El reciente ciberataque a un contratista que presta servicios a tres agencias clave del gobierno de Puerto Rico (Educación, Administración de Seguros de Salud y el Fondo del Seguro del Estado) debe encender todas las alarmas. Aunque el gobierno ha indicado que no se extrajeron ni alteraron datos, el mensaje es claro: nuestros sistemas públicos son vulnerables, y los atacantes lo saben.
Este no es un hecho aislado. En 2025, el 50 % de los ataques de ransomware a nivel global tuvieron como blanco sectores de infraestructura crítica: salud, energía, servicios gubernamentales y educación, según reportes recientes del sector industrial. Es una tendencia que va en aumento. Y Puerto Rico no es la excepción.
Ante esta realidad, no podemos seguir tratando la ciberseguridad como un asunto técnico o periférico. Es, en pleno 2025, un componente central de la gobernanza pública, la protección de datos ciudadanos y la continuidad de los servicios esenciales.
Aquí es donde la Ley 40 de 2024 entra en juego. Esta ley establece, por primera vez de forma robusta, una política pública integral de ciberseguridad. Obliga a agencias y contratistas a cumplir con estándares mínimos, a colaborar con el Puerto Rico Innovation and Technology Service y a reportar incidentes en tiempo y forma. También, crea figuras como el Chief Information Security Officer y la Oficina de Evaluación de Incidentes Cibernéticos.
Pero una ley sin fiscalización no basta. ¿Se notificó este incidente dentro del término legal? ¿Se auditaron los controles del proveedor? ¿Están los proveedores de gobierno cumpliendo? ¿Se está capacitando a los servidores públicos en prácticas de ciberseguridad? La ciudadanía merece saberlo.
La tecnología seguirá siendo parte integral del Estado. Pero un Estado que digitaliza sin proteger, falla. Tomarse en serio la ciberseguridad no es solo prevenir ataques: es defender la confianza pública.
Ya no es un lujo. Es una obligación legal, ética y estratégica.