Esta observación técnica se concentra en los gobiernos locales argentinos — municipalidades, comunas, juntas de gobierno — donde se ejecuta la mayor parte del contacto cotidiano entre ciudadano y Estado. El nivel municipal procesa licencias, habilitaciones, denuncias, padrones, contratación pequeña, atención sanitaria primaria, recolección, alumbrado y seguridad de proximidad. Es también el nivel donde la inversión en ciberseguridad e integridad institucional es estructuralmente menor.

El campo concreto

Argentina cuenta con aproximadamente 2.300 municipios y comunas. La heterogeneidad de capacidades técnicas es radical · grandes municipios urbanos con dotación profesional y sistemas integrados conviven con jurisdicciones pequeñas donde la administración digital se gestiona desde computadoras personales sin política de respaldo, sin gestión de identidades, sin auditoría interna.

Los incidentes de ciberseguridad documentados públicamente en gobiernos locales argentinos durante los últimos veinticuatro meses incluyen — sin pretensión exhaustiva — secuestros de servidores municipales con interrupción de servicios catastrales, exposición de bases de datos vecinales con información personal sensible, intervención no autorizada en sistemas de tasas y recaudación.

Cuatro vulnerabilidades estructurales

Vulnerabilidad 01 · ausencia de inventario de sistemas críticos. Una municipalidad típica no tiene catalogados con criterio auditable cuáles son sus sistemas críticos, qué dato sensible procesa cada uno, qué proveedor mantiene cada sistema, qué cláusula contractual aplica.

Vulnerabilidad 02 · gestión de identidades inexistente. Empleados que renuncian o son trasladados conservan credenciales activas. Cuentas administrativas compartidas entre varios usuarios. Contraseñas elementales en sistemas con datos personales.

Vulnerabilidad 03 · proveedores sin auditoría. El proveedor que mantiene el sistema de gestión municipal frecuentemente tiene acceso remoto continuo sin cláusulas contractuales específicas de seguridad, sin auditoría periódica, sin obligación de notificar incidentes.

Vulnerabilidad 04 · respaldo no probado. Cuando existe respaldo formal, frecuentemente no se prueba la restauración efectiva. El día del incidente, el respaldo está corrupto, está obsoleto o requiere semanas para restaurarse.

El gobierno más cercano al vecino es también el más expuesto. El blindaje digital es responsabilidad institucional, no proyecto de IT.

Lo que aplica de la norma internacional

ISO/IEC 27001 — pensada originalmente para organizaciones privadas — es perfectamente aplicable al sector público. Las jurisdicciones que ya implementaron sistemas de gestión de seguridad de la información bajo norma internacional muestran mejora documentada en métricas de detección, contención y comunicación de incidentes.

El argumento frecuente — "los municipios no tienen presupuesto para certificación" — confunde implementación con certificación. La implementación del marco operativo no requiere certificación formal. La certificación es opcional. Lo que no es opcional, para un gobierno que administra datos personales sensibles de sus vecinos, es operar bajo un marco mínimo de gestión de seguridad.

Patrones detectados en jurisdicciones pequeñas

La revisión técnica de evidencia pública sobre municipios argentinos pequeños y medianos identifica tres patrones recurrentes —

Recomendación institucional

Esta observación sugiere que toda autoridad municipal con población superior a cincuenta mil habitantes debería — en horizonte máximo de dieciocho meses — establecer al menos cinco componentes operativos básicos.

Estos cinco componentes — implementados con criterio operativo — reducen el riesgo institucional municipal en un orden de magnitud, sin requerir certificación formal y sin presupuesto extraordinario.