EscucharSi los hackers del ransomware Conti querían un golpe de efecto, Costa Rica parece una victima ideal: una digitalización considerable y exposición internacional, como ejemplifica el documental de Netflix donde participa el expresidente estadounidense Barak Obama.
El ataque cibernético al Ministerio de Hacienda y varias instituciones dejó al descubierto las vulnerabilidades de seguridad informática en el Estado. Hasta el rector en la materia, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) fue atacado.
Junto a estos incidentes de alto perfil, la firma Kaspersky reportó que Costa Rica pasó de tener un promedio de 2.000 embates cibernéticos diarios a 4.500 desde el pasado 18 de abril.
Los especialistas advierten que ocho de cada 10 empresas locales también carecen de cultura, procesos y herramientas de protección de datos. “No es un tema que discutan las autoridades y tal vez en las juntas directivas de bancos privados no lo vean más de dos veces al año”, dijo Roberto Sasso, presidente del Club de Investigación Tecnológica.
La Cámara de Infocomunicación y Tecnología (Infocom) acusó que para el Gobierno Central no es prioridad invertir en la protección de las infraestructuras de tecnología crítica en los sectores de electricidad, telecomunicaciones, salud, puertos y aeropuertos.
Contamos con una normativa poco exigente sobre el manejo de los datos de carácter personal
— Margarita Guido, abogada especialista de EY Law
La situación es contradictoria con diferentes reportes con los que localmente se suele alardear.
Por ejemplo, el Ranking Internacional de Ciberseguridad de 2020, elaborado por el e-Governance Academy, ubicaba a Costa Rica como el tercero de la región y el 45 de 149 países en preparación para prevenir amenazas y gestionar incidentes cibernéticos. El Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT) también indican mejoras de Costa Rica: el país pasó, a nivel global, de la posición 115 en 2020 a la 76 en 2021.
Hay avances como la creación del Centro de Respuestas a Incidentes de Ciberseguridad (CSIRT-CR, adscrito al Micitt), la estrategia nacional, el protocolo de gestión de incidentes y el Clúster Cybersec Costa Rica. Sin embargo, el Programa Institucional de la Sociedad de la Información y el Conocimiento (Prosic), de la Universidad de Costa Rica, alertó en 2021 de la necesidad de reforzar la ciberseguridad, la falta de normas en protección de datos personales y el aumento de los ciberataques.
Esfuerzos insuficientes
Los avances de Costa Rica en ciberseguridad, de carácter burocrático, son modestos respecto a la evaluación que realizó hace cinco años el Comité de Políticas de Economía Digital (CDEP, por sus siglas en inglés) de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), como parte del proceso de adhesión.
El país cuenta con una estrategia en la materia desde 2017, la cual se encontraba en proceso de actualización precisamente en estos días. “Somos uno de los primeros países de la región que cuenta con estrategia”, dijo Jorge Mora, director de gobernanza digital. “Se ha venido trabajando: hay 600 enlaces de ciberseguridad en el país, realizamos talleres de capacitación y tenemos el clúster de ciberseguridad”.
Cumplir con los requerimientos burocráticos es insuficiente, empero. Hacienda cumplió las observaciones y disposiciones que le hizo la Contraloría General de la República sobre seguridad informática hace tres años, pero el Ministerio no cuenta con un sitio o centro informático paralelo.
Como país se debe entender que estamos siendo atacados
— Andrés Casas, gerente de ciberseguridad de Sisap
En muchas entidades del Estado y empresas locales las situaciones llegan a lo preocupante: se mantienen servidores y respaldos en los mismos sitios físicos con el riesgo de ser afectados por un mismo evento (inundación, incendio, etc. ), se carece de sistemas de acceso a centros de datos y hay casos en que un excolaborador tiene accesos activos a los sistemas aun cuando tiene años de haber cesado funciones.
Los especialistas en ciberseguridad señalan que la actualización de procesos y protocolos es lenta, las prácticas de continuidad de negocios son obsoletas, no se segmentan las redes inalámbricas, no hay estrategias de respaldos y tampoco capacitación de los usuarios.
En ambos sectores se requieren recursos humanos especializados, nuevas tecnologías de ciberseguridad, mayor coordinación, pólizas de seguro y conciencia de que los ataques son cada vez más sofisticados (un antivirus no es suficiente).
Se requiere un cumplimiento a cabalidad de la normativa actual
— Elizabeth Mora, directora nacional de Prodhab
La estrategia emitida por el Micitt desde 2017, aparte de desactualizada a la fecha, no baja a tierra. “Le faltan acciones concretas. No hay integración”, dijo Diego González, coordinador del capítulo de ciberseguridad de la Cámara de Tecnologías de Información y Comunicación (Camtic).
Hay déficit de capacidad de ejecución. “El Micitt empieza a tomar protagonismo, pero con las uñas”, afirmó Luis Alonso Ramírez, de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Comunicación.
El país tampoco tiene un responsable de gobierno ditigal y ciberseguridad con autoridad suficiente, como en Estados Unidos, Gran Bretaña o Australia donde esas funciones están ligados a las oficinas de los mandatarios. En Costa Rica, la Dirección de Gobernanza Digital y el CSIRT-CR están en uno de los ministerios más pequeños y al que el proyecto de presupuesto para este 2022 asignaba la menor cantidad de fondos.
Déficit legal
Desde el 18 de abril pasado, cuando se suspendieron los sistemas de Hacienda, la gestión de la crisis por el Poder Ejecutivo presenta fallas en transparencia.
Parte de la situación es el desconocimiento de las obligaciones legales de los responsables de manejo de datos de las personas. En países desarrollados los responsables están obligados a comunicar de forma inmediata a las personas cuya información es vulnerada o alterada, para que adopten las medidas pertinentes del caso. “Allá lo fundamental son los datos”, recalcó Sasso.
En Costa Rica también esta prevista esa responsabilidad en el Reglamento de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (No 8968), pero se debe actualizar la norma con sanciones específicas, además que falta incluir normas para exigir los protocolos de actuación y medidas de seguridad de los datos.
“Contamos con una normativa poco exigente sobre el manejo de los datos de carácter personal, donde las multas a empresas o instituciones que manejan este tipo de datos son bajas y poco aplicadas”, dijo Margarita Guido, abogada especialista en protección y privacidad de datos de EY Law.
Hacen falta más medidas para incentivar la adopción de altos estándares de seguridad informática, dijo León Weinstok, socio de BLP, y que la Agencia de Protección de Datos de los Habitantes (Prodhab) tenga un rol más activo y efectivo, sostuvo Mauricio París, socio de Ecija.
En Prodhan opinan distinto. “Se requiere un cumplimiento a cabalidad de la normativa actual”, respondió Elizabeth Mora, directora nacional de Prodhab.
En todo caso, a partir de los hackeos ocurridos desde el 18 de abril, las empresas e instituciones deberán pasar a preocuparse en cómo proteger los datos para recuperarse ante un incidente. “Como país se debe entender que estamos siendo atacados”, dijo Andrés Casas, gerente de ciberseguridad de Sisap.
