Nuevo Decreto de Ciberseguridad para el Estado
El pasado 5 de diciembre de 2025 el gobierno de Uruguay publicó un decreto que obliga a todas las entidades públicas a mejorar de forma urgente sus medidas de ciberseguridad. El foco está en reforzar los accesos, reducir la exposición innecesaria de sistemas y darle a Agesic mayor capacidad de seguimiento y control. A continuación, te contamos qué establece el decreto: 1. Autenticación multifactor obligatoria: adiós a utilizar solo “usuario y contraseña” El primer artículo del decreto ordena que todos los accesos a sistemas y servicios públicos deben contar con autenticación multifactor (MFA). Esto incluye: – Funcionarios que acceden a sistemas internos, intranets o portales de gestión. – Personal contratado, como consultores o tercerizados. – Proveedores que realizan soporte, mantenimiento, desarrollo o administración. No importa si el sistema es crítico o no, si está en producción o en un ambiente de pruebas, ni si el acceso es frecuente o puntual: todos deben tener MFA. El plazo máximo para implementar esto es de 120 días. El objetivo es claro: eliminar la dependencia del clásico “usuario + contraseña”, que hoy es uno de los puntos de ataque más fáciles para el robo de credenciales o el phishing. 2. Accesos remotos: reglas especiales y un plazo más corto Cuando un sistema está expuesto a Internet, el decreto es aún más exigente. Para estos casos: – El plazo para activar MFA es de 30 días. – Se permite usar VPN, pero solo si también utiliza MFA. – Si la entidad no cumple a tiempo, debe suspender el acceso remoto hasta corregirlo. Esta medida busca reducir riesgos en una de las áreas más vulnerables: los accesos externos que pueden ser alcanzados desde cualquier parte del mundo. 3. Inventario de sistemas expuestos a Internet: saber qué se tiene para poder protegerlo El decreto también exige que cada entidad prepare un inventario completo de todos los sistemas o servicios que están expuestos en Internet. Este inventario debe: – Elaborarse en 120 días. – Actualizarse cada año o cuando se agregue un nuevo sistema. Esta obligación es tan importante que no admite prórrogas. 4. Eliminar sistemas en desuso y cerrar puertos innecesarios: reducir la superficie de ataque El artículo 4 apunta a un problema común: servicios y sistemas que quedan activos sin necesidad real. Esto incluye: – Accesos antiguos que nadie usa. – Sistemas instalados en ambientes de desarrollo, testing o capacitación que ya no se necesitan. – Puertos UDP/TCP abiertos sin un servicio activo detrás. – Servicios que vienen habilitados “por defecto” y nunca se desactivaron. El decreto pide eliminar o deshabilitar todo lo innecesario y recalca que este proceso debe ser continuo, no una limpieza puntual. 5. Comunicación mensual a Agesic: seguimiento constante Mientras la entidad esté en proceso de cumplir con el decreto, debe enviar a Agesic un informe mensual sobre los avances. Una vez que se cumplen todas las obligaciones, deja de ser necesario el reporte. Esto permite que Agesic haga un seguimiento real y detecte posibles atrasos antes de que se conviertan en vulnerabilidades críticas. 6. Nuevas facultades de Agesic: auditorías, prórrogas excepcionales y reportes a Presidencia Agesic tendrá ahora más herramientas para acompañar, pero también para fiscalizar: – Asesorar técnicamente a las entidades. – Otorgar prórrogas solo en casos muy excepcionales, con justificaciones claras y por un máximo de 120 días. – Realizar auditorías periódicas y automáticas, revisando cumplimiento y detectando vulnerabilidades. – Reportar a Presidencia sobre el nivel de avance de cada organismo. No se permiten prórrogas para el inventario de sistemas expuestos, lo que marca la criticidad de esa obligación. En resumen: un cambio urgente y profundo en la seguridad del Estado Este decreto marca un antes y un después en la forma en que las entidades públicas deben gestionar su seguridad digital. Sus pilares centrales son: Con estas medidas, el Estado apunta a cerrar brechas históricas y a elevar su nivel de seguridad ante un panorama de amenazas cada vez más complejo. Cómo Datasec acompaña a las entidades en este nuevo escenario En un contexto donde los plazos son ajustados y las exigencias técnicas aumentan, muchas entidades públicas necesitan soluciones confiables y un socio que las guíe en el proceso. Desde Datasec ayudamos a que la adopción de MFA y el cumplimiento del decreto se conviertan en un proyecto ordenado, seguro y sin fricciones. Dentro de nuestras herramientas, Duo MFA destaca como una opción especialmente efectiva: es ágil de implementar, intuitiva para los usuarios y compatible con la mayoría de los entornos tecnológicos utilizados en el Estado. Además, permite elevar el nivel de seguridad sin agregar complejidad innecesaria. Nuestro enfoque combina asesoría técnica, acompañamiento paso a paso e implementación personalizada, asegurando que cada organismo pueda cumplir los requisitos normativos mientras mejora de manera real y sostenible su postura de ciberseguridad. 
Sin visibilidad de los sistemas expuestos, es imposible gestionarlos de forma segura.
Menos puertas abiertas significa menos riesgos.