TuID y las brechas de seguridad en el Estado Uruguayo

Esta semana Antel confirmó lo que el grupo LaPampaLeaks publicó en foros clandestinos: TuID Digital, la plataforma de identidad ciudadana que permite firmar documentos y realizar trámites en línea, sufrió un ataque. Los atacantes alegan haber obtenido cédulas, nombres, biometría, datos de firma digital y aproximadamente 8 GB de archivos internos. Antel confirmó el incidente pero indicó que fue contenido y que las credenciales de acceso de los ciudadanos no fueron comprometidas. La verdad completa todavía está en disputa. Pero hay algo que no lo está. Esto no es un evento aislado. LaPampaLeaks ya había publicado filtraciones de DNIC, Sucive, ANEP, UTU, Ceibal y Dinacia. Es un actor con historial documentado de acceso a sistemas del Estado uruguayo. Y TuID no es cualquier plataforma, es la que valida nuestra identidad digital ante el Estado. La que habilita nuestra firma electrónica. La que conecta al ciudadano con decenas de trámites oficiales.

Lo que vimos antes de que esto ocurriera:

Hace pocas semanas, como ciudadano realizando un trámite común, observé y documenté vulnerabilidades de seguridad en infraestructura de un organismo público uruguayo. Lo que encontré en quince minutos de atención: Una terminal con Windows 10 sin soporte activo, (Microsoft dejó de emitir parches de seguridad para ese sistema en octubre de 2025. Sin corrección para las vulnerabilidades que se siguen descubriendo.) Equipos de red críticos (módem, firewall, router) sobre el piso en la sala de atención al público, sin ninguna protección física. Accesibles a cualquier persona presente en la sala. Presentamos el reporte ante CERTuy y la denuncia ante la URCDP antes de publicar una sola línea sobre el tema. Eso es lo que corresponde hacer. Lo mencionamos ahora porque el caso de TuID confirma que lo que documentamos no era una excepción. Era, y es, un patrón.

El patrón

Uruguay tiene marcos normativos serios. La Ley 18.331 establece obligaciones concretas de seguridad para el tratamiento de datos personales. AGESIC tiene mandato y produce estándares. CERTuy existe y tiene capacidad operativa. La URCDP tiene dientes regulatorios. Lo que existe en déficit es la implementación real de esos marcos en cada terminal, en cada oficina, en cada organismo y en cada empresa. La brecha entre el papel y la realidad operativa es el vector de ataque más consistente que tenemos en Uruguay. No es una vulnerabilidad técnica específica. Es una condición sistémica. Y esa condición sistémica tiene consecuencias concretas: cuando TuID es el blanco, no se están robando datos de una empresa privada. Se están robando los datos que los ciudadanos entregaron al Estado para poder existir digitalmente ante él.

Lo que corresponde hacer ahora

Si sos ciudadano: revisá tus accesos en TuID, activá la verificación en dos pasos donde esté disponible, y seguí la comunicación oficial de Antel sobre el alcance real del incidente. Si tenés una empresa o negocio: este es el momento de preguntarte cuándo fue la última vez que alguien revisó el estado real de tu infraestructura. No el papel. La realidad. Un sistema operativo sin parches, una red sin segmentar, equipos sin protección física, son exactamente los vectores que se explotan en incidentes como el de TuID. Y no son exclusivos del sector público.

Una reflexión final

La soberanía digital de un país no se mide solo por los marcos normativos que tiene. Se mide por lo que ocurre en cada terminal, en cada sala de atención, en cada servidor que procesa datos de ciudadanos. Uruguay tiene las instituciones para responder a esto. La pregunta es si la respuesta va a seguir siendo reactiva, “apagar incendios uno por uno”, o si va a haber una decisión de abordar la brecha sistémica de implementación. Esa decisión no la toman los analistas. La toman quienes asignan presupuesto y prioridades. Nosotros seguimos documentando, reportando y analizando. Porque eso es exactamente para lo que existe Cimarrón Ciberseguridad.

---

Rafael Matteo Mourigán - CEO y Fundador de Cimarrón Ciberseguridad Consultora especializada en Ciberseguridad para MiPyMes Uruguayas. Analista de Inteligencia de Amenazas y Derecho Digital - LATAM.

Para consultas: contacto@cimarronciberseguridad.com

Para reportar incidentes en el sector público: Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Para denuncias sobre datos personales: Unidad Reguladora y de Control de Datos Personales