Ciberseguridad: el CNC fijó 180 días para adecuación técnica en organismos estatales

La publicación en el Boletín Oficial de nuevos lineamientos técnicos del Centro Nacional de Ciberseguridad (CNC) estableció un plazo de 180 días para que los organismos del sector estatal adecuen infraestructura, políticas y procedimientos internos orientados a prevención, respuesta y recuperación ante incidentes informáticos.

El enfoque incorpora criterios de continuidad operativa frente a ciberataques, fallas críticas e incidentes que puedan afectar servicios esenciales. “La normativa representa un cambio de paradigma respecto de cómo los Estados abordan la seguridad digital”, dijo Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

Entre los requisitos, cada organismo debe identificar y clasificar todos sus sistemas según el impacto que tendría su caída, con variables económicas, afectación de servicios al ciudadano, consecuencias legales y daño reputacional. Para esa evaluación se incorporan conceptos de continuidad del negocio y recuperación ante desastres, a partir de dos métricas técnicas: RTO (*Recovery Time Objective*), que define el tiempo máximo tolerable para restablecer un servicio, y RPO (*Recovery Point Objective*), que determina la pérdida de datos aceptable medida en tiempo.

Los objetivos varían por criticidad. Para sistemas de criticidad alta, el RTO debe ser menor a cuatro horas y el RPO no puede superar una hora. En criticidad media, el RTO debe ser menor a 24 horas y el RPO menor a cuatro horas. Para criticidad baja, la recuperación puede ubicarse entre uno y cinco días, con copias de seguridad verificadas por muestreo.

La norma también obliga a contar con un Centro de Datos de Respaldo dentro del territorio argentino, para evitar que un mismo evento afecte en simultáneo al sitio principal y al alternativo, ya sea un ciberataque, un apagón masivo o un desastre natural. Ese centro debe contar con niveles altos de disponibilidad, redundancia eléctrica y protección contra incendios.

En materia de pruebas y control, los organismos estatales deben efectuar una prueba anual del Plan de Recuperación ante Desastres, con pruebas de conmutación y de recuperación desde *backups* offline. Las métricas deben compartirse en un informe orientado a evidencia, seguimiento y mejora continua. La disposición contempla escenarios específicos como ransomware y caída total de infraestructura, y exige guías paso a paso (playbooks) para ejecutar la recuperación según el tipo de incidente.

En una encuesta realizada por ESET en 2025, 12 de 18 entidades públicas recibieron al menos un intento de ciberataque el último año: 10 registraron phishing, ocho intentos de explotación de vulnerabilidades, tres búsquedas de accesos no autorizados y un ataque de malware orientado a destrucción o borrado de información. Camilo Gutiérrez Amaya, Field CISO para ESET Latinoamérica, afirmó: “Hay, al menos, dos aspectos que le dan mayor valor a esta normativa”.