El 60% de los municipios argentinos no tiene protocolos contra ciberataques

En la era digital, la información se ha convertido en uno de los activos más valiosos para cualquier organización. Los municipios, como unidades básicas del Estado, gestionan grandes volúmenes de datos sensibles de sus ciudadanos: desde información fiscal, sanitaria y judicial, hasta bases de datos personales y registros de programas sociales.

Sin embargo, un reciente relevamiento advierte que más del 60% de los municipios argentinos no cuenta con protocolos formales de ciberseguridad, lo que los deja expuestos frente a ataques cada vez más frecuentes y sofisticados.

Según cifras de FortiGuard Labs, durante 2023 Argentina registró más de 2.000 millones de intentos de ciberataques, un aumento del 31% respecto al año anterior.

Estos ataques no sólo se dirigieron a grandes organismos nacionales, como el PAMI, la Comisión Nacional de Valores (CNV) o la Universidad de Buenos Aires (UBA), sino también a gobiernos locales que, en muchos casos, no contaban con herramientas básicas para contenerlos.

A nivel regional, el informe de ESET Latinoamérica posicionó a Argentina como el tercer país más afectado por malware en el Cono Sur, detrás de Brasil y México. Además, el 79% de las administraciones públicas locales carecen de un plan de recuperación ante incidentes, y solo el 18% realiza capacitaciones periódicas en seguridad de la información para su personal.

¿Por qué son un blanco fácil?

Las vulnerabilidades más comunes en gobiernos locales surgen por la ausencia de políticas formales de seguridad, la falta de capacitación del personal, la utilización de software desactualizado, y la inexistencia de sistemas de control y monitoreo en tiempo real.

En muchas localidades, las áreas de informática se reducen a una sola persona o incluso dependen de servicios tercerizados sin supervisión.

Esto se agrava por la digitalización acelerada durante y después de la pandemia, donde numerosos trámites y servicios migraron a plataformas online sin que ello viniera acompañado de inversiones en infraestructura segura o marcos normativos actualizados.

Consecuencias de la falta de preparación

La ausencia de una estrategia integral de ciberseguridad en municipios puede derivar en consecuencias críticas:

* Pérdida o secuestro de datos: muchos gobiernos locales no cuentan con backups periódicos, lo que los vuelve vulnerables ante ataques de ransomware.

* Interrupción de servicios públicos: un ciberataque puede paralizar servicios esenciales como el cobro de tasas, el sistema de salud local o la gestión de programas sociales.

* Daño reputacional y pérdida de confianza: la filtración de datos sensibles genera una fuerte desconfianza por parte de la ciudadanía.

* Costos económicos imprevistos: recuperar sistemas tras un ataque puede costar hasta 10 veces más que haber prevenido el incidente, según estimaciones del BID.

¿Qué se puede hacer?

Frente a este panorama, la ciberseguridad deja de ser un asunto técnico y se convierte en una cuestión estratégica de gobernabilidad y transparencia. Una de las herramientas más efectivas y reconocidas a nivel internacional es la implementación de ISO/IEC 27001, el estándar global para sistemas de gestión de seguridad de la información (SGSI).

Esta norma permite a los municipios:

• Identificar y clasificar sus activos de información más críticos;

• evaluar y mitigar riesgos específicos que puedan afectar la confidencialidad, integridad o disponibilidad de los datos;

• establecer políticas de acceso, respaldo, actualización de software, y respuesta ante incidentes;

• capacitar al personal en buenas prácticas de seguridad y generar una cultura organizacional preventiva;

demostrar compromiso ante organismos provinciales y nacionales, mejorando la transparencia y la reputación institucional.

Además, la ISO 27001 es totalmente adaptable a distintas realidades organizativas, por lo que incluso municipios con estructuras reducidas pueden comenzar su implementación de forma escalonada y con resultados concretos a corto plazo.

Un llamado a la acción

La creciente exposición de los gobiernos locales a ciberataques no puede seguir siendo ignorada. La transformación digital debe ir acompañada de una transformación cultural que reconozca la seguridad de la información como un pilar esencial de la gestión pública moderna.

Invertir hoy en prevención, formación y protocolos es mucho más económico -y responsable- que actuar cuando el daño ya está hecho. Los municipios no pueden esperar a ser víctimas para empezar a protegerse. El momento de actuar es ahora.

(*) Director Regional de G-CERTI Global Certification.