Al año del ataque cibernético del grupo de hackers Conti en su contra, la mayoría de los software del Ministerio de Hacienda todavía presentaban inconsistencias, algunos módulos tenían versiones de sistemas operativos desactualizados, descontinuados y sin soporte del proveedor, y se desconocían los detalles de operación de al menos tres de las plataformas.
El informe de la Contraloría General de la República de febrero anterior, también consignaba la necesidad de revisar la resiliencia del ministerio y sus sistemas para asegurar la continuidad de las operaciones, la carencia de un método para restaurar las aplicaciones ante otro incidente y, en el plano burocrático, que no cumplía con la documentación de las labores de recuperación de acuerdo con la política de gestión de contingencias tecnológicas de la cartera.
El ministerio desmintió, en su momento, que el ciberataque generara la “desaparición de ¢341.000 millones en impuestos” y sostuvo que se cargó en el sistema cerca de un millón de imágenes de respaldos, cubriendo las solicitudes de prescripción, expedientes de cobro y los expedientes asignados a los fiscales.
LEA MÁS: ¿Qué dice ahora la Contraloría sobre el hackeo a Hacienda y qué responde el Ministerio?
La situación sorprende en una institución que sufrió, junto con otras entidades, un secuestro de datos que obligó a detener las plataformas con las que funcionaban servicios en línea indispensables en las áreas financiera, presupuestaria, tributaria, aduanera y de pago y salarios. No es excepcional, sin embargo.
El estado de la ciberseguridad en el Estado costarricense es tan heterogénea como sus 330 instituciones, que abarcan desde los ministerios y las entidades adscritas a nivel del Gobierno Central como las autónomas, incluyendo las municipalidades, en un contexto de limitaciones presupuestarias y déficit de recursos humanos especializados y salvo las instituciones bancarias según los especialistas, que tendrían una mejor posición.
El cambio más significativo es la mayor atención de diputados y altas autoridades, después de dos décadas de llamados, documentos, oficios, informes, evaluaciones y directrices para actuar en el desarrollo del gobierno digital y la protección de plataformas y datos.
Mientras en el país se revisa una y otra vez lo que debe hacerse, la industria de ciberdelincuentes evolucionó desde la simple difusión de software malignos como virus, troyanos y otros malware a objetivos de secuestro de información con fines extorsivos o denegación de servicios con propósitos geopolíticos y de ciberterrorismo.
El peligro se deja sentir. El mismo Micitt contabilizó 727 alertas técnicas ante intentos de ataques cibernéticos entre 2018 y 2022.
Un problema de ejecución
Aparte de esa mayor atención, los mayores avances institucionales se contabilizan en la constitución de la Dirección de Gobernanza Digital y su Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), ambos adscritos al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
La entidad generó un documento marco de ciberseguridad en 2021 y las normas técnicas en tecnología para el Estado. El país se integró a una red internacional de agencias y centros de ciberseguridad, que emite alertas y facilitó solicitar colaboración a Estados Unidos, España e Israel durante el ataque de abril de 2022.
Otro paso fue el establecimiento de una directriz presidencial para fortalecer la coordinación del CSIRT-CR. “Ahí se estableció que las entidades de Gobierno Central están obligadas a informar de incidentes”, resaltó Jorge Mora, exdirector de Gobernanza Digital. De esta forma, las otras instituciones podrían revisar sus vulnerabilidades y reaccionar a tiempo.
Solamente en su primer año de funcionamiento se habría logrado definir estrategias y políticas, programas de formación, estándares y marcos legales regulatorios, entre otras acciones. Mora destacó que, con las acciones implementadas, el país avanzó 39 posiciones en el ranking de ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT).
| ¿En el papel? |
|---|
| Tareas realizadas y enumerados por la Dirección de Gobernanza Digital del Micitt: |
| Políticas y estrategias de seguridad cibernética: estrategia nacional, respuesta a incidentes, protección de infraestructura crítica, manejo de crisis, defensa cibernética y redundancia en comunicaciones. |
| Cultura cibernética: acciones para impulsar la cultura de seguridad cibernética, confianza y seguridad en Internet, protección de información en línea, uso de medios y redes sociales, denuncias, y formación y habilidades de seguridad cibernética. |
| Marcos legales y regulatorios: marcos legislativos para seguridad de tecnologías de información y comunicaciones, privacidad y libertad de expresión, protección de datos y del consumidor, propiedad intelectual y procesal contra el delito cibernético, así como preparación de sistema de justicia penal en el campo y cooperación para combatir el crimen cibernético. |
| Definición de estándares, organizaciones y tecnologías: definición de estándares de seguridad de tecnologías de información y comunicaciones, de desarrollo de software, resiliencia de infraestructura de Internet, calidad de software, controles técnicos de seguridad, controles criptográficos, y tecnologías de seguridad cibernética. |
| Fuente: Micitt, informe final de gestión de dirección de gobernanza digital (2019-2022) |
El país era el 115 a nivel global y el 18 en el continente de América en el ranking de ciberseguridad de la UIT de 2018, que incluía a 175 naciones y regiones.
Para el ranking del 2020, Costa Rica apareció en las posiciones 76 y 8, respectivamente, impulsada por las medidas de cooperación institucional (donde obtuvo 15,93 puntos), legales (17,62), de organización (12,66) y capacidades (12,11) pero con rezago en medidas técnicas (9,14). Compárese con EE.UU. que obtuvo 20 puntos en cada ítem y 100 en total, siendo el primero a nivel global y continental.
Fue un avance de 39 posiciones que, en su momento y aún hoy, fue destacado por las autoridades de la Administración Alvarado. Tener ese arsenal de estrategias, políticas y programas era lo más sencillo.
Ya en 2014 la Organización para la Cooperación y el Desarrollo Económicos (OCDE) apuntó que varios países de América Latina y el Caribe (LAC) lo habían logrado mucho de las tareas. “Lamentablemente, la gran mayoría de estas estrategias carecen de una visión a largo plazo clara sobre el riesgo de seguridad digital y deben responder a diversos desafíos”, advierte la OCDE. ¿Cómo cuáles?
Hay déficits en creación y mejora de marcos jurídicos de seguridad digital, capacidades operativas para gestionar el riesgo de seguridad, distribución clara de responsabilidades entre las instituciones gubernamentales y cooperación internacional entre múltiples partes interesadas. No sólo eso.
“Todo apunta a que la mayor parte de los países América Latina y el Caribe no están enfocando el riesgo de seguridad digital desde un punto de vista económico y social”, recalca el organismo.
En el informe de la Dirección de Gobernanza Digital de mayo de 2022 se advierte que quedó pendiente la implementación técnica del marco de ciberseguridad y se enumeran 25 necesidades y sugerencias en siete áreas de acción, como la seguridad de servicios públicos, comunicación institucional en ciberseguridad y presupuesto.
La ejecución sigue siendo un problema. La OCDE, en su informe sobre Costa Rica presentado a principios de este 2023, citó el hackeo como una de las cuatro situaciones que podría hacer cambiar las perspectivas del país, junto con la volatilidad financiera global, la profundización de la crisis de Nicaragua y los fenómenos climáticos extremos.
La entidad advirtió sobre la vulnerabilidad en el área de ciberseguridad, el riesgo de la divulgación de datos y la debilidad en infraestructura crítica, por lo que incluyó como posible acción política “implementar protocolos de ciberseguridad más rigurosos”.
Panorama al detalle
Un estudio impulsado por el Micitt, junto con el Instituto Costarricense de Electricidad (ICE) y el Consejo Nacional de Rectores (Conare), en mayo de 2022 y con entrevistas en 226 instituciones del país revelaron gran cantidad de problemas y carencias.
Las principales debilidades detectadas son la falta de personal especializado, así como la ausencia de políticas y de aplicación de medidas técnicas en varias áreas de seguridad informática.
En enero pasado la Contraloría General de la República advirtió al Micitt y la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias (CNE) sobre la insuficiente gestión de la seguridad de información en el sector público.
“Los hallazgos revelan que el sector público se enfrenta ante la incertidumbre de no tener claridad sobre la magnitud y cantidad de incidentes que actualmente han logrado vulnerar los sistemas informáticos, con el potencial de afectar la continuidad de los servicios públicos y la salvaguarda de la información”, advirtió la Contraloría.
El informe detalló que se detectó falta de coordinación interinstitucional (ya señalada en un informe de noviembre de 2022) y una participación intermitente de la CNE, que quedó a cargo de la emergencia de ciberseguridad desde mayo de 2022.
La Contraloría también apuntó contra lo que denominó una gestión inoportuna del CSIRT-CR, que solo habría detectado uno de siete incidentes en entidades estatales y apenas genera alertas técnicas sobre posibles vulnerabilidades.
Otras dos fallas fueron la falta de certeza de la gestión de ciberseguridad y en la adquisición de licencias de protección informática para el sector público.
En su respuesta, aparte de reclamar que el informe no toma en cuenta varias gestiones que realiza, el Micitt reconoció “que cada institución requiere de presupuesto para la inversión de herramientas tecnológicas y recurso humano para tener un nivel óptimo en su gestión de incidentes”.
Asimismo, que con las herramientas instaladas se atendieron alrededor de 734.000 alertas en 167 instituciones desde mayo de 2022 a enero de 2023 y que está tramitando la adquisición de herramientas y equipo tecnológico por más de $4 millones.
“Hemos sido exitosos en la contención de eventos, por ejemplo, con el Ministerio de Salud, que se logró detener a tiempo y se evitó que se convirtiera en un caso grave”, acusó el Micitt.
Recientemente, el Micitt anunció la donación de $25 millones de EE.UU. para reforzar la infraestructura digital del país, específicamente en temas de ciberseguridad.
La misma Contraloría reveló, en febrero pasado, problemas de seguridad de la información en los sistemas de soporte a los procesos de servicios urbanos, bienes inmuebles, patentes y recaudación de la Municipalidad de San José.
Anteriormente también había realizado observaciones sobre la gestión tecnológica en el Ministerio de Educación Pública (MEP).
En noviembre pasado la Contraloría también reveló que sólo 10% de 267 entidades tienen un nivel avanzado de aplicación de las prácticas de seguridad de la información y menos de 20% apenas un nivel intermedio.
“En términos generales, los resultados reflejan que el sector público se encuentra en los niveles más bajos de aplicación de dichas prácticas”, advierte el informe.
Los riesgos están a la vista, con el peligro mayor de que, como ocurrió en Hacienda, se tarde hasta más de 200 días en la restauración de los sistemas y servicios después de la caída por el ataque cibernético, aunque en el papel los planes y estrategias indiquen que deberían estar en dos días y que una semana es suficiente para que los daños sean irreparables.
| Panorama del horror |
|---|
| Resultados de estudio de Micitt, ICE y Conare a 267 instituciones públicas en mayo de 2022: |
| 188 instituciones no cuentan con personal especializado en ciberseguridad que administren los sistemas. |
| 28 instituciones tienen sistemas desarrollados por terceros, pero no contemplan aspectos de seguridad. |
| 41 instituciones no realizan copias de seguridad de los sistemas que tienen alojados por un tercero. |
| 65 instituciones (28.8%) no cuentan con un registro de la actividad que realizan los administradores de los sistemas que se encuentran gestionados por terceros. |
| 38 instituciones no han implementado sistemas de protección y seguridad DNS. |
| 99 instituciones (43,8%) no han implementado doble factor de autenticación en sus sistemas. |
| 50% de las instituciones tiene sistemas operativos fuera de soporte. |
| 94 instituciones (41,6%) no han realizado auditorías de seguridad en sus servidores. |
| 51 instituciones tienen políticas definidas para las copias de seguridad. |
| 86 instituciones (38%) no realizan pruebas de restauración de copias de seguridad realizadas. |
| 37 instituciones (16,4%) no tienen configurado el sitio para evitar ataques de tipo SQL injection. |
| 97 instituciones (43%) no cuentan con servicios necesarios activos como SSH, FTP, telnet. |
| 73 instituciones (32,3%) no han configurado un límite de accesos concurrentes para evitar ataques de denegación de servicios. |
| 104 instituciones (46%) no poseen sistemas de protección EDR. |
| Fuente: Micitt |