Volver

La identidad también tiene infraestructura

Publicado:

Una identidad digital parece no pesar nada.

No tiene tapa, no tiene lomo, no se guarda en un cajón, no se presta, no se firma con tinta. Aparece como una comodidad: entrar, autorizar, confirmar, firmar, resolver un trámite sin moverse de la silla. El documento se vuelve sesión. La firma se vuelve gesto sobre una pantalla. La presencia se vuelve autenticación.

Hasta que algo falla.

Entonces se descubre lo obvio: una identidad digital no vive en el aire. Vive en servidores, bases de datos, APIs, claves, formularios, protocolos, empresas, organismos, proveedores, aplicaciones, contratos, logs y decisiones técnicas que casi nadie ve. La palabra «identidad» suena íntima, civil, jurídica. La palabra «digital» la vuelve liviana. Pero en el medio hay infraestructura.

Y la infraestructura también se ataca.

El jueves 7 de mayo de 2026, Antel publicó un comunicado en el que informó la detección de un ataque al sistema de autenticación de TuID, la plataforma asociada a identidad digital y firma electrónica avanzada. La empresa sostuvo que activó protocolos, contuvo el ataque, aplicó medidas correctivas y presentó denuncias ante Fiscalía General de la Nación y el Ministerio del Interior. También afirmó que, según su investigación, no fueron vulneradas las claves de autenticación ni datos especialmente protegidos de la ciudadanía o de la empresa.1

Ese es el hecho confirmado.

Lo demás exige más cuidado.

El Observador, El País y la diaria recogieron afirmaciones atribuidas al grupo LaPampaLeaks, que dijo haber accedido a información de usuarios y a archivos internos vinculados a TuID.234 Subrayado, en cambio, reprodujo el eje del comunicado oficial: ataque detectado, denuncia realizada y aclaración de Antel sobre claves y datos especialmente protegidos.5

Entre una cosa y la otra aparece el problema público. No alcanza con elegir a quién creer por simpatía o por cansancio. Hay que separar niveles: lo que Antel confirma, lo que los medios reportan, lo que un grupo atacante afirma, lo que todavía falta saber y lo que cualquier ciudadano puede preguntar aunque no tenga conocimientos técnicos.

Ilustración conceptual de una credencial digital conectada a servidores, candados y líneas de autenticación bajo una señal de alerta

La identidad digital no es una nube: es una cadena de confianza sostenida por piezas materiales.

El comunicado y el usuario

El comunicado de Antel está escrito en idioma institucional. Dice ataque, protocolos, investigación, contención, medidas correctivas, denuncias. Es un texto que habla hacia el Estado, hacia los reguladores, hacia el expediente y hacia la prensa. Cumple una función: fijar una primera versión oficial y marcar que hubo respuesta.

Pero el ciudadano no vive dentro de un comunicado.

El ciudadano vive dentro de preguntas más simples.

¿Mi usuario está comprometido?

¿Tengo que cambiar la contraseña?

¿Tengo que revocar sesiones?

¿Puedo seguir usando TuID para firmar?

¿Qué datos míos están en esa plataforma?

¿Quién me avisa si fui afectado?

¿Qué significa exactamente «datos especialmente protegidos»?

Ahí aparece una distancia. La institución informa que actuó. El usuario necesita saber qué hacer. Y en temas de identidad digital esa diferencia no es menor, porque la confianza no se recupera con una frase general. Se recupera con precisión.

TuID no es una app cualquiera. En la propia página de Antel se presenta como una herramienta para identificación electrónica segura, doble factor de autenticación, autorización fuerte de firma electrónica remota y confirmación de transacciones.6 Es decir: no estamos hablando solo de una contraseña para mirar una factura. Estamos hablando de una pieza de mediación entre una persona y actos que pueden tener consecuencias jurídicas, administrativas o económicas.

Por eso el lenguaje importa.

Decir que no se afectó la «confiabilidad del sistema de firma electrónica avanzada» puede ser cierto, pero no agota la escena. La confianza pública no es solo una propiedad técnica que se conserva dentro del sistema. Es también una relación con quienes usan el sistema, con lo que pueden comprender, con la información que reciben y con la posibilidad de actuar a tiempo.

La palabra acceso

Hay palabras que parecen inocentes hasta que se vuelven sistema.

«Acceso» es una de ellas.

Uno accede a un trámite, accede a una plataforma, accede a una cuenta, accede a un beneficio, accede a una firma, accede a una identidad. La vida pública se reescribe como una secuencia de ingresos. En Breve diccionario para tiempos estúpidos, Sandino Núñez permite mirar ese desplazamiento del lenguaje: cuando el vocabulario del acceso sustituye una discusión sobre condiciones reales, el ciudadano empieza a parecerse demasiado a un usuario frente a una puerta.7

La puerta puede abrir.

La puerta puede cerrar.

La puerta puede registrar.

La puerta puede fallar.

La puerta puede haber sido mirada por alguien que no debía.

La identidad digital promete simplificación: menos papeles, menos colas, menos presencia física, menos fricción. Y hay algo valioso ahí. Nadie debería romantizar el trámite lento, la carpeta, la fotocopia, el sello, la ventanilla que pide volver mañana. La digitalización puede ahorrar tiempo, distancia y arbitrariedad.

Pero una facilidad no elimina la pregunta política. La desplaza.

Antes uno preguntaba quién tenía el expediente.

Ahora hay que preguntar quién administra la identidad, quién custodia los datos, qué proveedores intervienen, qué auditorías existen, qué logs se guardan, qué se notifica, qué se borra, qué se conserva, quién puede consultar, quién puede modificar, quién responde si algo sale mal.

La comodidad no cancela la soberanía del usuario sobre su propia identidad.

La vuelve más difícil de ver.

El dato que parece menor

La política de privacidad de TuID dice que, para usar servicios de firma electrónica avanzada e identidad digital, se recolectan datos de identificación como nombres, documento, fecha de nacimiento, sexo, móvil, correo electrónico y nivel de registro. También describe el uso de datos biométricos y registros asociados a autenticaciones y firmas.8

No hace falta convertir esa lista en pánico.

Pero tampoco conviene tratarla como si fuera una agenda telefónica.

Un número de cédula, un correo, un teléfono, una fecha de nacimiento o un estado de validación pueden parecer datos ordinarios cuando se miran por separado. En conjunto, pueden alimentar estafas, suplantaciones, mensajes dirigidos, llamadas convincentes, intentos de recuperación de cuentas o campañas de phishing. El valor del dato no está solo en su sensibilidad jurídica. Está en su capacidad de combinarse.

Esa es una de las trampas del lenguaje técnico.

«Dato especialmente protegido» tiene un sentido normativo. Pero el usuario escucha otra cosa: «no pasó nada grave». Entre una categoría legal y una percepción cotidiana puede entrar mucho miedo, mucha desinformación y también mucha oportunidad para estafadores.

El propio comunicado de Antel cierra recordando que la ciudadanía debe ignorar solicitudes de datos personales, códigos o contraseñas.1 Ese recordatorio es importante. También es revelador. Después de un incidente de autenticación, el riesgo no termina en el sistema que fue atacado. Se desplaza hacia las personas. Alguien recibe un correo, un WhatsApp, una llamada. Alguien cree que está hablando con soporte. Alguien entrega un código porque el mensaje parece urgente y porque la noticia ya instaló una ansiedad.

La seguridad nunca queda encerrada en el servidor.

Siempre termina llegando al cuerpo.

Seguridad no es tranquilidad

La palabra «seguridad» tiene una ventaja: calma.

También tiene un peligro: calma demasiado rápido.

Se puede decir que un sistema es seguro y, al mismo tiempo, aceptar que sufrió un ataque. Se puede decir que un ataque fue contenido y, al mismo tiempo, no saber todavía todo lo que ocurrió. Se puede decir que no se vulneraron claves y, al mismo tiempo, reconocer que hay información suficiente para que los usuarios merezcan una explicación más granular.

No hay contradicción necesaria.

Hay tiempos distintos.

El tiempo técnico busca contener. El tiempo jurídico busca documentar. El tiempo institucional busca no agrandar el daño. El tiempo periodístico busca publicar. El tiempo del usuario busca entender si está expuesto. Cuando esos tiempos chocan, la palabra «seguridad» puede funcionar como paraguas: cubre, ordena, tranquiliza, pero también puede tapar.

La pregunta no es si Antel actuó o no actuó. Con la información pública disponible, Antel dice que actuó, contuvo y denunció. La pregunta es otra: qué estándar de transparencia debería tener una infraestructura pública de identidad digital cuando aparece un incidente.

No alcanza con decir «protocolo».

Hay que explicar qué se sabe, qué no se sabe, qué se está investigando, qué debe hacer el usuario, qué se notificará, qué organismo independiente auditará, qué aprendizaje queda y qué cambios se implementan.

Porque la confianza pública no es obediencia.

La confianza pública es una práctica sostenida de verificación.

La identidad como prótesis

Una cédula física se puede perder. Se puede robar. Se puede falsificar. También se puede guardar. Tiene una materialidad torpe pero comprensible. Uno sabe más o menos dónde está.

La identidad digital es otra cosa.

Funciona como prótesis: extiende la presencia de una persona hacia sistemas donde esa persona no está. Permite firmar sin estar en una oficina, autenticarse sin mostrar la cara, confirmar una operación sin hablar con nadie. Esa extensión puede ser poderosa. También puede volverse opaca.

Cuando la prótesis funciona, desaparece.

Cuando falla, aparece todo junto.

Aparece la pregunta por el cuerpo: qué parte de mí está ahí. Aparece la pregunta por el Estado: quién garantiza que esa mediación sea confiable. Aparece la pregunta por la empresa pública: cómo comunica cuando la confianza está en juego. Aparece la pregunta por el lenguaje: por qué se habla de usuarios, autenticación, factores, claves, trazas, APIs, protocolos, como si esas palabras no fueran también una forma de ciudadanía.

Ese es el punto que vuelve este episodio más que una noticia tecnológica.

No se trata solo de si una base fue vulnerada o no, ni de si un grupo exagera para aumentar su reputación en foros clandestinos, ni de si una empresa pública redacta un comunicado defensivo. Se trata de algo más profundo: estamos trasladando zonas cada vez más delicadas de la vida civil a sistemas que la mayoría de los ciudadanos no puede auditar ni comprender.

Y aun así se les pide confianza.

Lo que falta saber

Un buen comunicado inicial puede no decir todo el primer día. Eso es razonable. Hay investigaciones que necesitan tiempo. También hay información que, si se publica mal, puede ayudar a nuevos ataques.

Pero esa prudencia no debería convertirse en silencio cómodo.

En un caso así, las preguntas públicas son bastante concretas:

  • cuándo empezó el incidente y cuándo fue detectado;
  • qué componente fue atacado y qué alcance tuvo;
  • qué categorías de datos estuvieron potencialmente expuestas, aunque no sean «especialmente protegidas»;
  • cuántas cuentas o registros pudieron quedar involucrados;
  • si habrá notificación individual a usuarios afectados;
  • si se recomienda cambiar credenciales, revisar factores de autenticación o tomar alguna medida;
  • qué rol tuvieron organismos como Agesic, la Unidad Reguladora y de Control de Datos Personales o la Unidad de Certificación Electrónica;
  • si habrá auditoría externa o informe técnico posterior;
  • qué se aprendió del incidente y qué cambios quedarán implementados.

Estas preguntas no son antipatrióticas, antitecnológicas ni alarmistas.

Son la condición mínima de una ciudadanía que ya no guarda su identidad solo en una billetera.

El problema cultural

Uruguay suele discutir la digitalización en términos de orgullo o de atraso.

O somos modernos, o somos desconfiados.

O avanzamos, o nos quedamos en el papel.

Esa oposición es pobre.

La pregunta no es si la identidad digital debe existir. La pregunta es bajo qué condiciones merece confianza. La pregunta no es si hay que volver a la fotocopia. La pregunta es cómo se construye una infraestructura pública que no trate al ciudadano como alguien que debe creer porque sí.

La tecnología pública no puede pedir fe de usuario.

Tiene que producir confianza verificable.

Y producir confianza verificable implica algo más lento que una app: implica explicar, auditar, documentar, responder, corregir, publicar aprendizajes, admitir zonas de incertidumbre y hablar en un lenguaje que no sea solo el de los iniciados.

Una plataforma de identidad digital no administra solamente datos.

Administra una relación entre las personas y el Estado.

Por eso, cuando ocurre un ataque, el daño no se mide solo en claves, gigabytes o tablas. También se mide en la forma en que una comunidad vuelve a preguntarse qué parte de su vida ya depende de sistemas que no ve.

Ahí está la escena.

No en la fantasía de que todo se derrumba.

No en la tranquilidad automática de que todo está bajo control.

En esa zona incómoda donde una persona mira su teléfono, lee «TuID», piensa en su cédula, su firma, sus trámites, sus datos, y entiende por un segundo que la identidad también tiene infraestructura.

Y que una infraestructura pública no se cuida solo con protocolos.

También se cuida con verdad suficiente.

Martín Álvarez
Tremendos Libros
@unfalsoguru

Referencias

Footnotes

  1. Antel, «Comunicado», 7 de mayo de 2026. 2

  2. El Observador, «Antel confirmó ataque a plataforma de identidad digital y presentó denuncia en Fiscalía», 7 de mayo de 2026.

  3. El País, «Antel detectó un ataque a su sistema de autenticación y activó protocolo: se realizó denuncia en Fiscalía», 7 de mayo de 2026.

  4. la diaria, «Grupo afirma haber accedido a información “de cientos de miles de uruguayos” tras ciberataque a plataforma de Antel», 7 de mayo de 2026.

  5. Subrayado, «Antel informó ataque a sistema TuID, que fue denunciado ante Fiscalía y Ministerio del Interior», 7 de mayo de 2026.

  6. Antel, «TuID», página oficial de la aplicación, consultada el 8 de mayo de 2026.

  7. Sandino Núñez, Breve diccionario para tiempos estúpidos, entradas «Acceder», «Información», «Seguridad», «Prótesis» y «Soluciones».

  8. Antel, Política de Privacidad de TuID, versión mayo de 2024.

Si esto te molestó, te sirvió o te dio ganas de discutir, pasáselo a alguien.

Compartir este post por WhatsApp Compartir este post en Facebook Compartir este post en X Compartir este post por Telegram Compartir este post en Pinterest
Post anterior
El vocero que se tragó al Gobierno
Post siguiente
Un lector no es un chivito