Ciberseguridad del Estado muestra avance lento y heterogéneo
Planes afrontan carencias técnicas y de recursos
Aun año del ataque cibernético del grupo de hackers Conti, la mayoría de los software del Ministerio de Hacienda todavía presentaban inconsistencias, algunos módulos tenían versiones de sistemas operativos desactualizados, descontinuados y sin soporte del proveedor, y se desconocían los detalles de operación de al menos tres de las plataformas.
Un informe de la Contraloría General de la República, de febrero anterior, también consignaba la necesidad de revisar la resiliencia del Ministerio y sus sistemas para asegurar la continuidad de las operaciones; también, advertía de la carencia de un método para restaurar las aplicaciones ante otro incidente y, en el plano burocrático, señaló que no cumplía con la documentación de las labores de recuperación de acuerdo con la política de gestión de contingencias tecnológicas de la cartera.
El Ministerio desmintió, en su momento, que el ciberataque generara la “desaparición de ¢341.000 millones en impuestos” y sostuvo que se cargaron en el sistema cerca de un millón de imágenes de respaldos, cubriendo las solicitudes de prescripción, expedientes de cobro y los expedientes asignados a los fiscales.
La situación sorprende en una institución que sufrió, junto con otras entidades, un secuestro de datos que obligó a detener las plataformas con las que funcionaban servicios en línea indispensables en las áreas financiera, presupuestaria, tributaria, aduanera y de pago y salarios. No es excepcional, sin embargo.
El estado de la ciberseguridad en el Estado costarricense es tan heterogéneo como sus 330 instituciones, que abarcan desde los ministerios y las entidades adscritas a nivel del Gobierno Central, hasta las autónomas, incluyendo las municipalidades, en un contexto de limitaciones presupuestarias y déficit de recurso humano especializado, con excepción de las instituciones bancarias que, según especialistas, tendrían una mejor posición.
El cambio más significativo es la mayor atención de diputados y altas autoridades, después de dos décadas de llamados, documentos, oficios, informes, evaluaciones y directrices, para actuar en el desarrollo del gobierno digital y la protección de plataformas y datos.
Mientras en el país se revisa una y otra vez lo que debe hacerse, la industria de ciberdelincuentes evolucionó desde la simple difusión de software malignos como virus, troyanos y otros malware, a objetivos de secuestro de información con fines extorsivos o denegación de servicios con fines geopolíticos y de ciberterrorismo.
El peligro se deja sentir. El mismo Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) contabilizó 727 alertas técnicas ante intentos de ataques cibernéticos entre el 2018 y el 2022.
Acciones y retos
Aparte de esa mayor atención de las autoridades, los avances institucionales más significativos se contabilizan en la constitución de la Dirección de Gobernanza Digital y su Centro de Respuesta de Incidentes de Seguridad Informática (CSIRTCR), ambos adscritos al Micitt.
La entidad generó un documento marco de ciberseguridad en el 2021 y las normas técnicas en tecnología para el Estado. El país se integró a una red internacional de agencias y centros de ciberseguridad, que emite alertas y facilitó solicitar colaboración a Estados Unidos, España e Israel durante el ataque de abril de 2022.
Otro paso fue el establecimiento de una directriz presidencial para fortalecer la coordinación del CSIRT-CR.
“Ahí se estableció que las entidades del Gobierno Central están obligadas a informar de incidentes”, resaltó Jorge Mora, exdirector de Gobernanza Digital. De esta forma, las otras instituciones podrían revisar sus vulnerabilidades y reaccionar a tiempo.
Solamente en su primer año de funcionamiento, se habrían logrado definir estrategias y políticas, programas de formación, estándares y marcos legales regulatorios, entre otras acciones. Mora destacó que, con las acciones implementadas, el país avanzó 39 posiciones en el ranquin de ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT).
Costa Rica se ubicaba en la casilla 115 a nivel global y en la 18 en el continente de América en el escalafón de ciberseguridad de la UIT del 2018, que incluía a 175 naciones y regiones.
Para el listado del 2020, el país apareció en las posiciones 76 y ocho, respectivamente.
Fue un avance de 39 posiciones que, en su momento y aun hoy, fue destacado por las autoridades de la administración de Carlos Alvarado. Tener ese arsenal de estrategias, políticas y programas era lo más sencillo.
Ya en el 2014, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) apuntó que varios países de América Latina y el Caribe habían logrado muchas de las tareas. “Lamentablemente, la gran mayoría de estas estrategias carecen de una visión a largo plazo clara sobre el riesgo de seguridad digital y deben responder a diversos desafíos”, advierte la OCDE.
¿Como cuáles? Hay déficits en creación y mejora de marcos jurídicos de seguridad digital, capacidades operativas para gestionar el riesgo de seguridad, distribución clara de responsabilidades entre las instituciones gubernamentales, y cooperación internacional entre múltiples partes interesadas.
“Todo apunta a que la mayor parte de los países de América Latina y el Caribe no están enfocando el riesgo de seguridad digital desde un punto de vista económico y social”, recalca el organismo.
En el informe de la Dirección de Gobernanza Digital de mayo del 2022 se advierte de que quedó pendiente la implementación técnica del marco de ciberseguridad, y se enumeran 25 necesidades y sugerencias en siete áreas de acción, como la seguridad de servicios públicos, comunicación institucional en ciberseguridad y presupuesto.
La ejecución sigue siendo un problema. La OCDE, en su informe sobre Costa Rica presentado a principios de este 2023, citó el hackeo como una de las cuatro situaciones que podría hacer cambiar las perspectivas del país, junto con la volatilidad financiera global, la profundización de la crisis de Nicaragua y los fenómenos climáticos extremos.
La entidad advirtió sobre la vulnerabilidad en el área de ciberseguridad, el riesgo de la divulgación de datos y la debilidad en infraestructura crítica, por lo que incluyó como posible acción política “implementar protocolos de ciberseguridad más rigurosos”.
Principales carencias
Un estudio impulsado por el Micitt, junto con el Instituto Costarricense de Electricidad (ICE) y el Consejo Nacional de Rectores (Conare), de mayo del 2022 y con entrevistas en 226 instituciones del país, reveló gran cantidad de problemas y carencias.
Las principales debilidades detectadas son la falta de personal especializado, así como la ausencia de políticas y de aplicación de medidas técnicas en varias áreas de seguridad informática.