BCRA, ANDIS, Jefatura: el ciberataque de marzo y la factura pyme
El 30 de marzo, el grupo Chronus Team filtró 28 bases del Estado argentino. La onda expansiva ya llega a las pymes: cuestionarios de ciberseguro, debido diligencia y contratos con clausula de auditoría.
María Belén Rojas, contadora de un estudio de 14 personas en Godoy Cruz, abrió el lunes 31 de marzo a las 8:14 un mail con el asunto "Cuestionario de ciberseguridad — actualización trimestral". Lo mandaba el broker de un cliente grande que el estudio audita desde hace once años. Eran 47 preguntas. La 12 era: "¿Su organización tiene un plan documentado de respuesta a incidentes?". La 28: "¿Almacena copias de seguridad fuera de línea con verificación mensual?". La 41: "¿Adhirió formalmente a la guía del Centro Nacional de Ciberseguridad?". El plazo: 72 horas.
El detonante: 28 filtraciones en una sola noche
El domingo 29 de marzo de 2026, el grupo Chronus Team publicó simultáneamente 28 filtraciones contra organismos del Estado argentino. Entre los afectados aparecieron el Banco Central, la Jefatura de Gabinete, la Suprema Corte de Justicia bonaerense, la Agencia Nacional de Discapacidad y, en Salta, los ministerios de Salud y Seguridad junto con la Policía provincial. Fue, según El Estratégico, el incidente coordinado de mayor magnitud del año. La crónica de El Tribuno de Salta detalla que el ataque se detectó la noche del lunes y que el volumen filtrado superó cualquier respuesta institucional previa.
A los tres días, los brokers de seguros del país empezaron a actualizar sus formularios. Federación Patronal lo formalizó en una nota pública: el ciberseguro ya no es opcional para una pyme en 2026. Y el ciberseguro no se vende sin evidencia: viene atado a un cuestionario de 30 a 60 preguntas que el directorio de la pyme tiene que firmar.
Por qué la respuesta obvia ("contratamos un antivirus") ya no califica
El reflejo clásico — "compramos Microsoft Defender, contratamos un MDR, listo" — ya no aprueba el cuestionario. Los formularios 2026 piden tres cosas que no se compran en una caja: un plan de respuesta a incidentes documentado con roles asignados y al menos un simulacro anual; un inventario actualizado de proveedores con acceso a datos, incluyendo el contador externo y la agencia de marketing; y una política de retención y borrado, con responsable nombrado por la dirección.
El problema no es técnico, es organizacional. Y el costo de no tenerlo va a empezar a aparecer en la primera renovación de un contrato grande, no en un firewall.
La salida con tecnología abierta y procesos cortos
La buena noticia: lo que pide el cuestionario se puede armar en seis semanas con herramientas que no agregan licencia. Una pila razonable para un estudio de 10 a 50 personas en 2026 incluye Wazuh (open source, agentes en cada notebook) para correlación de eventos y log centralizado; Vaultwarden para gestión de secretos y rotación con auditoría exportable; Restic apuntando a Backblaze B2 o a un NAS externo para los backups offline verificados; y un documento de doce páginas — sí, doce — con el plan de respuesta, el inventario de proveedores y la matriz de roles. Plantillas hay: las del Centro Nacional de Ciberseguridad creado en enero y la guía del NIST 2.0 alcanzan.
El esfuerzo real no está en el software. Está en la primera reunión donde el directorio decide quién es el dueño del riesgo informático y quién levanta el teléfono a las 3 de la mañana cuando un proveedor avisa que hay una IP rara saliendo de la oficina. En Ultima Milla vimos esa reunión repetirse en clínicas, colegios profesionales y municipios de Cuyo: la parte difícil siempre es nombrar al dueño, no instalar el agente.
Qué hay que mirar antes de copiarlo
Tres advertencias honestas antes de salir a comprar nada. Primero, el ciberseguro cubre menos de lo que parece: leé la sección de exclusiones. El phishing del CEO con transferencia voluntaria suele estar afuera, y eso es la mitad del riesgo real de una pyme argentina. Segundo, Wazuh es gratis pero no barato: necesita alguien que lo cuide o un partner que lo tenga gestionado. Un servidor de seguridad olvidado da peor postura ante el broker que no tener nada. Tercero, el centro del Estado no te salva: el Centro Nacional de Ciberseguridad coordina al sector público, tu pyme no entra en su perímetro.
La pregunta del cuestionario que más cuesta responder no es técnica. Es esta: ¿quién, con nombre y apellido, es responsable de la ciberseguridad de la organización? Si la respuesta empieza con "el de sistemas" — sin nombre, sin firma del directorio detrás — el cuestionario va a quedar mal y la renovación del contrato grande va a llegar con asterisco.