implementa primero para no romper procesos críticos. El punto, según López, es evitar que la seguridad quede “sin dueño” y termine diluida.

¿Con tener backups alcanza?

Mai lo ubica como primer mínimo técnico. “No alcanza con ‘tener backup’”, afirma, y exige copias “offline o inmutables” junto a “pruebas periódicas de restauración”. Su argumento se centra en la evolución del ataque. “Hoy el ransomware no solo cifra, también borra o cifra los backups”, advierte. Por eso, sin esa protección, el negocio queda condicionado: “Sin esto, la empresa depende de pagar o cerrar”.

El equipo de Sabyk refuerza esa idea con una definición: el objetivo del backup “no es ‘tener copias’, sino poder restaurar la operación rápidamente tras un incidente”. Para ordenar ese esquema, propone aplicar la regla “3-2-1: tres copias, dos medios distintos, una fuera del sitio”, incluyendo “una copia offline/inmutable”, y sugiere medir tiempos y objetivos de recuperación (RTO/RPO) a partir de pruebas reales de restauración.

Alonzo complementa desde el eje de disponibilidad. “Cualquier empresa tiene que tener un buen esquema de respaldos”, sostiene, y lo vincula a la pérdida real de datos. El respaldo debe servir “para poder restaurar y recuperar la información que se perdió”.

Para Alonzo, el requisito no es solo existencia sino funcionamiento bajo presión. Pide que el esquema tenga periodicidad y control, pero subraya el punto final: “Que estén probados y que funcionen”. La prueba de restauración aparece como la validación del sistema.

Hoy el antivirus tradicional es insuficiente: la seguridad moderna exige herramientas inteligentes (llamados EDR/XDR) que no solo bloquean virus conocidos, sino que vigilan comportamientos extraños para frenar engaños por mail, robos de contraseñas o fallas invisibles del sistema, explica Mai.

El experto agrega qué busca detectar un EDR bien operado. “Permite detectar movimientos laterales, uso anómalo de credenciales y ataques ‘sin malware’”, dice.

A ese “mantenimiento sostenido”, el equipo de Sabyk le suma una pieza específica que suele quedar fuera del radar: actualizaciones y gestión de parches como reducción directa de superficie de ataque. Su argumento es que “la mayoría de intrusiones aprovecha fallas conocidas” y que un plan de parches “reduce drásticamente la exposición”, contemplando no solo PCs, sino también aplicaciones, servidores y equipos de red (incluyendo firmware de router/firewall/APs) y el inventario de equipos “sin soporte” para planificar reemplazos.

Alonzo suma la base operativa que suele fallar por falta de seguimiento. “Los sistemas tienen que tener alguna solución de antimalware o antivirus que funcione”, plantea. Y aclara que no alcanza con instalar: debe “funcionar”, ser “buena” y estar “actualizada”.

En paralelo, Alonzo marca la actualización de software como control directo de exposición. “Las actualizaciones solucionan errores de seguridad”, afirma. También describe una razón frecuente para postergar: “Muchas empresas no actualizan porque ‘demora mucho’ o por pereza”.

Monitoreo 24×7, accesos ordenados, plan de incidentes probado y capacitación del personal

López describe por qué el monitoreo continuo cambia el partido. “Los grandes ataques no se efectúan en minutos duran días, semanas o meses”, sostiene, y ubica actividad en horarios de baja vigilancia: “fines de semana, feriados, horas de madrugada”.

Su propuesta es “servicios que monitoreen las 24 horas las redes”, con un enfoque proactivo. Habla de “caza de amenazas”, donde se parte de “una hipótesis pesimista de que la amenaza ya opera dentro de nuestra red”. Si todo es reactivo, dice, “lo único que voy hacer será limpiar las cenizas”.

Mai coincide en la necesidad de visibilidad, pero baja la barrera de entrada. “No hace falta un SOC gigante, pero sí saber qué está pasando”, afirma. Su mínimo incluye “logs centralizados, alertas relevantes y alguien que las mire” para evitar enterarse tarde.

En control de accesos, Mai pone el foco donde ve repetición de incidentes. “La gran mayoría de los ataques exitosos usan credenciales válidas”, advierte. Por eso propone accesos con multifactor de autenticación “en accesos críticos” y “privilegios mínimos” con revisión de usuarios.

Alonzo complementa con fallas internas que abren puertas sin necesidad de explotar tecnología. “El usuario de ‘fulanito de tal’ lo conocen varias personas dentro de la empresa”, describe. También alerta por cuentas de personas que ya no están: “los usuarios siguen estando dados de alta”.

Sobre cuentas y accesos, el equipo de Sabyk agrega medidas de implementación que apuntan a trazabilidad y límite de impacto: “cuentas individuales (sin usuarios compartidos)”, “gestor de contraseñas corporativo”, contraseñas “largas y únicas” y revisiones periódicas de permisos con roles/perfiles (RBAC) “al menos trimestralmente”. Su énfasis es que el problema central en PYMES suele ser el “exceso de permisos”, y que el principio de “mínimo privilegio” reduce el daño si una cuenta se compromete.

En respuesta a incidentes, Mai pide salir del documento decorativo. “No un PDF para auditoría. Un plan práctico”, escribe. Enumera lo que debe estar definido antes del problema: “a quién llamar”, “qué sistemas aislar”, “quién decide”, “cómo comunicar”.

Como puente entre plan y ejecución, el equipo de Sabyk plantea “documentar un procedimiento simple de respuesta a incidentes” y ensayarlo: propone un “ensayo de respuesta a incidentes (mesa)” para validar roles y tiempos. También advierte errores comunes que suelen frustrar la respuesta real: “tener backups sin prueba de restauración” y depender solo de antivirus y “sentido común” cuando faltan MFA y parches.

La capacitación aparece como prevención y como forma de reducir el engaño. López la define como “la mayor medida proactiva/preventiva” y relativiza el alcance del multifactor por sí solo. “Las medidas de multifactor aportan poco a la seguridad”, afirma, porque el ingreso puede venir por “engaño al empleado”.

López detalla ese vector como acción concreta del atacante. “Llevarlo a ejecutar y/o descargar algo malicioso”, dice, y concluye: “El multifactor no tiene nada que hacer en estos casos”. Su propuesta apunta a entrenamientos que interesen al usuario y conecten con su vida digital.

En el recorte del equipo de Sabyk, esa capacitación funciona mejor cuando es breve y repetible: propone “micro-capacitaciones mensuales o bimestrales (15–20 minutos) con ejemplos reales y señales de alerta”, sumadas a “simulaciones controladas de phishing” para medir mejoras y ajustar contenidos. También pide un mecanismo simple que conecte con la reacción inmediata: un “canal de reporte claro” y respuesta rápida para reforzar la conducta de reportar.

Para lograr atención, López sugiere enseñar desde lo personal. “Va importarle más saber como le hackean whatsapp que un acceso por VPN”, afirma. Y plantea el efecto buscado: “Quién es cuidadoso en su vida virtual personal, lo será muy factiblemente en la laboral también”.

Alonzo refuerza el eje humano como condición de eficacia del resto. “El eslabón más débil de la seguridad es la parte humana”, sostiene. Por eso pide un piso de sensibilización: “Es importantísimo que las personas estén capacitadas, mínimamente, en el ABC de la ciberseguridad”.