Ciberseguridad: el CNC fijó 180 días para adecuación técnica en organismos estatales
Los nuevos lineamientos técnicos publicados en el Boletín Oficial exigen clasificar sistemas por criticidad, definir objetivos de recuperación (RTO y RPO) y sostener un centro de datos de respaldo en territorio argentino, con pruebas anuales del plan ante desastres y métricas reportadas para mejorar resiliencia operativa

La publicación en el Boletín Oficial de nuevos lineamientos técnicos del Centro Nacional de Ciberseguridad (CNC) estableció un plazo de 180 días para que los organismos del sector estatal adecuen infraestructura, políticas y procedimientos internos orientados a prevención, respuesta y recuperación ante incidentes informáticos.
El enfoque incorpora criterios de continuidad operativa frente a ciberataques, fallas críticas e incidentes que puedan afectar servicios esenciales. “La normativa representa un cambio de paradigma respecto de cómo los Estados abordan la seguridad digital”, dijo Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
Entre los requisitos, cada organismo debe identificar y clasificar todos sus sistemas según el impacto que tendría su caída, con variables económicas, afectación de servicios al ciudadano, consecuencias legales y daño reputacional. Para esa evaluación se incorporan conceptos de continuidad del negocio y recuperación ante desastres, a partir de dos métricas técnicas: RTO (*Recovery Time Objective*), que define el tiempo máximo tolerable para restablecer un servicio, y RPO (*Recovery Point Objective*), que determina la pérdida de datos aceptable medida en tiempo.
Los objetivos varían por criticidad. Para sistemas de criticidad alta, el RTO debe ser menor a cuatro horas y el RPO no puede superar una hora. En criticidad media, el RTO debe ser menor a 24 horas y el RPO menor a cuatro horas. Para criticidad baja, la recuperación puede ubicarse entre uno y cinco días, con copias de seguridad verificadas por muestreo.
La norma también obliga a contar con un Centro de Datos de Respaldo dentro del territorio argentino, para evitar que un mismo evento afecte en simultáneo al sitio principal y al alternativo, ya sea un ciberataque, un apagón masivo o un desastre natural. Ese centro debe contar con niveles altos de disponibilidad, redundancia eléctrica y protección contra incendios.
En materia de pruebas y control, los organismos estatales deben efectuar una prueba anual del Plan de Recuperación ante Desastres, con pruebas de conmutación y de recuperación desde *backups* offline. Las métricas deben compartirse en un informe orientado a evidencia, seguimiento y mejora continua. La disposición contempla escenarios específicos como ransomware y caída total de infraestructura, y exige guías paso a paso (playbooks) para ejecutar la recuperación según el tipo de incidente.
En una encuesta realizada por ESET en 2025, 12 de 18 entidades públicas recibieron al menos un intento de ciberataque el último año: 10 registraron phishing, ocho intentos de explotación de vulnerabilidades, tres búsquedas de accesos no autorizados y un ataque de malware orientado a destrucción o borrado de información. Camilo Gutiérrez Amaya, Field CISO para ESET Latinoamérica, afirmó: “Hay, al menos, dos aspectos que le dan mayor valor a esta normativa”.
Artículos relacionados

Eset se integra a Agentic AI Foundation como miembro Silver para estándares seguros
La compañía se sumó a la Agentic AI Foundation, bajo los auspicios de la Fundación Linux, para colaborar con OpenAI, Anthropic, Amazon y Microsoft en protocolos de interoperabilidad de agentes de IA, en un momento en que la IA agéntica empieza a pasar de la experimentación a implementaciones en el mundo real

DXC habilitó Private Cloud+, nube privada híbrida operada con infraestructura de Dell
La compañía puso en disponibilidad general su propuesta para empresas y gobiernos con cargas de trabajo confidenciales y reguladas, que combina flexibilidad de nube pública con control de nube privada e incorpora compatibilidad para entornos soberanos y preparados para inteligencia artificial, en un contexto de estrategias multinube

ATVC apoyó el operativo de Enacom que incautó 10.000 TV Box ilegales
La entidad acompañó el accionar conjunto con la Justicia y la Alianza contra la Piratería Audiovisual tras el decomiso de dispositivos usados para acceder a contenido premium de forma ilegal y sostuvo que el trabajo coordinado entre sector público y privado resulta clave para enfrentar el fenómeno y reducir riesgos de seguridad digital

