Volver

El taller también era infraestructura

Publicado:

Una filtración de código no suena como una filtración de ciudadanía.

Suena a cosa de programadores.

Suena a repositorio, carpeta, servidor, clave, ambiente, build, deploy, documentación técnica. Suena a palabras que la mayoría de la gente no usa para hablar de su vida cotidiana. Nadie dice: hoy fui a hacer un trámite y pensé en el código fuente. Nadie dice: firmé, pagué, reservé, consulté, reclamé, entré a un portal y sentí debajo de mí una cadena de dependencias, credenciales, proveedores, nubes, logs, permisos y repositorios.

Pero esa cadena existe.

Y cuando se rompe, aparece.

El martes 12 de mayo de 2026, El Observador informó que el grupo DeadPresidents puso a la venta en la dark web un lote de 12 GB que asegura haber extraído de HG S.A., una empresa fundada por Antel y dedicada a desarrollar soluciones digitales para organismos del Estado.1 Según esa nota, el material ofrecido incluiría credenciales de acceso, bases de datos, código fuente de aplicaciones internas y de clientes, documentación técnica y acceso a servidores. El medio también consignó que fuentes de Antel dijeron que estaban investigando el tema.1

Ese es el punto de partida.

No la fantasía cinematográfica del hacker entrando a una pantalla verde.

No el reflejo tranquilizador de decir que siempre exageran.

No el pánico automático de dar por destruido todo el Estado digital.

El punto de partida es más incómodo: una empresa de propiedad pública, que opera bajo derecho privado, aparece en una publicación de un grupo criminal como puerta de entrada posible a piezas de la infraestructura digital que usan organismos públicos. Y si eso se confirma, el problema no es solamente cuántos gigabytes se robaron.

El problema es qué parte del Estado estaba guardada en el taller.

Estación de trabajo nocturna en una sala de servidores, con monitores oscuros, código, mapas de red y una alerta roja difusa

Las llaves del Estado no siempre están en la puerta principal. A veces quedan en una estación de trabajo, en un servidor, en un repositorio, en una credencial olvidada.

El taller

El Observador usa una imagen simple y eficaz: no se trata necesariamente de datos de tarjetas de crédito ni de que todos los usuarios hayan sido afectados en forma directa; se parece más a que alguien hubiera entrado al lugar donde se guardan herramientas, planos y llaves para construir y mantener sistemas.1

Esa imagen importa.

Porque en Uruguay solemos hablar de tecnología pública por la cara visible: la app, el portal, el formulario, el login, el trámite que carga o no carga, la reserva que se cae, el certificado que sale, el ticket que se compra. La pantalla es lo que el ciudadano ve. Pero la pantalla no es el sistema. La pantalla es la vidriera.

Detrás hay un taller.

En el taller están los entornos de desarrollo, los repositorios, las credenciales, los manuales internos, las configuraciones, las copias, las bases de prueba, los accesos de proveedores, las integraciones con otros organismos, las llaves para entrar a servidores y las instrucciones que explican cómo se sostiene todo eso cuando funciona.

No hace falta que un atacante robe la base final de usuarios para que el episodio sea grave.

A veces alcanza con robar el modo en que una institución se arma.

Un código fuente por sí solo no siempre es una catástrofe. Hay código abierto que sostiene servicios críticos en todo el mundo. El secreto del software no debería ser la única muralla de un sistema serio. Pero código fuente, credenciales, documentación técnica, bases de datos y accesos a servidores forman otra cosa. Ya no es un archivo suelto. Es un mapa. Es una caja de herramientas. Es una forma de mirar el sistema desde adentro.

Y cuando el mapa circula, el incidente no termina en la primera filtración.

Empieza una segunda vida del daño.

Alguien puede estudiar nombres de proyectos, patrones de programación, servicios conectados, dependencias sin actualizar, rutas internas, claves mal guardadas, permisos demasiado amplios, correos de empleados, estructuras de clientes. Alguien puede preparar phishing más creíble. Alguien puede probar accesos reutilizados. Alguien puede buscar secretos en repositorios. Alguien puede vender partes a otros actores.

La filtración de un taller no es solo pasado.

También es futuro.

Mapa visual de cuatro niveles de riesgo cuando se filtra un taller digital: exposición, reutilización, lateralidad y confianza

El daño no se agota en lo que salió. También importa lo que otros pueden construir con eso.

La empresa pública privada

HG se presenta en su propia web como una empresa fundada por Antel en 2001 para impulsar la industria de la información y las telecomunicaciones, con foco en transformación digital de gobierno.2 El Observador la describe como una sociedad anónima de propiedad pública, 100% de Antel, que opera bajo derecho privado y trabaja en desarrollo y operación de sitios web y portales.1

Esa forma institucional merece atención.

Porque muchas discusiones sobre tecnología pública se pierden ahí, en una frontera administrativa que parece técnica pero termina siendo política. Una sociedad anónima puede operar bajo reglas de derecho privado. Puede contratar, competir, prestar servicios, moverse con otra agilidad que un organismo público tradicional. Todo eso puede tener razones prácticas.

Pero la forma jurídica no cambia la naturaleza del riesgo.

Si una empresa de propiedad pública desarrolla o mantiene piezas digitales para organismos del Estado, esa empresa no es un proveedor cualquiera en el sentido común de la palabra. Es parte del perímetro real de la administración pública digital. Capaz no está en el organigrama que mira el ciudadano. Capaz no aparece en el mostrador. Capaz su nombre no figura en la pantalla final del trámite. Pero si sus credenciales, su código o sus servidores abren camino hacia servicios estatales, entonces está adentro.

El proveedor no está afuera.

El proveedor es una puerta lateral.

Y una puerta lateral también necesita cerradura, registro, alarma, responsable y explicación pública cuando aparece violentada.

Uruguay tiene una tendencia a discutir estas cosas como si fueran cuestiones de gestión interna. Quién contrató, qué empresa, qué plataforma, qué licitación, qué sociedad, qué proveedor, qué convenio. Todo eso importa. Pero hay una pregunta anterior: dónde termina el Estado cuando el Estado se digitaliza.

La respuesta incómoda es que no termina en el edificio del organismo.

Termina donde terminan sus accesos.

Termina donde terminan sus datos.

Termina donde terminan sus proveedores.

Termina donde terminan los sistemas que permiten que una persona se relacione con una institución pública sin saber cuántas manos técnicas hubo en el medio.

Diagrama de la cadena de suministro digital del Estado: ciudadano, portal, proveedor, repositorios, credenciales y servidores

El ciudadano ve un botón. La seguridad tiene que mirar toda la cadena.

Las llaves

La palabra clave de este episodio no es solamente dato.

Es acceso.

Según la reconstrucción de El Observador, el acceso inicial habría sido vendido por un IAB, un vendedor de accesos iniciales, y luego comprado por DeadPresidents para extraer material.1 BCA LTD publicó el 12 de mayo una alerta en X sobre HG S.A. atribuida a DeadPresidents, que el medio incorporó en su nota.3

El detalle importa porque cambia la escena.

Un atacante ya no necesita inventar todo el ataque desde cero. Puede comprar una puerta. Puede recibir una credencial. Puede encontrar un acceso que otro actor consiguió antes. Puede entrar por una relación débil entre sistemas, por una cuenta vieja, por un dispositivo infectado, por un proveedor con permisos excesivos, por una clave reutilizada, por un secreto olvidado en un repositorio. El mercado criminal no vende solo datos. Vende posibilidad.

Vende entrada.

Diagrama de un acceso inicial vendido por un IAB, comprado por otro grupo y convertido en extracción, reventa y ataques derivados

Cuando el acceso se compra, el incidente empieza antes de la filtración visible.

Por eso la seguridad pública no puede pensarse únicamente como defensa del castillo principal. El Estado digital ya no tiene un único puente levadizo. Tiene portales, apps, nubes, API, empresas públicas, empresas privadas, consultoras, servidores, cuentas personales, cuentas de servicio, integraciones y ambientes de prueba. Cada una de esas piezas puede convertirse en acceso.

Y cuando la palabra acceso se vuelve mercancía, la política pública tiene que dejar de hablar como si todo fuera una cuestión de buenas prácticas internas.

No alcanza con decir que un proveedor debe ser confiable.

Hay que poder demostrar qué permisos tiene, cómo se audita, qué credenciales usa, cuándo se rotan, qué registros deja, qué segregación existe entre clientes, qué secretos quedan fuera del código, qué pasa cuando un empleado se va, qué se hace si aparece una credencial en un mercado clandestino, qué organismo mira el conjunto y qué ciudadanos son avisados si el incidente puede afectarlos.

La confianza no puede descansar en que nadie mire el taller.

Tiene que poder sobrevivir cuando el taller queda expuesto.

El decreto no es un talismán

En 2025 Uruguay aprobó el Decreto 66/025, que reglamenta obligaciones de ciberseguridad para entidades públicas y para entidades privadas vinculadas a servicios o sectores críticos.4 El decreto define sectores críticos de forma amplia, incluyendo salud, orden público, servicios de emergencia, energía, telecomunicaciones, transporte, agua potable, servicios públicos, banca, defensa y otros que pueda determinar el Poder Ejecutivo.4

El marco no es decorativo.

Agesic explicó que las entidades privadas proveedoras del Estado en servicios críticos también deben cumplir con la normativa según los lineamientos del organismo estatal al que prestan servicios.5 En sus preguntas frecuentes, Agesic agrega que esas entidades privadas deben alinearse al perfil de ciberseguridad de mayor nivel asignado a las entidades públicas correspondientes.6 CERTuy, por su parte, informa que las entidades públicas y privadas vinculadas a servicios o sectores críticos deben reportar incidentes dentro de las 24 horas siguientes a su detección.7

Ese lenguaje marca un cambio importante.

La ciberseguridad deja de ser una recomendación de técnicos que molestan con contraseñas largas.

Pasa a ser una obligación institucional.

Pero una obligación escrita no protege por sí sola. Un decreto no rota credenciales. Un marco no segmenta redes. Una política no revisa repositorios. Un formulario de cumplimiento no detecta lateralidad. Un responsable designado no basta si no tiene poder, presupuesto, independencia, herramientas y una cultura interna que lo escuche antes del incidente, no solamente después.

El riesgo de toda normativa nueva es convertirse en tranquilizante.

Está el decreto.

Está el marco.

Está el responsable.

Está el procedimiento.

Está el reporte.

Entonces parece que el problema está encuadrado.

Pero la ciberseguridad no se encuadra de una vez. Se practica. Se prueba. Se audita. Se corrige. Se vuelve incómoda para la gestión porque pide decir que no, cerrar accesos, romper automatismos, exigir doble control, documentar, revisar proveedores, asumir costos que nadie quiere ver cuando todo funciona.

Y cuando aparece un incidente, el cumplimiento recién empieza a mostrar si era una práctica o una carpeta.

No alcanza con contener

Hay una tentación institucional comprensible: contener primero, hablar poco después.

En parte, tiene sentido. Un incidente activo no puede convertirse en una conferencia abierta donde se publican detalles que ayuden a nuevos ataques. Hay investigaciones forenses que llevan tiempo. Hay cadenas de custodia. Hay responsabilidades jurídicas. Hay clientes que notificar. Hay accesos que revocar antes de explicar. Hay información que no conviene revelar mientras se está cerrando la puerta.

Pero esa prudencia no debería confundirse con silencio.

La ciudadanía no necesita saber una contraseña, una IP, una ruta interna ni el nombre de un servidor. Eso no se publica. Lo que sí necesita saber es qué clase de episodio ocurrió, qué alcance se investiga, qué organismos podrían estar involucrados, qué medidas generales se tomaron, si hay usuarios que deban actuar, si hubo reporte a CERTuy, si intervino Agesic, si los clientes fueron notificados, si las credenciales comprometidas fueron revocadas, si habrá auditoría independiente y cuándo se publicará un informe posterior con aprendizajes.

El Observador menciona TicketAntel entre los desarrollos que aparecerían en muestras del material y señala que la información filtrada sugeriría accesos a zonas críticas vinculadas a infraestructura tecnológica de ANCAP, uno de los clientes de HG.1 Esa frase exige cuidado. No es lo mismo que se haya comprometido directamente un sistema crítico, que se hayan filtrado archivos relacionados, que existan credenciales con permisos, que haya documentación útil para nuevos ataques o que el grupo criminal esté exagerando para vender mejor.

Justamente por eso hace falta precisión pública.

El vacío informativo no queda vacío.

Lo llenan capturas, rumores, hilos, comentarios, vendedores de humo, explicaciones interesadas y ansiedad. En ciberseguridad, el silencio absoluto también es una superficie de ataque: no contra el servidor, sino contra la confianza.

Una institución puede no tener todas las respuestas el primer día.

Pero debería poder decir qué preguntas está respondiendo.

Lámina de respuesta institucional mínima ante una filtración de accesos: detectar, rotar, notificar, auditar y publicar aprendizajes

La transparencia no exige publicar secretos técnicos. Exige mostrar control, plazos y responsables.

La cadena

El problema de fondo es la cadena de suministro digital del Estado.

Durante años se habló de digitalización como si fuera una palabra limpia: modernizar, agilizar, facilitar, transformar, simplificar. Cada una de esas promesas puede ser real. Nadie debería defender el trámite lento solo por nostalgia del papel. Pero la digitalización no elimina la infraestructura. La redistribuye.

Antes una oficina tenía expedientes, archivos, sellos, funcionarios y llaves físicas.

Ahora tiene plataformas, bases, permisos, integraciones, proveedores, ambientes, repositorios y llaves digitales.

Antes el ciudadano veía una ventanilla.

Ahora ve un botón.

El botón parece más simple.

Pero detrás del botón hay más mundo.

Y ese mundo no siempre queda bajo una sola autoridad clara. Una aplicación puede depender de un organismo, una empresa pública, un proveedor privado, una nube, una librería de código, un sistema heredado, una API de otro organismo y una cuenta de servicio que nadie revisó en años. Cada pieza puede estar formalmente justificada. El conjunto, sin embargo, puede volverse opaco.

Ahí está la cuestión política.

No en negar la tecnología.

En exigir gobierno sobre la tecnología.

Gobierno no quiere decir solamente contratar mejor. Quiere decir saber qué se tiene, quién entra, quién sale, qué se comparte, qué se registra, qué se destruye, qué se conserva, qué se audita y quién responde si algo falla. Quiere decir que la cadena de suministro no sea un conjunto de cajas negras unidas por confianza verbal.

Cuando una empresa trabaja para organismos estatales, no solo entrega software.

Administra fragmentos de soberanía operativa.

Eso suena exagerado hasta que una credencial permite entrar a donde no debería.

Lo que falta saber

Las preguntas públicas no tienen por qué ser técnicamente sofisticadas para ser legítimas.

En este caso, alcanzan algunas:

  • cuándo fue detectado el incidente y por quién;
  • si HG, Antel u otro organismo reportó el episodio a CERTuy dentro de los plazos aplicables;
  • qué clientes de HG fueron notificados y con qué nivel de detalle;
  • si las credenciales presuntamente expuestas fueron revocadas y rotadas;
  • si había secretos de producción dentro de repositorios o documentación;
  • qué separación existía entre proyectos de distintos clientes;
  • si había accesos a servicios de nube de terceros y bajo qué permisos;
  • si el material atribuido a TicketAntel fue verificado;
  • qué significa exactamente la referencia a ANCAP y qué sistemas, si alguno, estuvieron en riesgo;
  • si se revisaron accesos históricos de empleados, proveedores y cuentas de servicio;
  • si habrá una auditoría externa o un informe técnico posterior;
  • qué medidas de protección deberían tomar los organismos o usuarios que pudieran quedar expuestos a phishing derivado del incidente.

Estas preguntas no son una condena anticipada.

Son el mínimo de una discusión adulta.

Tampoco hace falta que todas las respuestas sean públicas en tiempo real. Algunas pueden necesitar reserva durante la investigación. Pero la reserva no puede transformarse en una manera de borrar el problema. La transparencia no exige publicar el plano de la cerradura. Exige explicar qué cerraduras se cambiaron, quién verificó el cambio y qué puertas siguen bajo revisión.

Sin pánico, sin anestesia

Hay dos errores simétricos.

El primero es convertir cada incidente en apocalipsis. Eso ayuda a los atacantes, agranda su reputación, confunde a la gente y vuelve imposible distinguir gravedad real de propaganda criminal. No todo archivo filtrado implica que todos los sistemas estén comprometidos. No toda muestra prueba el alcance total anunciado. No todo nombre de organismo significa afectación directa.

El segundo error es convertir cada matiz en anestesia. Eso ayuda a las instituciones a sobrevivir al ciclo de noticias sin responder lo suficiente. Si no hubo tarjetas de crédito, entonces no pasó nada. Si no cayó el servicio, entonces no pasó nada. Si se está investigando, entonces no se pregunta. Si es técnico, entonces que hablen los técnicos.

No.

La infraestructura digital pública no es un asunto privado de especialistas.

Tiene capas técnicas, jurídicas e institucionales, sí. Pero también tiene una capa ciudadana. Cuando el Estado digitaliza trámites, pagos, identidades, reservas, certificados y servicios, le pide a la población que confíe en sistemas que no puede ver. Esa confianza no puede sostenerse solo con comunicados defensivos ni con frases genéricas sobre protocolos.

Se sostiene con evidencia suficiente.

Con cronologías.

Con responsables.

Con auditorías.

Con notificaciones.

Con aprendizaje público.

Con lenguaje claro.

Con la capacidad de decir: esto sabemos, esto no sabemos todavía, esto hicimos, esto falta, esto puede hacer usted, esto revisará un tercero, esto no volverá a depender de una sola llave.

La confianza pública no es la ausencia de incidentes.

Es la forma en que una institución responde cuando el incidente aparece.

Cambiar la cerradura

La semana pasada, el ataque confirmado por Antel a TuID recordó algo elemental: la identidad digital tiene infraestructura. Este nuevo episodio agrega otra capa: la infraestructura también tiene talleres, proveedores, sociedades, repositorios, credenciales y accesos que no aparecen en el relato cómodo de la modernización.

El ciudadano no entra a HG para hacer un trámite.

Probablemente ni sepa qué es HG.

Pero si HG construye, mantiene o aloja piezas de la relación digital entre organismos públicos y ciudadanía, entonces HG forma parte de esa relación. No como marca visible. Como condición invisible.

Y las condiciones invisibles son las más difíciles de discutir.

Por eso este caso importa aunque todavía falten verificaciones. Importa porque obliga a mirar el reverso de la pantalla. Importa porque muestra que una empresa pública bajo derecho privado puede quedar en el centro de una pregunta pública mayor. Importa porque el Estado no solo debe proteger sus bases de datos finales, sino también los lugares donde se fabrican, despliegan y mantienen sus puertas digitales.

Una sociedad anónima de propiedad pública que construye puertas para el Estado no custodia solamente software.

Custodia la posibilidad de que esas puertas sigan significando lo que dicen.

El día que alguien pone a la venta las llaves, el problema no es solamente saber quién entró.

Es saber quién puede explicar, con precisión suficiente, cómo se cambia la cerradura.

Martín Álvarez
Tremendos Libros
@unfalsoguru

Referencias

Footnotes

  1. Juan Pablo De Marco, El Observador, «Ciberdelincuentes filtran accesos a servidores de una empresa de Antel», 12 de mayo de 2026. 2 3 4 5 6

  2. HG S.A., página institucional, consultada el 13 de mayo de 2026.

  3. BCA LTD, post en X sobre HG S.A. atribuido a DeadPresidents, 12 de mayo de 2026. El post aparece incrustado en la nota de El Observador citada arriba.

  4. IMPO, Decreto N° 66/025, publicado el 14 de marzo de 2025. 2

  5. Agesic, «Agesic avanza en el plan de trabajo para dar cumplimiento al decreto sobre ciberseguridad», 17 de julio de 2025.

  6. Agesic, «¿Cuáles son las obligaciones concretas para las entidades privadas que prestan servicios a sectores críticos?», preguntas frecuentes sobre el Decreto 66/025.

  7. CERTuy, «¿Cómo reportar un incidente?», 9 de abril de 2026.

Si esto te molestó, te sirvió o te dio ganas de discutir, pasáselo a alguien.

Compartir este post por WhatsApp Compartir este post en Facebook Compartir este post en X Compartir este post por Telegram Compartir este post en Pinterest
Post anterior
La herramienta no firma
Post siguiente
Nuestro Arcón, la librería sin cassette