top of page
Foto nocturna de la rambla de la ciudad déMontevideo en Uruguay
Homepage

Declaración - No. 0001-06/2026 - Resolución del BHU

  • hace 20 horas
  • 4 min de lectura

Ante la Resolución del Directorio del Banco Hipotecario del Uruguay (BHU), recogida en la prensa local del día 9 de junio pasado y surgida de un pedido de acceso a la información pública de mayo pasado (Fuente de prensa - El Observador: https://www.elobservador.com.uy/ciencia-y-tecnologia/directorio-bhu-declaro-confidencial-15-anos-sus-actuaciones-el-ciberataque-n6046840), sobre el declarar confidenciales las actuaciones de ese cuerpo referidas a los incidentes de ciberseguridad por los siguientes 15 años (hasta el año 2040), así como los incidentes de ciberseguridad sufridos por esa institución, GADED desea manifestar y precisar algunas consideraciones:


  1. Expresamos cierta coincidencia con la Resolución del Directorio Nº 0031/26, ratificando lo expresado por la Resolución Nº 0329/25 y ambas basadas en los dispuesto por la Resolución Nº 0181/14 que establece el régimen general de clasificación de la información del Banco, incluyendo expresamente la documentación vinculada a incidentes de seguridad informática. Toda información que exponga debilidades o sea simplemente descriptiva de los pormenores técnicos de la infraestructura tecnológica del Banco Hipotecario del Uruguay (BHU), estaría facilitando posibles futuros ciberataques.


  2. Gran parte de la información que el Directorio del BHU pretende resguardar con las resoluciones antes mencionadas, ya circula en la dark web o incluso en la web pública. La evidencia empírica demuestra que las exfiltraciones de datos perpetradas por grupos de ciberdelincuentes no se limitan a meros intentos de extorsión; por el contrario, culminan frecuentemente en la publicación de la información secuestrada o accedida. En este contexto, la decisión de catalogar como "reservados" los datos eventualmente afectados deviene en una contradicción ontológica. Tal vez, el error fundamental de la gobernanza corporativa radique en asumir que el riesgo se mitiga o desaparece mediante el silencio administrativo.


  3. Lejos de constituir un mecanismo de seguridad para los titulares de los datos, la opacidad o silencio institucional exacerba su vulnerabilidad. Al privar a los ciudadanos del conocimiento preciso sobre la naturaleza y el alcance de la información comprometida, se les despoja de las herramientas cognitivas y operativas necesarias para articular defensas reactivas (a su alcance), tales como la revocación de credenciales o la monitorización de su identidad digital. La reserva de información, por lo tanto, muta su función originaria: deja de operar como un vector de seguridad tecnológica y se transforma, probablemente, en un blindaje retórico orientado a mitigar el daño reputacional, así como tratar de preservar una imagen institucional adecuada; y el escrutinio público y no operar como amparo real al ciudadano afectado.


  4. La exfiltración masiva de datos no solo compromete la estabilidad operativa de una entidad estatal, sino que expone de forma directa a miles de usuarios, tanto clientes activos como históricos, a riesgos sistemáticos de fraude, suplantación de identidad y esquemas de estafa basados en ingeniería social. Ante tal escenario, cabe preguntarse: ¿cuál es el límite legítimo de la reserva estatal cuando la indefensión del ciudadano es inmediata? Desde la génesis del incidente, la comunidad jurídica especializada en derecho informático y protección de activos digitales ha enfatizado la urgencia de cumplir con los mecanismos de notificación individualizada a los sujetos afectados. Esta postura no responde a un mero formalismo, sino a la normativa vigente.


  5. La estrategia administrativa seguida por la institución altera de forma drástica el espíritu de la Ley N.º 18.331 de Protección de Datos Personales en el Uruguay. El andamiaje jurídico, concebido originalmente para tutelar los derechos fundamentales de las personas frente al poder de quienes gestionan la información de las bases de datos, termina siendo instrumentalizado para blindar la reputación corporativa de la propia entidad responsable del tratamiento. Quizás el error conceptual subyace en confundir la seguridad de la información con la difusión opaca del incidente.


  6. Por su parte, la Unidad Reguladora y de Control de Datos Personales (URCDP) ratificó que el BHU cumplió formalmente con la notificación regulatoria exigida por el artículo 38 de la Ley N.º 19.670 y su correspondiente Decreto N.º 064/020. Sin embargo, el inicio de este proceso de fiscalización no valida la idoneidad del silencio institucional frente a las víctimas. El cumplimiento estricto de las obligaciones burocráticas ante el órgano de control es una condición necesaria, pero de ningún modo suficiente, para agotar el principio de responsabilidad proactiva (accountability). La transparencia sustantiva de cara a la sociedad civil no puede ser reemplazada por un trámite administrativo, especialmente cuando los datos ya circulan de manera irreversible en redes paralelas de criminalidad organizada.


  7. La resolución de reserva administrativa prolongada ante un incidente crítico de ciberseguridad no constituye un hecho aislado, sino la cúspide de una estrategia de opacidad para salvaguardar la reputación. En una primera fase, la praxis habitual de la organización es tender a la minimización del vector de ataque; posteriormente, ante la imposibilidad de contener la evidencia fáctica, se recurre a la clausura del flujo informativo. Este comportamiento sistémico envía una señal equívoca a los usuarios, al mercado donde actúa la institución pública y a la sociedad civil: ante una brecha de datos de magnitudes inéditas en el histórico de la organización, la prioridad institucional se desplaza desde la rendición de cuentas hacia el blindaje reputacional de la alta gerencia. ¿Es lícito priorizar el prestigio de una institución por sobre la seguridad patrimonial e identitaria de sus clientes (ciudadanos)?


  8. Para una entidad de naturaleza estatal, cuya viabilidad operativa y comercial descansa de manera exclusiva sobre la confianza del sustrato social, esta señal deviene en un elemento altamente corrosivo. Si la organización se muestra reticente a transparentar los protocolos mediante los cuales custodió los activos de información confiados, así como la eficacia de su plan de respuesta ante incidentes cuando dicha custodia colapsó en más de una oportunidad, se instala una duda legítima sobre la rigurosidad actual de sus procesos de gobernanza de datos. La credibilidad no se restituye mediante mandatos imperativos ni decretos de confidencialidad de largo aliento; por el contrario, se reconstruye demostrando que las fallas de seguridad fueron plenamente analizadas y corregidas.

 

GADED

 
 
 

Comentarios

Obtuvo 0 de 5 estrellas.
Aún no hay calificaciones
Agrega una calificación
bottom of page