INFORME: Análisis Estratégico del Incidente de Ciberseguridad ANEP GURI (Octubre de 2025)

Preparado para: Supervisión del Sector Público e Iniciativas de Ciberresiliencia Analista: Alberto Daniel Hill (Analista de Ciberseguridad y Defensor de la Ciberjusticia) Fecha: Octubre de 2025 (Revisión Post-Incidente)

El incidente de ciberseguridad dirigido a la Plataforma GURI (Gestión Unificada de Registros e Información) en octubre de 2025 representa un fallo crítico en la gobernanza y la postura de seguridad de la Administración Nacional de Educación Pública (ANEP). Si bien la ANEP priorizó y logró con éxito la restauración operativa parcial del componente GURI Familia (de cara al público) para el 8 de octubre de 2025, la respuesta institucional generó una profunda crisis de confianza debido a su negativa oficial a confirmar o negar la presunta exfiltración masiva de datos.

Actores de amenazas externos afirmaron el compromiso de casi 3 millones de registros de Información de Identificación Personal (PII) sensible. Si estas afirmaciones se confirman, este evento no es meramente una interrupción operativa, sino una catástrofe de privacidad nacional, que pone directamente en peligro a millones de ciudadanos, particularmente a menores, a través del robo de identidad a largo plazo y vectores de ingeniería social dirigidos. El hecho de la violación contraviene directamente el requisito de que la ANEP observe el Principio de Seguridad (Artículo 10 de la Ley 18.331), que es una condición fundamental e innegociable para el tratamiento lícito de los datos de menores bajo la excepción del Cometido Público.

La Plataforma GURI es el sistema nervioso central de la educación primaria en Uruguay, gestionado bajo la DGEIP/CEIP. Centraliza la información académica, de asistencia y personal para todo el sistema de educación formal. GURI gestiona datos sensibles de aproximadamente 3 millones de personas, incluidos estudiantes, sus familias y 24,000 educadores.

Los datos en poder de la ANEP son intrínsecamente de alto valor, incluyendo Documentos de Identidad (D.I.), nombres completos, direcciones y cruciales vínculos familiares. Además, los datos de GURI son fundamentales para políticas sociales complejas y se han integrado con el Ministerio de Salud Pública (MSP) a través de la plataforma de interoperabilidad de Agesic para el monitoreo de la salud (estrategia “Una Salud”), magnificando la exposición al riesgo del conjunto de datos combinado.

I. Resumen Ejecutivo: La Crisis en la Gobernanza y la Integridad de los DatosII. Descripción del Incidente ANEP GURIA. Plataforma GURI y Criticidadhttps://cybermidnight.club/informe-analisis-estrategico-del-incidente-de-ciberseguridad-anep-guri-octubre-de-2025/

https://x.com/ADanielHill