• 2026-06-10
  • News
  • By Pyxis Communication
ES | Pruebas de seguridad en el Marco de Ciberseguridad de Uruguay: qué exige AGESIC y cómo cumplirlo
Blog Pyxis - ES | Pruebas de seguridad en el Marco de Ciberseguridad de Uruguay: qué exige AGESIC y cómo cumplirlo

¿Por qué las organizaciones ya no pueden ignorar las pruebas técnicas de ciberseguridad? La seguridad no se declara, se demuestra 

En un entorno donde los ciberataques son más frecuentes y sofisticados que nunca, instalar controles y redactar políticas ya no alcanza. Los marcos normativos más influyentes a nivel global —NIST CSF, ISO/IEC 27001— y el marco de referencia nacional desarrollado por AGESIC coinciden en un punto: la seguridad debe ser verificada de forma activa y periódica. 

En Uruguay, el Marco de Ciberseguridad elaborado por AGESIC (Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento) es la referencia oficial para que organismos públicos y empresas privadas evalúen y fortalezcan su postura de ciberseguridad. Su versión 5.0, presentada en 2025 y respaldada por el Decreto N.° 66/025 —que la hace obligatoria para el Estado—, estructura 72 requisitos en seis funciones del ciclo de vida de la ciberseguridad: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. 

Entre esos requisitos, las pruebas de seguridad ocupan un lugar central. No son un complemento opcional: el marco las incorpora de manera explícita, con controles concretos, periodicidades definidas y niveles de prioridad diferenciados según el perfil de la organización. 

Una tendencia global: otros marcos también lo exigen 

Uruguay no está solo en esta exigencia. El MCU v5.0 se alinea con las principales referencias internacionales en ciberseguridad, que también consideran las pruebas técnicas como un componente esencial de un programa de seguridad maduro. 

Marco / Normativa Exigencia sobre pruebas de seguridad Frecuencia mínima
NIST CSF 2.0 (EE.UU.) Escaneos (DE.CM-8) y validación de controles de protección. Pentesting implícito en subcategorías de Identificar y Detectar. Anual; trimestral en entornos de alto riesgo.
ISO/IEC 27001:2022 Controles A.8.8 (vulnerabilidades), A.8.25 (desarrollo seguro) y cláusula de evidencia de monitoreo. El pentesting provee la evidencia que exigen los auditores. Al menos anual o ante cambios significativos.
PCI DSS v4.0 Pentesting externo e interno obligatorio (Req. 11.3). Incluye pruebas de segmentación de red. Anual; semestral para proveedores de servicios.

La convergencia entre el MCU v5.0 y estos estándares no es casual: el marco uruguayo fue diseñado expresamente sobre la base del NIST CSF 2.0 y la ISO/IEC 27001, adaptando sus principios al contexto normativo y operativo local. Las organizaciones que cumplen con el MCU están, en gran medida, alineadas con las mejores prácticas globales. 

 ¿Por qué el MCU v5.0 exige pruebas de seguridad? 

La lógica del marco es clara: declarar que se tiene un control no es suficiente, hay que demostrarlo. Las pruebas de seguridad cumplen tres funciones críticas dentro del modelo: 

  1. Identificar vulnerabilidades reales – antes de que un atacante las encuentre primero (función IDENTIFICAR). 
  2. Validar que los controles implementados funcionan – no alcanza con tenerlos documentados (función PROTEGER). 
  3. Impulsar la mejora continua – cada hallazgo genera un plan de acción que eleva el nivel de madurez (función IDENTIFICAR ). 

El marco define cinco niveles de madurez, desde el Nivel 0 (sin acciones de seguridad) hasta el Nivel 4 (mejora continua bajo supervisión del RSI). Las pruebas de seguridad son el mecanismo concreto que permite transitar de un nivel al siguiente: sin evidencia técnica, no hay forma de acreditar que los procesos están documentados, funcionando y siendo mejorados. 

 ¿Qué tipos de pruebas contempla el MCU v5.0? 

El marco no se limita al pentesting. Contempla un espectro más amplio que cubre tanto la evaluación técnica ofensiva como los controles de proceso y auditoría: 

  • Pruebas de intrusión (ethical hacking / pentesting) — CN.3-2: simulación de ataques reales en sistemas críticos. 
  • Escaneos de vulnerabilidades — CN.3-5 / SO.1-8: análisis automatizados con frecuencia mínima semestral. 
  • Revisiones internas de vulnerabilidades — CN.3-4: procedimiento periódico documentado con alcance a sistemas base y aplicaciones. 
  • Revisiones externas (terceros) — CN.3-6: apoyo de empresas especializadas en hackeo ético y análisis de vulnerabilidades. 
  • Auditorías internas anuales — CN.2-3: verificación del cumplimiento del marco completo. 
  • Auditorías externas periódicas — CN.2-4: evaluación independiente con periodicidad predefinida. 
  • Pruebas de desarrollo seguro — AD.1-4: casos de prueba orientados a validaciones de seguridad en el ciclo de desarrollo. 
  • Pruebas de planes de continuidad — CO.4-7: ejercicios parciales o completos de los planes de contingencia. 

 

  ¿Cómo impactan estas pruebas en la postura de seguridad? 

Cumplir con los controles de pruebas del MCU v5.0 no es solo un ejercicio de cumplimiento regulatorio. Tiene un impacto directo y medible en la capacidad de la organización para defenderse: 

✔  Detección proactiva: se descubren vulnerabilidades antes de que un atacante las explote. 

✔  Controles validados: se confirma que las medidas implementadas realmente funcionan bajo condiciones de ataque. 

✔  Evidencia auditada: se genera documentación que acredita el nivel de protección ante reguladores e incidentes. 

✔  Mejora del nivel de madurez: cada ciclo de pruebas alimenta el siguiente, elevando progresivamente la escala del MCU. 

✔  Reducción del riesgo real: el costo de una prueba de penetración es una fracción del costo promedio de un incidente de seguridad. 

 2026 es el año en que el cumplimiento se vuelve concreto 

El MCU v5.0 de AGESIC es explícito: las pruebas de seguridad no son opcionales. Desde el perfil Básico ya se exigen escaneos semestrales de vulnerabilidades y pruebas de intrusión anuales en sistemas críticos. En el perfil Estándar estas se convierten en obligaciones de alta prioridad, y en el Avanzado se integran al ciclo de mejora continua con control interno, lecciones aprendidas y participación de proveedores. 

Para las organizaciones uruguayas —públicas o privadas— la pregunta no es si deben realizar estas pruebas. El marco ya respondió eso. La pregunta es cuándo fue la última vez que las hicieron, qué hicieron con los resultados y si tienen evidencia documentada para mostrarlo. 

Octubre de 2026 será un hito clave para mostrar avances concretos. El momento de ordenar la implementación es ahora. 

Cómo puede acompañar Pyxis 

Pyxis acompaña a organizaciones públicas y privadas en la implementación del Marco de Ciberseguridad de AGESIC. Entre los servicios que ofrecemos se encuentran precisamente las pruebas de seguridad que el MCU v5.0 exige: análisis de vulnerabilidades, pruebas de intrusión (ethical hacking), revisiones externas de terceros y auditorías alineadas al marco. 

La idea no es solo cumplir un control. Es que cada prueba genere evidencia útil, hallazgos accionables y un plan de mejora concreto que lleve a la organización al siguiente nivel de madurez. 

Si querés evaluar el estado actual de tu organización frente al MCU o necesitás apoyo para ejecutar alguna de estas pruebas, podemos ayudarte a dar el primer paso. 

Tags
AGESICCiberseguridadISO 27001Marco de Ciberseguridad UruguayMCU v5.0NIST CSFpentestingpruebas de penetraciónsector público Uruguayseguridad informáticavulnerabilidades
Imagen de perfil Pyxis Communication

With a 360° potential, our solutions matrix accompanies the lifecycle of any project, with skills and experience in Development, Design, Q&A, Devops, Operation & Deploy, and Architecture

Discover all post
You may also like
Related posts

Let's build something amazing together!

We are here to help you!

You can leave us your query or recommendation through this form.