El 2 de diciembre de 2025 se promulgó un decreto que obliga a los organismos públicos a reforzar los mecanismos de acceso a los sistemas del Estado mediante autenticación multifactor u otros esquemas de mayor nivel de seguridad. Además, se establecieron plazos para inventariar los sistemas expuestos a internet y actualizar periódicamente esa información.
A más de dos meses de su entrada en vigor, vale la pena analizar qué resuelve esta medida y qué desafíos estructurales siguen pendientes.
Fortalecer los mecanismos de autenticación es, sin duda, una práctica alineada con los estándares internacionales. En un contexto en el que la mayoría de los incidentes de seguridad comienzan por credenciales comprometidas, accesos mal gestionados o debilidades en la verificación de identidad, elevar el nivel de protección en el ingreso a los sistemas es un paso necesario.
La identidad digital se ha convertido en el nuevo perímetro. A nivel global, incluso han comenzado a surgir métricas específicas para evaluar la postura de una organización en función de cómo gestiona accesos, permisos y autenticación. Cuando la identidad pasa a ser objeto de medición externa y criterio de evaluación de riesgo, deja de ser un componente técnico aislado y se transforma en un indicador de madurez institucional.
En ese marco, el decreto apunta en la dirección correcta. Sin embargo, reforzar accesos no equivale a resolver el problema de fondo.
Como señalé hace algunos días en una reflexión sobre transformación digital, el desafío estructural del Estado no es únicamente incorporar herramientas puntuales, sino ordenar la infraestructura digital sobre la que esas herramientas operan. Sin una base coherente, las mejoras técnicas pueden quedar limitadas por problemas organizacionales más profundos.
En muchos organismos públicos, la infraestructura digital se ha desarrollado de manera progresiva y heterogénea. Existen sistemas heredados, plataformas implementadas en distintos momentos, bases de datos que no siempre dialogan entre sí y mecanismos de autenticación aplicados con criterios diversos. En algunos casos, incluso el inventario completo y actualizado de activos digitales es todavía una tarea en consolidación.
La autenticación multifactor protege el punto de ingreso a un sistema. Pero si los permisos no están centralmente gestionados, si no existe una política homogénea de revisión de accesos, si los entornos siguen fragmentados o si los inventarios no son consistentes, el riesgo no desaparece. Se desplaza.
Reforzar la puerta principal no alcanza si el edificio carece de una cimentación robusta.
El desafío, entonces, no es solo técnico. Es institucional. Implica gobernanza de identidad, interoperabilidad real, monitoreo continuo y capacidad de respuesta coordinada ante incidentes. Implica saber con precisión quién accede a qué, bajo qué condiciones y con qué mecanismos de auditoría sostenidos en el tiempo.
Las medidas adoptadas muestran que existe conciencia sobre la necesidad de elevar estándares de seguridad. Eso es positivo. Pero la experiencia internacional indica que las soluciones aisladas, aun siendo técnicamente correctas, no sustituyen la construcción de una arquitectura digital coherente.
La autenticación multifactor es una condición necesaria. Sin embargo, si no se consolida una base digital ordenada, con criterios comunes de gestión de identidad y estándares homogéneos de seguridad, su efecto puede ser parcial. El riesgo no se elimina solo reforzando accesos, sino coordinando y gobernando el conjunto de la infraestructura.
En un momento en que la identidad digital se convierte en eje central del riesgo global y en que los estándares internacionales se elevan, el Estado uruguayo tiene la oportunidad de ir más allá del cumplimiento formal de una medida y avanzar hacia una madurez institucional sostenida en materia de seguridad digital.
El decreto puede ser un paso importante. Pero su verdadero alcance dependerá de si se entiende que la seguridad no se resuelve únicamente fortaleciendo el acceso, sino construyendo una infraestructura digital ordenada, gobernada y resiliente en su conjunto.