La gestión pública moderna no puede funcionar en papel. La ciudadanía lo sabe, los funcionarios lo saben, los funcionarios que todavía firman en físico ocho veces para aprobar una licencia también lo saben.
El problema no es digitalizar, al contrario: digitalizar es necesario. El problema es hacerlo sin gobernanza.
La digitalización ya tiene marco legal. Lo que falta es criterio
En América Latina, prácticamente todos los países cuentan con normativa que habilita, cuando no exige, la digitalización de la gestión pública. Argentina tiene la Ley 25.506 de firma digital y el Decreto 733/2018 que impulsa la despapelización del Estado. Uruguay tiene la Ley 18.220 de documentos y firma electrónica. Chile, Colombia, México, Perú y Brasil tienen sus propios marcos equivalentes.
No hay excusa legal para seguir usando papel. La habilitación está. Lo que falta, en la mayoría de los casos, es un plan serio de implementación con controles reales sobre cómo se custodian los datos que esos sistemas generan.
Porque cuando el Estado digitaliza, no solo gana eficiencia. También concentra información sensible de millones de personas en sistemas que, si no están bien protegidos, se convierten en blancos.
Qué pasa cuando la digitalización no tiene gobernanza
En 2025, la organización Derechos Digitales publicó el informe “Identidades en Venta”, resultado de una investigación empírica realizada entre octubre de 2024 y febrero de 2025 en Brasil, Perú y Argentina. Lo que encontraron es difícil de ignorar.
Los investigadores identificaron 27 grupos y canales activos en Telegram dedicados a la compraventa de datos personales. No hablamos de nombres y correos. Hablamos de fotografías de DNI, huellas dactilares, historiales de vacunación, situación crediticia, vínculos familiares, domicilios con enlace directo a Google Maps. Todo accesible con un comando de bot, en cuestión de segundos, previo pago de entre 3 y 15 dólares.
Lo más preocupante del informe no son los delincuentes que operan esos canales. Lo más preocupante es de dónde viene la información.
Los investigadores observaron que parte de los datos comercializados presentan formatos, codificaciones y marcas de agua institucionales compatibles con registros oficiales de organismos argentinos, peruanos y brasileños. En algunos casos, los certificados judiciales peruanos se generaban en tiempo real, en la misma fecha y hora que la consulta al bot. La hipótesis que el informe no descarta: en ciertos casos, los bots podrían estar operando con credenciales institucionales válidas.
Dicho de otra forma: el mercado ilegal de identidades latinoamericanas puede estar funcionando, al menos parcialmente, gracias a vulnerabilidades en sistemas del propio Estado.
El problema estructural es lo que pasa puertas adentro
Más allá del marco legal y de los organismos regulatorios, hay un problema más cotidiano y más difícil de resolver: lo que ocurre dentro de cada organismo público cuando nadie está mirando.
Los organismos que administran grandes volúmenes de información suelen carecer de políticas integrales de gestión de riesgos, auditorías técnicas regulares y mecanismos de monitoreo sobre quién accede a qué información y cuándo.
Algunas preguntas simples que la mayoría de los organismos públicos de la región no puede responder hoy:
- ¿Cuántos empleados tienen acceso activo a las bases de datos del organismo?
- ¿Se revocan esas credenciales el mismo día que alguien cambia de área o deja su puesto?
- ¿Hay alertas configuradas para detectar consultas masivas o inusuales sobre esos datos?
- ¿Cuándo fue la última auditoría de seguridad sobre los sistemas que almacenan información ciudadana?
No son preguntas técnicas complejas. Son preguntas de gestión básica. Y la evidencia disponible sugiere que, en la mayoría de los organismos públicos de la región, nadie las está respondiendo de forma sistemática.
Los municipios son el eslabón más expuesto del Estado
Si hay un nivel del Estado donde este problema se concentra con más fuerza, es el municipal.
Los gobiernos nacionales y provinciales, con todas sus limitaciones, tienen estructuras de tecnología, áreas de sistemas, algún nivel de soporte especializado. Los municipios, en general, no. Un municipio de 50.000 habitantes puede estar gestionando padrones, habilitaciones comerciales, registros de obra, liquidación de sueldos y expedientes administrativos con un equipo de dos personas de sistemas, equipamiento desactualizado y sin ninguna política formal de seguridad de la información.
Al mismo tiempo, ese municipio tiene acceso a datos muy sensibles: información tributaria de sus vecinos, datos de salud si gestiona centros de atención primaria, registros de estado civil, información de beneficiarios de programas sociales. La combinación de alta exposición de datos y baja capacidad de protección es exactamente el escenario que los ciberdelincuentes buscan.
El tamaño no es una excusa ni una protección. Un municipio pequeño con sistemas mal configurados es tan vulnerable como cualquier organismo grande, con la diferencia de que tiene muchos menos recursos para responder si algo sale mal.
Por qué los organismos no pueden improvisar
Hay una tentación comprensible en el sector público: buscar una solución a medida. Un sistema que se adapte exactamente a los procedimientos del organismo, tal como están hoy, con todos sus pasos, formularios y lógicas heredadas. El argumento suena razonable, porque cada municipio, cada secretaría, cada ente tiene particularidades.
Pero un sistema desarrollado a medida para un organismo específico raramente cuenta con los recursos de mantenimiento, actualización de seguridad y soporte continuo que requiere un entorno digital que maneja datos sensibles. Cuando aparece una vulnerabilidad nueva, cuando cambia una normativa, cuando hay un incidente, ese sistema depende de que el proveedor original siga disponible, interesado y financiado.
Los estándares de la industria existen por algo. Un software robusto, implementado por otros organismos, con soporte activo y actualizaciones de seguridad periódicas, no es un lujo. Es la infraestructura mínima para digitalizar con responsabilidad.
La pregunta que debería hacerse cualquier funcionario antes de implementar una solución digital no es “¿se adapta a cómo trabajamos hoy?”. La pregunta correcta es “¿quién garantiza que esto va a estar bien mantenido en tres años, y cómo se protegen los datos de los ciudadanos que van a vivir dentro de este sistema?”.
Acoplarse a un estándar no es resignarse. Es exactamente lo que hacen los organismos que digitalizan bien.
El costo de hacerlo mal
Más de 116.000 fotografías del RENAPER argentino fueron compartidas en Telegram en 2021. En ese mismo año, otro ataque comprometió la base de datos del sistema de licencias de conducir, dejando en riesgo a más de 6 millones de personas. En Brasil, una filtración expuso datos de más de 223 millones de personas, incluyendo registros de fallecidos.
Estos no son accidentes aislados de grandes sistemas nacionales. Son el resultado predecible de digitalizar sin la infraestructura de seguridad y gobernanza que ese proceso requiere, y el patrón se repite en organismos de todos los tamaños y países.
La digitalización del Estado es urgente. La ciudadanía lo necesita, la eficiencia lo justifica y la ley lo habilita. Pero hacerlo sin criterio, sin estándares y sin gobernanza sobre los datos que se generan no es transformación digital. Es construir un problema más grande sobre uno viejo.
En Wai acompañamos a municipios y organismos públicos de toda la región en procesos de digitalización que sean seguros, sostenibles y alineados con los estándares que este momento exige. Si estás pensando en dar ese paso, podemos ayudarte a hacerlo bien.
