Los frameworks de ciberseguridad son el terreno donde Argentina está jugando una de sus partidas más importantes de los últimos años. A pocas semanas de la entrada en vigor de la Disposición 1/2026 del Centro Nacional de Ciberseguridad —la primera norma del flamante organismo—, el Industrial Cyber Summit Argentina 2026 reunió en un mismo panel a tres voces que representan frentes muy distintos del mismo problema: la regulación financiera, la respuesta institucional y la experiencia de haber sobrevivido un ataque de ransomware de alcance nacional.
La conversación la moderó Juan Brodersen, editor de tecnología de Clarín. Los otros tres protagonistas fueron Mara Misto Macias, Gerente Principal de Seguridad de la Información del Banco Central de la República Argentina (BCRA); Ezequiel Gutesman, Subdirector Ejecutivo del Centro Nacional de Ciberseguridad (CNC); y Pedro Janices, Gerente de Seguridad de la Información y Activos Digitales del INSSJP-PAMI.
Lo que siguió fue una conversación sin eufemismos sobre qué significa para el Estado argentino tener que protegerse en serio.
La Disposición 1/2026 y los 1500 kilómetros
El punto de partida fue la norma que, al momento del evento, ya tenía al sector público nacional corriendo contra el reloj: la Disposición 1/2026. El plazo de 180 días que otorga para adecuar políticas de contingencia y centros de datos de respaldo convierte el cumplimiento en una agenda concreta, no en una declaración de intenciones.
Ezequiel Gutesman fue directo sobre los requisitos más discutidos: certificación Tier 3 obligatoria para los centros de datos de respaldo, replicación dentro del territorio argentino y a no menos de 1500 kilómetros del sitio primario, y un tiempo máximo de recuperación (RTO) menor a cuatro horas para los sistemas críticos. Esos números provocaron debate, y Gutesman lo reconoció sin rodeos: «¿Podemos hablar de los 1500 km? Para hablar del elefante en la sala, hay que invertir.»
El punto detrás de la exigencia no es arbitrario. La distancia mínima entre sitio primario y respaldo busca garantizar que un evento físico regional —una inundación, un corte masivo de energía, un desastre natural— no elimine simultáneamente ambos ambientes. Pero cumplirla requiere que en Argentina existan centros de datos que cumplan con esos requisitos técnicos y estén ubicados a esa distancia. Mientras ese ecosistema no exista, hay un conjunto de requisitos que no se pueden cumplir, no por falta de voluntad sino por falta de infraestructura. El mensaje del CNC fue claro: la norma regula hacia el futuro, y su objetivo es también fomentar que esa infraestructura se desarrolle.
Lo que la Disposición sí puede exigir hoy es el inventario de activos, la política de seguridad, el plan de recuperación ante desastres y los ejercicios periódicos de simulacro. Y ahí el diagnóstico fue honesto: muchos organismos no tienen inventario de activos. Sin inventario, no hay plan de recuperación. Sin plan, los simulacros no sirven de nada.
El BCRA: regular sin meterse en cómo
El caso del Banco Central ilustra una filosofía regulatoria que Mara Misto Macias describió con precisión: el BCRA no regula cómo se implementa la seguridad, sino qué objetivos tienen que cumplirse. No define tecnologías. Define controles a lo largo de toda la cadena transaccional: el onboarding, la autenticación, la transacción, el monitoreo, la detección de patrones anómalos.
Esa filosofía tiene una consecuencia directa sobre la escala. El sistema financiero argentino incluye bancos grandes, fintechs medianas y PSP pequeñas. Todos gestionan dinero de ciudadanos. Todos tienen que cumplir con los mismos objetivos de control, más allá de su tamaño, porque el riesgo no es proporcional a la cantidad de empleados: es proporcional a la cantidad de dinero que se gestiona y a la confianza que el sistema deposita en cada actor. Lo que sí varía es el acompañamiento: a las entidades más pequeñas que ingresaron al sistema después se les da más tiempo y asistencia en la implementación, y la auditoría mide el avance en función del punto de partida.
El problema que persiste, y que la regulación no puede resolver sola, son las estafas guiadas o autoguiadas: cuando el ciudadano es manipulado para ejecutar la transacción él mismo, el sistema puede registrar que es la misma persona que opera normalmente. Para eso el BCRA avanza en dos frentes: el análisis de comportamiento para detectar patrones inusuales, y la articulación con fiscalías y el Poder Judicial para compartir información sobre casos de fraude y construir una base de datos colectiva de prevención. La autenticación biométrica y el doble factor en transacciones críticas son requisitos expresos. El debate sobre fricción versus seguridad —que en los bancos enfrenta al área de cyber con el área comercial— existe, y la regulación lo resuelve del mismo modo: hay operaciones donde el doble factor no es opcional.
PAMI: la tormenta perfecta y lo que quedó después
La parte más densa del panel llegó con Pedro Janices. El INSSJP-PAMI sufrió en 2023 uno de los ataques de ransomware más documentados del sector público argentino. Pedro no estaba en el organismo cuando ocurrió, y lo aclaró desde el inicio para situar bien la conversación: habló desde el lugar de quien llegó después y tuvo que reconstruir.
Los números del PAMI en el momento del ataque dan contexto a la magnitud del problema: 5,6 millones de afiliados, más de 11.000 empleados, 600 agencias en todo el país y más de 37.000 proveedores en la cadena de suministro. Según datos citados en el panel, el 67% de las organizaciones del sector salud fueron víctimas de algún tipo de ataque en 2024, una cifra que para 2025 ya superaba el 100% de los relevamientos anuales sobre el sector. Que el PAMI haya sido blanco no fue una sorpresa estadística: fue la consecuencia de ser el sistema de cobertura más grande de la región para una población con baja alfabetización digital, alta dependencia de servicios presenciales y una cadena de suministro extensa y heterogénea.
Lo que cambió después del incidente fue la estructura de gobernanza. El primer paso fue conseguir sponsor al nivel más alto: el Director Ejecutivo asumió la ciberseguridad como responsabilidad propia, y con eso llegaron la política, el presupuesto y la estrategia. «Lo que no está escrito no existe», fue la frase que sintetizó la lección. Se redactaron políticas, procedimientos y métricas. Se formó un Comité de Seguridad de la Información que al momento del evento acumulaba siete reuniones de seguimiento en lo que iba del año. Y se ejecutaron, en colaboración con el CNC, tres simulacros de blackout: ejercicios reales de corte total de sistemas para practicar la continuidad operativa en modo manual.
La razón de ese nivel de exigencia es concreta: el PAMI no puede dejar de operar. Está obligado por ley a dar servicio a una población que incluye insulinodependientes y electrodependientes. Como dijo Janices, «no nos importa si es electrónico, en papel o en piedra, tenemos que darlo.» Eso convierte la resiliencia operativa en una obligación no negociable, que trasciende cualquier incidente técnico.
La superficie de ataque que nadie mide: APIs y cadena de suministro
Uno de los intercambios más reveladores del panel fue sobre el Renaper. No porque haya tenido un ataque directo, sino por lo que representa: la entidad con la mayor superficie de ataque del sector público, no por lo que tiene sino por todo lo que se conecta con él.
Gutesman planteó el problema con un ejemplo preciso: si un portal de Escribanos se integra con Renaper usando como credencial un DNI y el CUIL como contraseña, y el directorio de Escribanos es público, cualquier atacante puede inferir las contraseñas e ingresar a la plataforma del portal. Renaper, en ese escenario, no fue comprometido directamente. Pero la superficie de ataque que creó esa integración es gigante. Y hoy no existe ninguna obligación escrita sobre qué condiciones de seguridad tiene que cumplir una plataforma privada para integrarse con tecnología del Estado.
Ese es el eslabón invisible: no las filtraciones directas sino la cadena de integraciones que multiplican la exposición de cada organismo. Janices cerró el círculo desde PAMI: con 37.000 proveedores en la cadena de suministro, el organismo exige en sus contratos que se respeten sus políticas de privacidad y seguridad, y que cualquier incidente sea reportado de forma inmediata. Pero la coordinación a esa escala requiere tecnología, procesos y personas, no solo cláusulas contractuales.
Lo que falta: ley, modelo de madurez y ejercicios nacionales
La pregunta de cierre del moderador fue directa: ¿qué haría falta para elevar el piso de ciberseguridad en Argentina? Las tres respuestas apuntaron en la misma dirección con distinto énfasis.
Mara Misto Macias señaló el apoyo político como condición primera: los frameworks de ciberseguridad más efectivos —NIST, ISO 27001, NIS2— tienen en común que el primer requisito es el compromiso de la alta dirección. Sin ese respaldo, cualquier regulación técnica queda flotando. Y para que ese compromiso sea universal en el sector público, hace falta una ley que lo haga obligatorio, no una norma de cumplimiento voluntario.
Ezequiel Gutesman destacó el marco regulatorio como base y el acompañamiento como método. El CNC está construyendo un modelo de madurez adaptado a la realidad argentina, porque importar el NIST o el NIS2 y pedirle a los organismos que cumplan sin acompañamiento es una receta para el fracaso. La idea es trabajar con cada organismo desde donde está, no revolearle una reglamentación por la cabeza. Y en esa construcción, Chile aparece como referencia: la Ley Marco de Ciberseguridad de 2024 —que Patricio Leyton del Coordinador Eléctrico Nacional describió en detalle durante el panel de energía del mismo evento— es un modelo que puede adaptarse con las correcciones que la realidad argentina requiere.
Pedro Janices sumó una dimensión que viene de la experiencia vivida: los ejercicios nacionales de respuesta a incidentes. Argentina los hizo en 2011 y 2015. La propuesta es volver a hacerlos, porque la pregunta «¿qué pasa cuando pasa?» no se responde en papel. Se responde practicando, y el simulacro de blackout que PAMI ya ejecutó tres veces es el mismo principio aplicado a escala de una sola institución. Aplicarlo a escala nacional requiere coordinación, voluntad política y un CERT fortalecido —algo que el CNC reconoce como deuda pendiente.
El panel cerró con una certeza compartida: la resiliencia soberana no es un problema técnico. Es un problema de gobernanza, de cultura organizacional y de inversión sostenida. La ciberseguridad en infraestructuras críticas no se resuelve con una norma ni con una herramienta. Se construye con políticas que alguien firma, con ejercicios que alguien practica y con presupuestos que alguien asigna. Y en el Estado, ese alguien tiene que ser quien manda.
Para entender el contexto institucional completo, leé también: Argentina crea su Centro Nacional de Ciberseguridad y Simulación operativa en ciberseguridad: ¿por qué practicar una vez al año no sirve?

