Análisis de la respuesta y comunicación ante la crisis del Banco Hipotecario del Uruguay (BHU) tras el incidente del 30 de septiembre de 2025

The Banco Hipotecario del Uruguay (BHU) experienced a significant operational disruption, formally termed an "incidente informático" 1, durante las últimas horas del martes 30 de septiembre de 2025.1Este incidente fue detectado mientras la institución se encontraba ejecutando tareas operativas críticas, específicamente “los procesos de cierre de fin de mes”.1El momento en que ocurre el evento, coincidiendo con los procesos de cierre financiero de fin de mes, es un determinante crítico de su gravedad, elevando los riesgos desde una simple interrupción del servicio a una amenaza potencial a la integridad del libro mayor financiero central y los datos de liquidación.

In response to the identified incident, the BHU leadership implemented the maximum containment measure: an immediate and comprehensive shutdown of its digital infrastructure. This action involved giving "de baja la red institucional y las distintas vías de comunicación, tanto internas como externas".1 The official justification for this drastic step was to "proteger la información y la viabilidad del sistema".1Esta justificación, que prioriza la protección de datos y la viabilidad del sistema por sobre la disponibilidad inmediata, sugiere firmemente que el incidente representó una amenaza grave a los aspectos de confidencialidad e integridad de los activos de información del banco, lo que podría indicar una amenaza destructiva o que comprometa la integridad, como un malware sofisticado o ransomware.

La estabilidad operativa del BHU tiene importantes implicaciones para el sistema público y financiero uruguayo. Como principal entidad estatal dedicada al financiamiento hipotecario y de vivienda, sus actividades están intrínsecamente vinculadas a la política nacional de vivienda.2El banco administra carteras de crédito complejas, incluyendo préstamos indexados en Unidades Reajustables (UR).3El incidente ocurrió en un período de alta sensibilidad, luego de recientes decisiones legislativas para implementar programas de alivio de deuda para aproximadamente 14.000 titulares de hipotecas en UR.3Cualquier inestabilidad percibida o real en los sistemas del BHU en este momento socava fundamentalmente la confianza pública en la capacidad del banco para gestionar soluciones financieras gubernamentales complejas y brindar un servicio preciso a los fondos de los clientes existentes.

Además, el contexto del incidente se define por un panorama de amenazas nacional e internacional intensificado. Informes globales de principios de septiembre de 2025 ya indicaban una creciente prominencia de actores estatales en ciberataques, especializados en explotar vulnerabilidades.5Esta realidad externa somete el incidente de BHU a una revisión regulatoria inmediata y, posiblemente, de seguridad nacional. El hecho de que una institución financiera estatal no mantenga su integridad operativa en este entorno desencadena automáticamente un mayor escrutinio sobre su preparación como infraestructura nacional crítica (INC).

El elemento más determinante de la evaluación de la respuesta del BHU es el entorno regulatorio en el que se produjo el incidente. En agosto de 2025, el Banco Central del Uruguay (BCU) introdujo actualizaciones radicales a los requisitos regulatorios del sector financiero mediante la Circular N.° 2486.6Este nuevo marco reforzó las directivas clave centradas en cuatro pilares: continuidad operativa, resiliencia, protección de datos y prácticas sólidas de ciberseguridad.6

https://cybermidnight.club/