La Autoridad Nacional para la Innovación Gubernamental publicó la Resolución N° 07 del 11 de mayo de 2026, “Por la cual se establecen los controles mínimos requeridos de protección en ciberseguridad para los sistemas informáticos de las entidades públicas”.

Esta resolución establece diez controles técnicos esenciales, entre los que destacan la autenticación multifactor, la gestión de parches de seguridad y el uso de software con soporte vigente para mitigar riesgos mediante la protección contra malware, el filtrado de navegación web y la realización de pruebas de penetración anuales.

Esta normativa tiene un carácter obligatorio para las instituciones pertenecientes a los Órganos Ejecutivo, Legislativo y Judicial, todas sus entidades, empresas estatales y dependencias, pero funcionará como una guía técnica de referencia, no obligatoria, para los Municipios, Juntas Comunales, Consejos Provinciales y Comarcales.

CONTROLES

Las 10 medidas de protección en ciberseguridad establecidas en la Resolución No. 07 son las siguientes:

1. Inventario de activos expuestos a Internet:

Se debe mantener un registro actualizado de todos los recursos tecnológicos expuestos a internet, detallando su finalidad, ubicación lógica y responsable asignado.

2. Actualización y parchado de activos:

Es obligatorio mantener actualizados servidores, aplicaciones, servicios y dispositivos de red, dando prioridad a aquellos que están expuestos a Internet.

3. Autenticación multifactor para accesos remotos:

Se requiere implementar MFA para accesos remotos vía VPN, consulta de correo institucional fuera de la red y el uso de plataformas SaaS, incluyendo las redes sociales de la entidad.

4. Sistemas operativos vigentes y con soporte:

Todos los equipos deben contar con versiones vigentes de sistemas operativos que tengan soporte del fabricante. Si no es posible actualizarlos, deben permanecer aislados de la red institucional.

5. Protección contra malware:

Es indispensable contar con soluciones de protección contra malware instaladas y activas en todas las estaciones de trabajo y servidores, con firmas de detección siempre actualizadas

6. Segmentación perimetral (DMZ):

Los sistemas y servicios expuestos a internet deben ubicarse en una Zona Desmilitarizada (DMZ) y estar protegidos por un firewall de aplicaciones web (WAF), prohibiendo que activos expuestos a Internet residan directamente en la red interna.

7. Restricción de accesos administrativos desde internet:

Se debe restringir el acceso desde Internet a protocolos de administración como SSH, RDP, SMB y a bases de datos, evitando su disponibilidad directa desde redes públicas

8. Prueba de penetración externa:

Las entidades deben realizar, como mínimo, una prueba de penetración anual sobre sus activos expuestos, documentando tanto los hallazgos como las acciones tomadas para remediarlos

9. Protección mediante filtrado de navegación web:

Se deben implementar mecanismos para bloquear el acceso a sitios maliciosos, fraudulentos o de alto riesgo, como aquellos vinculados a phishing o distribución de malware.

10. Protección del correo institucional:

Es obligatorio el uso de controles que detecten y bloqueen correos maliciosos, enlaces sospechosos, archivos adjuntos peligrosos e intentos de suplantación de identidad.

 

INFORME

La Resolución N° 07 establece también que las instituciones tienen un plazo de hasta 30 días para presentar un informe de autogestión sobre el nivel de cumplimiento de estas medidas ante el Centro de Operaciones de Seguridad Gubernamental (SOC Gubernamental).

Cada entidad está obligada a adjuntar el sustento documental que demuestre que cada control técnico se está aplicando efectivamente.

En el caso de que se detecte que la entidad no cumple con algún control debe presentar un plan de acción que debe ejecutarse en un plazo no mayor de 45 días calendario.