¿Por qué decidió unirse al equipo de instructores de la capacitación? 

Paulo Calçada (PC): Me uní a esta capacitación en un momento particular de mi trayectoria profesional. Después de más de una década liderando Porto Digital, convirtiendo a Porto en una de las ciudades más conectadas y orientadas a los datos de Europa, construyendo infraestructuras compartidas, plataformas de datos urbanos y estructuras de gobernanza que impactaban diariamente a cientos de miles de ciudadanos, recientemente di un paso al lado para comenzar algo nuevo. 

Knowledge.Space es una iniciativa enfocada en ayudar a las organizaciones a aprovechar el conocimiento técnico y especializado que ya existe dentro de sus propios equipos, así como en construir las estructuras internas que les permitan adaptarse, de manera estructurada y sostenible, a los desafíos que traen la inteligencia artificial y la rápida transformación digital. En muchos sentidos, es la síntesis de todo lo que aprendí en Porto: que el activo más crítico que posee cualquier organización o ciudad no es su tecnología, sino su conocimiento acumulado, y que este activo casi siempre está subvalorado, mal documentado y peligrosamente aislado. 

Ese enfoque marcó todo lo que aporté a esta capacitación. La ciberseguridad nunca fue una línea de trabajo separada en Porto Digital: estaba integrada en cada decisión de infraestructura, en cada política de gobernanza de datos y en cada alianza con servicios públicos o proveedores. Me uní porque quería compartir esa perspectiva: que la resiliencia no es un problema técnico que se resuelve una sola vez, sino un desafío de gobernanza y cultura que las ciudades deben construir de manera continua. 

Lo que esperaba aportar no era un modelo para copiar, sino un punto de referencia: esto es lo que funcionó, esto es lo que hicimos mal y esto es lo que haríamos de forma diferente. Las ciudades aprenden mejor de otras ciudades. 

Alexander Maaß (AM): Tengo formación profesional en investigación criminal. Ahora puedo mirar atrás y ver casi 41 años de experiencia de servicio en el ámbito de la seguridad interna. Durante este tiempo, mi enfoque principal ha sido la cooperación internacional en la lucha contra el crimen organizado y el terrorismo. A lo largo de mis diez años de trayectoria en los primeros años de Europol, adquirí tanto una visión operativa como estratégica sobre los desafíos de una aplicación eficaz de la ley en un mundo cada vez más impulsado por la innovación y la tecnología. Durante este período, también me desempeñé como evaluador experto en equipos internacionales de la UE que realizaban evaluaciones mutuas de las medidas nacionales en este ámbito. El uso de la tecnología moldea tanto la naturaleza de las actividades delictivas modernas como la labor policial contemporánea. 

Desde 2016 trabajo para el Senado de Berlín en el ámbito de la ciberseguridad dentro del ecosistema de una gran región metropolitana y sus infraestructuras críticas. Desde el 2 de septiembre de 2025, soy responsable de la Oficina de Coordinación de Ciberseguridad del Estado de Berlín. Esta Oficina de Coordinación sigue un concepto de centros de coordinación estandarizados que forman una red nacional de ciberseguridad en Alemania. Este concepto de centros de coordinación une estratégicamente a diversos actores del gobierno, la industria, la investigación y la sociedad civil para alcanzar un mayor nivel de ciberseguridad y resiliencia. 

Este enfoque orquestado se basa en el conocimiento compartido y en una fuerte cooperación entre los actores dentro de un ciberespacio sin fronteras. Esto significa que las amenazas, los desafíos y las mejores prácticas para mantener un buen nivel de ciberseguridad y resiliencia son globales y, por lo tanto, deben compartirse. La iniciativa LAC4 es una plataforma valiosa en este sentido, que me complace apoyar, ya que el conocimiento compartido representa conocimiento duplicado, no solo para América del Sur, sino también para Europa. Juntos, podemos trabajar hacia ciudades y regiones más seguras en todo el mundo. 

Armani Pogosjan (AP): Mi formación es en seguridad nacional, donde la ciberseguridad es una parte crítica de un panorama de seguridad mucho más amplio. Proveniente del ámbito militar, he trabajado extensamente en la gestión de crisis en condiciones de combate y posteriormente trasladé esa experiencia al contexto civil. Esto me ha dado una comprensión muy práctica de cómo resolver crisis civiles complejas utilizando mecanismos de gestión de crisis que ya han sido probados en las circunstancias más exigentes. 

En mi rol actual como Gerente de Desarrollo de la Reserva Cibernética de Estonia en la Autoridad del Sistema de Información de Estonia, soy responsable de asegurar que nuestra reserva cibernética nacional funcione realmente en la práctica, desde las estructuras y los procedimientos hasta la capacitación y los ejercicios. 

Decidí unirme al equipo de instructores en Montevideo porque entendí que las soluciones y lecciones que hemos desarrollado en Estonia podrían ser relevantes también para ciudades de América Latina. Quería demostrar cómo una gestión de crisis estructurada y la resiliencia cibernética pueden ayudar a las ciudades a mantenerse operativas incluso bajo presión. Ver cómo estas ideas tuvieron tanta resonancia, y experimentar la generosidad de las personas que conocí en Montevideo, fue algo muy conmovedor y gratificante a nivel personal.  

¿Cuáles son los principales desafíos que enfrentan las ciudades de la región ALC y cómo superarlos? 

AP: Lo que más me llamó la atención fue lo familiares que resultaban muchos de los desafíos. Dos problemas surgieron repetidamente: recursos muy limitados y falta de coordinación. Algunas ciudades describieron situaciones en las que, básicamente, dos personas son responsables de la seguridad en un sentido muy amplio, y aun así se espera que planifiquen y gestionen crisis cibernéticas complejas. Construir un mecanismo de gestión de crisis que funcione en ese contexto es extremadamente difícil. 

En Estonia, nosotros también partimos de una situación de recursos muy limitados. Esa limitación se convirtió en un motor de creatividad: no teníamos capacidad para desperdiciar, por lo que tuvimos que pensar cuidadosamente en las prioridades, los roles y en procedimientos simples que realmente funcionaran bajo presión. Nos enfocamos en responsabilidades claras, estructuras de coordinación ligeras pero efectivas y ejercicios regulares, en lugar de sistemas grandes y costosos. 

Veo una oportunidad similar en las ciudades de ALC. La experiencia europea y estonia puede ayudar mostrando que no se necesitan grandes presupuestos para avanzar: 

• se puede empezar con planes de crisis simples pero claros: un plan sencillo es mejor que no tener ningún plan; 
• construir redes de coordinación pequeñas pero confiables entre ciudades, autoridades nacionales y operadores de infraestructuras críticas; 
• y utilizar ejercicios regulares y realistas para poner a prueba y mejorar la cooperación. 

Los problemas son compartidos, y muchas de las soluciones también lo son; simplemente deben adaptarse a las realidades locales. 

AM: Los desafíos en ciberseguridad y resiliencia son comparables en todas partes. Desde la perspectiva del Estado, nunca habrá suficiente personal cualificado, tecnología, tiempo ni formación de alto nivel disponibles. Las innovaciones surgen más rápido de lo que podemos seguirles el ritmo. Las estructuras en la política y la administración pública suelen resultar poco ágiles para adaptarse a un panorama de ciberseguridad flexible, tanto en Europa como en América del Sur. Estos desafíos pueden abordarse con estructuras ágiles y bien informadas. 

PC: Según la investigación que he realizado, muchos de los desafíos en las ciudades de ALC reflejan los que enfrentamos en Europa: responsabilidades fragmentadas, recursos limitados, sistemas heredados y una coordinación insuficiente entre autoridades locales y nacionales. 

En Europa, el progreso se aceleró cuando las ciudades clarificaron los roles de gobernanza, fortalecieron la cooperación con los organismos nacionales de ciberseguridad e invirtieron en el desarrollo de capacidades más que únicamente en tecnología. Las ciudades de ALC pueden avanzar más rápido priorizando la coordinación institucional, protocolos compartidos y una mayor concienciación en todo el ecosistema. La resiliencia cibernética depende tanto de la confianza y la cooperación como de las soluciones técnicas. 

¿Qué aprendió personalmente? 

AP: Lo más impactante para mí en Montevideo fue el nivel de apertura y la genuina voluntad de mejorar. Los participantes hablaron con mucha franqueza sobre sus limitaciones, brechas y preocupaciones, no para quejarse, sino para encontrar soluciones. Este tipo de honestidad y confianza es exactamente lo que se necesita para construir una verdadera resiliencia. 

La formación también reforzó en mí cuán interdependientes son nuestras infraestructuras. La ciberseguridad es realmente sin fronteras: incidentes en una parte del mundo pueden tener efectos muy reales en otros lugares a través de las cadenas de suministro, tecnologías compartidas y sistemas conectados. Esto significa que la resiliencia cibernética no puede construirse de forma aislada. Requiere cooperación internacional, aprendizaje entre pares y apoyo mutuo. 

Interactuar con colegas en América Latina no fue un ejercicio unilateral en el que la UE “explica cómo deben hacerse las cosas”. También me ayudó a ver nuestros propios enfoques europeos y estonios con una perspectiva renovada y a comprobar si siguen funcionando cuando se aplican en un entorno político, cultural y de recursos muy diferente. 

PC: Llegué a Montevideo esperando compartir. Me fui habiendo ganado considerablemente más de lo que aporté. 

Las ciudades de la región ALC no están rezagadas; están navegando un terreno distinto y, en algunos aspectos, más complejo: urbanización acelerada, gobernanza fragmentada, marcos regulatorios aún en construcción y un panorama de amenazas que evoluciona más rápido de lo que las instituciones pueden responder. Y aun así, los participantes demostraron un nivel de compromiso e inteligencia práctica realmente impresionante. 

Algo que me quedó muy presente: las ciudades en la sala no estaban pidiendo más tecnología. Estaban pidiendo claridad en la gobernanza: quién decide, quién comunica, quién es responsable. Ese es un desafío que enfrenta toda ciudad, incluido Porto. Europa no tiene una respuesta definitiva que ofrecer. Tenemos experiencia adquirida con esfuerzo, y deberíamos compartirla con la humildad adecuada. También me fui con una renovada sensación de que los Espacios de Conocimiento, repositorios compartidos de memoria institucional entre ciudades, son urgentemente necesarios en la región ALC, no como una aspiración futura, sino como una herramienta práctica a corto plazo. 

AM: El taller me ayudó a reflexionar críticamente sobre nuestros propios estándares y a aprender de las experiencias y desafíos de los participantes y del equipo. Me llevé muchísimo de estos tres días. 

De cara al futuro, ¿cuáles cree que fueron los principales aprendizajes para los participantes? 

PC: Si tuviera que identificar lo que más resonó, fue el estudio de caso de Shadow AI. El escenario, un empleado municipal que sube datos sensibles a una herramienta de IA no aprobada, un periodista que llama dos horas antes de la publicación, sin una política establecida, impactó de manera muy distinta a los marcos teóricos. Los participantes lo reconocieron de inmediato. No era algo abstracto. Ya había ocurrido, o podría ocurrir, en sus organizaciones la próxima semana. 

El mensaje más profundo que pareció quedarse fue este: la resiliencia cibernética no consiste en esperar a estar completamente preparados antes de actuar. Se trata de construir hábitos de gobernanza: mapas de actores, protocolos de decisión preaprobados, cadenas de comunicación. Todo ello permite responder adecuadamente incluso cuando ocurre algo inesperado. Las ciudades que han practicado estos hábitos siempre superarán a aquellas que tienen mejor tecnología pero carecen de una cultura de coordinación. Ese, creo, es el aprendizaje más transferible de la experiencia de Porto y el que espero que los participantes se lleven consigo. 

AP: Una frase que claramente resonó con los participantes fue: “un plan simple es mejor que ningún plan”. Muchos se dieron cuenta de que no necesitan esperar a tener un plan de crisis perfecto y completo. Ya pueden avanzar de manera significativa con un plan breve, claro y realista que todos comprendan. 

Durante los ejercicios, noté un verdadero “clic” cuando los participantes empezaron a ver las brechas de coordinación. Por ejemplo, no saber exactamente quién llama a quién, en qué orden, cuando un incidente cibernético afecta a un servicio crítico. Ese momento de incomodidad fue en realidad muy productivo, porque les mostró dónde enfocar sus esfuerzos después de la formación. 

Si tuviera que resumir los principales aprendizajes para los participantes, destacaría tres puntos: 

• Conocer los servicios y sistemas realmente críticos: no se puede proteger todo por igual.
• Incluso equipos muy pequeños pueden construir un mecanismo funcional de gestión de crisis, si los roles y procedimientos están claros.
• Es necesario practicar, no solo redactar planes, porque los ejercicios realistas revelan brechas de coordinación y generan confianza antes de que ocurra una crisis real. 

Espero que los participantes se hayan ido con la confianza de que, incluso con recursos limitados, pueden tomar medidas concretas y prácticas para fortalecer la resiliencia cibernética de sus ciudades. 

AM: Mejorar la ciberseguridad y la resiliencia no se logra únicamente mediante la compra de tecnología costosa, sino también a través de inversiones mucho más rentables, como la capacitación del personal, la realización de ejercicios periódicos y la implementación de medidas organizativas inteligentes. El mejor “firewall” es un personal bien capacitado que comprenda los principios fundamentales de la higiene cibernética y pueda gestionar amenazas incluso bajo presión. 

Los participantes del taller demostraron una gran apertura, disposición para aprender y flexibilidad. Creo que estas cualidades positivas les ayudarán a conectar nuevas experiencias con su propio conocimiento y a responder de manera más ágil a las amenazas cibernéticas en evolución. Esto, a su vez, conduce a un mayor nivel de resiliencia. 

Antecedentes  

La capacitación “¿Es tu ciudad cibersegura?”, realizada del 4 al 6 de marzo de 2026 en Montevideo, contó con la participación de funcionarios, responsables de políticas públicas y profesionales de ciberseguridad de capitales del Cono Sur, como Buenos Aires, São Paulo, Santiago y Montevideo, así como de ciudades de Uruguay como Canelones, Paysandú, Florida, Maldonado, Lavalleja y Rivera, además de autoridades nacionales de Uruguay.  

La capacitación fue impartida por los expertos de EU CyberNet Alexander Maaß, Paulo Calçada y  Armani Pogosjan, quienes compartieron perspectivas desde Alemania, Portugal y Estonia.  LAC4 extiende su agradecimiento a los coorganizadores: la Intendencia de Montevideo, la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento de Uruguay (AGESIC), la Administración Nacional de Telecomunicaciones (ANTEL) y la Delegación de la Unión Europea  en Uruguay.   

Lecturas recomendadas: 

• Fotos 
• Apertura de la formación
• Conclusiones del primer día
• Conclusiones del segundo día
• Conclusiones del tercer día