La ciberseguridad vuelve a ser noticia en Argentina tras la publicación en el Boletín Oficial de los nuevos lineamientos técnicos establecidos por el Centro Nacional de Ciberseguridad (CNC) para todos los organismos del sector estatal. La medida busca fortalecer la resiliencia cibernética de las infraestructuras críticas y mejorar las capacidades de prevención, respuesta y recuperación ante incidentes informáticos en organismos públicos.

En concreto, establece un plazo de 180 días para que cada uno de los organismos implicados adecue sus infraestructuras, políticas y procedimientos internos a las nuevas disposiciones.

La normativa representa un cambio de paradigma respecto de cómo los Estados abordan la seguridad digital: ya no alcanza con prevenir un ataque, sino que también resulta clave garantizar la continuidad operativa ante un incidente.

El objetivo ya no es solo prevenir ataques, sino recuperarse rápido

La nueva normativa pone el foco en la resiliencia y la recuperación operativa, en un contexto en el que durante años la mayoría de las estrategias defensivas se centraron en la prevención, pero el crecimiento y la evolución del ransomware y de otros tipos de ataques hizo que las organizaciones deban aceptar una realidad incómoda: ningún entorno es invulnerable.

De acuerdo con la nueva normativa de la CNC, cada organismo deberá identificar y clasificar todos sus sistemas según el impacto que tendría su caída, tanto en lo económico, como en la afectación de servicios al ciudadano, las consecuencias legales y el daño reputacional.

Para ello, se incorporan conceptos asociados a continuidad del negocio y recuperación ante desastres, como RTO (Recovery Time Objective) y RPO (Recovery Point Objective), que se utilizan para definir tiempos máximos de recuperación y pérdida aceptable de datos.

En concreto, para sistemas de criticidad alta, el RTO deberá ser menor a 4 horas y la RPO no podrá superar una hora. En sistemas de criticidad media, el RTO será menor a 24 horas y el RPO menor a 4 horas. Mientras que, para los sistemas de criticidad baja, la recuperación podrá ubicarse entre 1 y 5 días, con copias de seguridad verificadas por muestreo.

Centros de Datos de Respaldo y Plan de recuperación de desastres

Otro punto crítico es la obligación de contar con un Centro de Datos de Respaldo dentro del territorio argentino, para evitar que un mismo evento afecte en simultáneo al sitio principal y al alternativo (sea un ciberataque, un apagón masivo o desastre natural). Entre sus características, debe contar con niveles altos de disponibilidad, redundancia eléctrica y protección contra incendios, entre otros.

Por otro lado, la nueva disposición obliga a los organismos estatales a efectuar una prueba anual de su Plan de Recuperación ante Desastres, pruebas de conmutación y pruebas de recuperación desde backups offline, entre otras. Se deben compartir las métricas dentro de un informe, para así llevar adelante un proceso operativo que cuente con evidencia, seguimiento y la oportunidad de una mejora continua.

El texto de la norma incluso menciona escenarios específicos como ransomware y la caída total de infraestructura, exigiendo que existan guías paso a paso (playbooks) para llevar a cabo la recuperación en distintos escenarios de desastre. Estos playbooks deben ser específicos para cada tipo de incidente relevante, con el objetivo de minimizar el impacto operativo que pueda ocasionar un incidente de ciberseguridad.

Infraestructuras críticas y servicios esenciales: blancos predilectos

La estrategia oficial refleja una preocupación creciente a nivel global: la protección de infraestructuras críticas y sistemas esenciales para el funcionamiento del país. Es que los sectores vinculados a energía, salud, transporte, telecomunicaciones y administración pública son un objetivo predilecto para los grupos de ransomware.

Según datos obtenidos en una encuesta realizada por ESET en 2025, 12 de 18 entidades públicas recibieron al menos un intento de ciberataque el último año. De esos 12 organismos, 10 recibieron al menos un ataque de phishing, ocho fueron blanco de ataques que buscaban explotar vulnerabilidades, 3 de ataques que buscaban accesos no autorizados y un ataque de malware que tenía como objetivo la destrucción o el borrado de información.

Las consecuencias son claras: un ataque exitoso contra un organismo estatal puede generar desde caída de plataformas y pérdida de información hasta afectación directa de servicios utilizados diariamente por millones de personas.

Por eso, la ciberseguridad debe consolidarse como una cuestión estratégica de Estado, más allá del enfoque técnico. El texto oficial reconoce que la creciente complejidad y sofisticación de las amenazas exige adoptar medidas coordinadas y estándares mínimos de protección.

Camilo Gutiérrez, Field CISO para ESET Latinoamérica, advierte que el escenario al que se ven expuestos organismos de gobierno es un entorno desafiante. “Hay, al menos, dos aspectos que le dan mayor valor a esta normativa. Por un lado, el crecimiento de la actividad de grupos APTs en países de Latinoamérica, donde Argentina no es la excepción. Por otro, la incorporación de modelos de IA para agilizar los procedimientos de los ataques y llevar adelante campañas más masivas y convincentes”.

En este contexto, incorporar capacidades de Inteligencia de Amenazas resulta crítico, ya que permite a las entidades de gobierno “anticiparse mediante el análisis de actores, tácticas, técnicas y procedimientos (TTPs), priorizar riesgos en función del contexto geopolítico y sectorial, y transformar información en decisiones accionables para la protección de activos críticos”.

Además, el especialista destaca que la normativa impulse el desarrollo de planes que contemplen no solo la tecnología, sino también procesos probados para recuperarse de un incidente. “La implementación de estas medidas puede contribuir a mejorar el nivel de seguridad, prevenir incidentes, y fortalecer las capacidades de detección y respuesta de manera más informada y proactiva. A su vez, permite reducir los tiempos de reacción y minimizar el impacto de potenciales ataques”.

La resiliencia pasa al centro de la estrategia

La nueva normativa refleja un cambio en la forma en que gobiernos y organizaciones a la cuestión de la ciberseguridad.

Durante años, las organizaciones —tanto públicas como privadas— basaron sus estrategias bajo la premisa de impedir cualquier intrusión. Hoy, el paradigma comienza a cambiar: se asume que los incidentes pueden ocurrir y que, por lo tanto, las organizaciones deben estar preparadas para resistir, responder y recuperarse de la manera más rápida posible.

En otras palabras, la resiliencia pasa a tener casi el mismo peso que la prevención. En el caso de los organismos estatales, esa capacidad de recuperación es crítica: no solo impacta sobre sistemas o infraestructuras, sino también sobre servicios esenciales, trámites, operaciones críticas y la vida cotidiana de los ciudadanos.

Por eso, más allá del lado técnico de la normativa, la medida emerge como parte de una transformación mucho más amplia: la consolidación de la ciberseguridad como un componente central para la estabilidad y continuidad operativa de un país.