seguridad informática

La norma que obliga al Estado a prepararse ante ataques y caídas de sistema



Dirección copiada

El Centro Nacional de Ciberseguridad aprobó una disposición que exige al Sector Público Nacional planes de contingencia, recuperación y continuidad operativa. La medida llega en un contexto de aumento de ataques, robo de datos y amenazas contra sistemas críticos.

Publicado el 2 de jul de 2026

Franco Della Vecchia

Secretario de Redacción



Policía de la Ciudad de Buenos Aires.

Un ciberataque contra un organismo público no afecta únicamente a una red de computadoras. Puede frenar trámites, exponer datos de salud, comprometer credenciales digitales, abrir la puerta a estafas o dejar fuera de servicio plataformas que millones de ciudadanos usan todos los días.

En la Argentina, esa preocupación acaba de ganar peso normativo. El Centro Nacional de Ciberseguridad, organismo estatal encargado de proteger infraestructuras críticas, activos digitales estratégicos y tecnología empleada en servicios públicos esenciales, aprobó la Disposición 1/2026, que obliga al Sector Público Nacional a adecuar sus políticas, infraestructuras y planes de contingencia en un plazo máximo de 180 días.

La norma marca un cambio de enfoque: la pregunta ya no es solamente cómo evitar una intrusión, sino cómo recuperar sistemas críticos, datos y servicios cuando el incidente ya ocurrió.

Del hackeo al impacto ciudadano

La digitalización del Estado convirtió las aplicaciones y plataformas públicas en piezas centrales de la vida cotidiana. DNI, salud, jubilaciones, turnos, beneficios, registros vehiculares, trámites y credenciales digitales dependen de sistemas que deben estar disponibles y protegidos. Por eso, una filtración o caída no es un problema técnico aislado: puede afectar derechos, servicios y confianza pública.

El riesgo se volvió concreto en mayo de 2026, cuando la Policía Federal Argentina, fuerza federal de seguridad, desarticuló una banda acusada de acceder a sistemas públicos y privados, extraer datos personales y venderlos. La información podía terminar en manos de organizaciones dedicadas a extorsiones, estafas, suplantación de identidad o acceso a claves bancarias y billeteras virtuales.

Pantalla con código y alertas de ciberataques en una estación de trabajo, representando el uso de OSINT para detectar brechas de seguridad.

Un mes después, la Cámara Federal de Apelaciones de San Martín, tribunal federal con competencia en causas penales de su jurisdicción, ratificó procesamientos contra once personas acusadas de integrar “Los Dictadores”, una presunta organización dedicada al robo y venta de datos sensibles de organismos públicos y privados a través de Telegram.

La respuesta normativa: planes, continuidad y recuperación

La Disposición 1/2026 obliga a los organismos alcanzados a elaborar políticas de contingencia, inventarios de sistemas, clasificación por criticidad, planes de recuperación, responsables, contactos de emergencia, pruebas y documentación. También exige informar parámetros RTO y RPO: el primero define cuánto tiempo puede estar caído un sistema; el segundo, cuánta información puede perderse sin comprometer la operación.

La norma también clasifica sistemas de alta criticidad como aquellos cuya indisponibilidad podría generar efectos severos o catastróficos sobre seguridad, orden público, economía, salud pública o bienestar general. Y establece que los planes deben contemplar escenarios específicos, incluidos ransomware y destrucción física, con pruebas integrales al menos una vez por año.

Tener backups ya no alcanza. El desafío es demostrar que esos respaldos funcionan, que existen centros alternativos, que los equipos saben activar un plan y que los servicios esenciales pueden restablecerse en tiempos aceptables.

Qué capacidades necesita el Estado

La realidad internacional refuerza esa urgencia. Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, informó que en mayo de 2026 América Latina volvió a ser la región más atacada del mundo, con 3.149 ciberataques semanales por organización, y que Argentina registró 2.470 ataques semanales por organización, un aumento interanual del 9%. El mismo relevamiento ubicó a educación, gobierno y telecomunicaciones entre los sectores más atacados.

Mapa de América Latina.

Los ataques también son más rápidos y menos visibles. Verizon Business, unidad corporativa de telecomunicaciones y servicios digitales de Verizon, sostuvo en su Data Breach Investigations Report 2026 que el 31% de las brechas comenzó con explotación de vulnerabilidades de software. Paralelamente, IBM X-Force, el equipo de inteligencia de amenazas de IBM, reportó un aumento del 44% en ataques iniciados por explotación de aplicaciones públicas y una suba del 49% en grupos activos de ransomware y extorsión.

Para el Estado, esto implica combinar varias capacidades: monitoreo centralizado, SOC, SIEM, EDR/XDR, IAM, MFA, PAM, gestión de vulnerabilidades, backups, respuesta a incidentes, seguridad cloud, protección de infraestructura crítica y gobierno de riesgos. No se trata de comprar “una solución de ciberseguridad”, sino de construir una arquitectura operativa que permita detectar, contener, recuperar y auditar.

El problema de fondo

El sector público tiene una complejidad particular: muchos organismos, sistemas heredados, proveedores externos, presupuestos diferentes, datos distribuidos y niveles desiguales de madurez. La Agencia de Acceso a la Información Pública, autoridad argentina en materia de acceso a la información y protección de datos personales, creó un programa de fortalecimiento para la Administración Pública Nacional que incluye registro de bases, políticas de privacidad, red de delegados, asistencia técnica y capacitación.

La coordinación no es un detalle administrativo. Mandiant, unidad de inteligencia y respuesta a incidentes de Google Cloud, advirtió en su M-Trends 2026 que los atacantes apuntan cada vez más contra backups, servicios de identidad y plataformas de virtualización para impedir la recuperación. CrowdStrike, empresa global de ciberseguridad, informó que el 82% de sus detecciones en 2025 fueron ataques sin malware, apoyados en credenciales válidas, flujos de identidad y sistemas confiables.

Ese escenario vuelve central una pregunta institucional: quién coordina, quién audita y quién responde cuando un incidente atraviesa varios organismos al mismo tiempo.

De la reacción a la resiliencia

La discusión pública no debería reducirse a si el Estado puede evitar todos los ataques. Ninguna organización puede garantizar riesgo cero. La pregunta relevante es si puede detectar rápido, aislar el daño, recuperar servicios, proteger evidencia, comunicar con transparencia y reducir el impacto sobre los ciudadanos.

En ese contexto, la ciberseguridad pública ya no puede medirse solo por la capacidad de bloquear ataques. En un Estado digitalizado, también debe medirse por cuánto tarda un organismo en volver a funcionar cuando algo falla. La confianza no se construye prometiendo que nunca habrá incidentes, sino demostrando que el Estado puede seguir operando cuando ocurren.

Artículos relacionados