EscucharEl ataque cibernético denunciado la semana anterior por el Instituto Costarricense de Electricidad (ICE) generó una alerta entre las autoridades del sector de telecomunicaciones.
La legislación local establece que los operadores deben garantizar, entre otras cosas, la protección de datos personales.
El Instituto informó que a finales de enero anterior detectó “movimientos sospechosos” en sus sistemas. Asimismo, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) indicó que recibió a finales de febrero un reporte de la firma Mandiant, subsidiaria de Google, sobre un ataque que también afectó a 53 entidades en 42 países.
El ICE indicó que los ciberdelincuentes sustrajeron 9 GB de información de correos electrónicos, pero que no afectaron servicios de electricidad ni de telecomunicaciones y tampoco datos de clientes.
Según la Superintendencia de Telecomunicaciones (Sutel) no tiene registros, a la fecha, de reclamos de los usuarios que pudieran derivarse en una afectación asociada a los servicios de telecomunicaciones.
“Tampoco se ha recibido información del operador al respecto”, respondió Sutel ante una consulta de El Financiero. “En todo caso, la Sutel ya remitió una consulta formal al operador para que nos informe del alcance y eventuales implicaciones de esta situación”.
La entidad agregó: “Estamos en una fase muy temprana de los hechos por lo que no es posible brindar más detalle de lo sucedido. Estamos a la espera de la información solicitada para tener un mejor criterio y proceder según lo establecido en normativa vigente”.
De acuerdo con la Ley General de Telecomunicación (N° 8642), en su artículo 42, “los operadores de redes públicas y proveedores de servicios de telecomunicaciones disponibles al público, deberán garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales, mediante la implementación de los sistemas y las medidas técnicas y administrativas necesarias”.
Asimismo, se indica: “los operadores y proveedores deberán adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de las redes y sus servicios. En caso de que el operador conozca un riesgo identificable en la seguridad de la red, deberá informar a la Sutel y a los usuarios finales sobre dicho riesgo”.
La misma ley establece como infracción grave incumplir las obligaciones derivadas de los derechos de los usuarios y multa, para este tipo de incumplimientos, de entre 0,025% y 0,5% de los ingresos brutos del operador o proveedor obtenidos durante el período fiscal anterior. Si se evalúa que es de “gravedad particular”, podría ser de hasta 10% de las ventas anuales o del valor de los activos.
Por su parte la Agencia de Protección de Datos de los Habitantes (Prodhab) aún no responde una consulta sobre este tema.
La Ley de Protección de la Persona frente al tratamiento de sus datos personales (Nº 8968) establece que las entidades responsables de la base de datos deben adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal. Asimismo, se indican sanciones de hasta 30 salarios base (¢462.200).
