EscucharFue exactamente el 18 de abril de 2022, después de Semana Santa hace tres años. Los sistemas del Ministerio de Hacienda, incluyendo los servicios en línea de tributación y aduanas, amanecieron bloqueados por un hackeo de un grupo de ciberdelincuentes hasta ese momento desconocido: Conti. No fue la única entidad atacada en aquel momento.
¿Ha mejorado desde entonces la seguridad de los datos y de las tecnologías de la información y comunicaciones (TICs) en las instituciones públicas de Costa Rica?
Veamos un caso. La Contraloría General de la República realizó una auditoría de ciberseguridad al Ministerio de Ambiente y Energía (Minae). Como parte del examen, se realizaron varias pruebas no intrusivas de ciberseguridad. Los resultados no fueron particularmente alentadores.
Se detectaron vulnerabilidades en la infraestructura externa e interna, tales como incorrecta configuración de seguridad, componentes vulnerables y desactualizados, fallas criptográficas y riesgos en el acceso a los sistemas. “Se determinó que las acciones realizadas por la institución en materia de ciberseguridad, a la fecha, se limitan a gestionar en forma reactiva las alertas que recibe del Micitt (Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones ), sin contar con un enfoque preventivo a nivel interno”, indica el reporte publicado el pasado 31 de enero.
Las auditorías realizadas por la Contraloría a otras entidades como el Sistema Integrado de Compras Públicas (Sicop), el Registro Nacional y los ministerios de Obras Públicas y Transportes (MOPT) y Seguridad Pública encontraron situaciones comunes, tanto en pendientes como en avances.
Hay avances en adquisición de servicios y herramientas de software especializado en ciberseguridad, en la demanda de servicios de monitoreo, en mayores recursos, y en la acción y la recepción de alertas y herramientas desde la División de Gobernanza Digital y el Centro de Respuesta de Incidentes de Seguridad Informática del Micitt.
También hay mayor concientización. “Antes de los ataques no se veía como una prioridad”, dijo Isaac Rodríguez, gerente de ciberseguridad y privacidad de PwC Costa Rica. Pero los retos persisten.
De los informes de la Contraloría y de acuerdo con especialistas y la Cámara de Tecnologías de Información y Comunicación (Camtic), falta alineamiento o estandarización de la gestión de la ciberseguridad en las instituciones públicas, de personal especializado, de indicadores claros sobre incidentes y de visualización del cumplimiento de los planes y objetivos, cuando se tienen. La falta de maduración no solo es a nivel de ciberseguridad.
LEA MÁS: El hackeo a Hacienda: crónica del ataque que sometió a Costa Rica
La situación es heterogénea en el conjunto del Estado. El Índice de capacidad de gestión de TICs elaborado por la Contraloría muestra que solo el 7% de las 265 entidades públicas consultadas tienen un nivel avanzado. Son apenas 19 entidades del sector financiero.
En el otro extremo, 103 instituciones están en nivel inicial con fuertes desafíos en gobernanza y aprovechamiento de TICs, monitoreo, capacidad de respuesta, sistema de gestión de seguridad de la información, controles, capacitación y atención de los incidentes.
Se encontró también que 145 de las instituciones no capacita al personal de TICs, 194 carece de un plan de capacitación tecnológica de su planilla y 167 no sabe si tuvo incidentes de ciberseguridad, lo que refleja debilidades en el monitoreo y detección.
Detalles
En Hacienda los hackers encontraron una fisura en un sistema que desarrollaba un grupo de funcionarios, pese a no estar autorizados por la dirección de TIC.
En pocas semanas fueron afectadas por otros ataques, que aprovecharon vulnerabilidades propias, la Caja Costarricense de Seguro Social, Radiográfica Costarricense, el Instituto Meteorológico Nacional, varias municipalidades y los ministerios de Trabajo y Seguridad Social, Salud, MOPT y Micitt.
En noviembre de 2024 también fue atacada la Refinadora Costarricense de Petróleo (Recope), con una modalidad similar de ransomware con secuestro de información y exigencia de un rescate económico.
Al menos, se generó un resultado. “La ciberseguridad pública en Costa Rica cobró vital importancia”, dijo Hernando Segura, CEO y fundador de True Sec y miembro del Capítulo de Ciberseguridad de Camtic. Y otros resultados positivos adicionales.
El Micitt lanzó una estrategia nacional de ciberseguridad dando prioridad a infraestructura crítica, gobernanza coordinada, actualización legal, formación y cooperación nacional e internacional, así como el fortalecimiento de las unidades de ciberseguridad de ese ministerio. Pero los retos superan los avances.
El primer pendiente del país es la aprobación de la Ley de Ciberseguridad propuesta desde 2022, que crearía una Agencia Nacional de Ciberseguridad. No sólo ese.
Muchas entidades usan defensas básicas, urgen soluciones avanzadas con tecnología de inteligencia artificial y para protección de infraestructura crítica. También señalan falta de financiamiento y articulación de normas de protección de datos, delitos informáticos y contraseñas.
Muchas entidades incluso descuidan medidas básicas (monitoreo, actualizaciones y respaldos) y faltan programas de capacitación, pruebas, simulaciones y acciones ante las estafas digitales y la probable colaboración de funcionarios que comparten información sensible con bandas organizadas. Lo más crítico: que las altas autoridades en las entidades asuman la tarea.
“El mayor desafío es la conciencia al nivel más alto de gobernanza, para que no sea un asunto tecnológico exclusivamente y que se logre comprender que un incidente afecta el servicio al ciudadano y la continuidad de operación de servicios básicos”, dijo Andrés Casas, socio de la firma Brakk, especializada en ciberseguridad.
Cada entidad tiene sus propias situaciones. En Sicop, que está bajo la gestión de Hacienda, faltan controles de validación para detectar errores de digitación que representan el 14,8% del Producto Interno Bruto, entre otras debilidades halladas por la Contraloría.
En el Registro Nacional se desarrollaba, en el momento de la auditoría, un Sistema de Gestión de Seguridad de la Información, pero no se tenían definidos componentes estratégicos, roles, responsabilidades directivas, y acciones estructuradas de sensibilización institucional.
Y en el caso del Ministerio de Seguridad Pública, la Contraloría advirtió que las situaciones que identificaron en esa entidad incrementan el riesgo de incidentes y exponen al Ministerio a un riesgo de pérdida de confidencialidad, disponibilidad e integridad de la información que se almacena en sus sistemas.
| Auditoría de ciberseguridad |
|---|
| De los informes más recientes de 2024 y 2025 publicados por la Contraloría General de la República a cinco entidades se identifican algunos avances y problemas comunes. |
| AVANCES |
| Conocimiento, preocupación y disposición a definir planes, adoptar medidas y cumplir recomendaciones de Contraloría. |
| Una de las cinco de las entidades cuentan con lineamientos y controles de seguridad y de resguardo y monitoreo de sus sistemas. |
| Se cuenta con herramientas antimalware donadas por Micitt, para gestionar la instalación de parches de seguridad en los equipos y la protección contra distintos tipos de ataques y software malicioso. |
| DEBILIDADES |
| Incumplimientos o cumplimiento parcial de marco normativo, buenas prácticas y técnicas de ciberseguridad, gestión de calidad y seguridad de la información (con debilidades en todas las etapas de la administración de datos). |
| Falta de definición de estrategias formales y prioridades institucionales, que permitan establecer recursos y la estructura de roles, estándares, métricas, políticas y procesos de protección de la confidencialidad, integridad y disponibilidad de la información. |
| Falta de controles formales y estandarizados o debilidades si se tienen para la gestión de los riesgos y para la validación de la digitación de datos y el resguardo de la información confidencial. |
| Carencia de planes y estrategias de continuidad, así como de verificación o control para que se cumpla o de implementación cuando se tienen definidos. |
| Falta documentación de solicitudes internas y externas, produciendo pérdida de trazabilidad de los servicios de TICs. |
| Falta de revisiones y documentación sobre la integridad de los respaldos y custodia de datos. |
| Carencia de metodologías y de evaluaciones de riesgo de seguridad para identificar vulnerabilidades ni pruebas para garantizar la confidencialidad, integridad y disponibilidad de la información. |
| Carencia de procesos de monitoreo periódico para detectar y gestionar en forma oportuna eventos de riesgo. |
| Carencia de normas de ciberseguridad para contrataciones de servicios TICs con proveedores externos. |
| Hay sistemas críticos que carecen de doble factor de autenticación y sitios web sin validación humana, sin políticas de contraseñas y que permiten varias sesiones simultáneas. Debilidades en mecanismos de defensa ante ataques de denegación de servicios. |
| Falta de medidas de suspención de usuarios que ya no forman parte de la institución, asi como debilidades en la gestión de cuentas de usuario final en relación con las responsabilidades de las áreas del negocio. |
| Debilidades en el modelo de creación de tiquetes para la resolución de solicitudes e incidentes, en acuerdos de niveles de servicio internos, de procedimientos de gestión de incidentes y problemas, de versiones, de parches y de configuraciones. |
| Falta de planes de capacitación y concientización del personal en ciberseguridad. |
| Falta de una instancia de alto nivel que se encargue de velar por la implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la información y que conozca el estado de la totalidad de los activos institucionales, estrategias y planes de ciberseguridad. |
| Fuente: Contraloría General de la República, auditorías de ciberseguridad a Minae, MOPT, Ministerio de Seguridad, Sicop y Registro Nacional. |
