En una de cada 10 instituciones públicas de Costa Rica un empleado ha robado información o ha tenido acceso a datos que no debía.
El hecho no se registró en ningún banco ni ministerio, pero sí en varias instituciones autónomas o descentralizadas y en al menos una universidad.
Esta es una de las principales conclusiones de un informe del Viceministerio de Telecomunicaciones, titulado Estado de la seguridad informática en el sector público costarricense , y que se fundamenta en una encuesta contestada por 74 instituciones. Realizado hace casi un año, los resultados fueron publicados hace algunas semanas.
Santiago Núñez, director de Tecnologías Digitales del Ministerio de Ciencia y Tecnología (Micit), dijo que no se puede descartar que al menos algunos casos de robo hayan estado relacionados con empleados que vendieran bases de datos a particulares.
No obstante, Núñez, quien trabaja en el establecimiento de lo que será el organismo oficial del Gobierno para la seguridad informática (el Centro de Respuesta de Incidentes de Seguridad Informática, CSIRT-CR), dijo que no se tiene conocimiento de ninguna denuncia específica en este sentido.
La Nación solicitó hace tres semanas al Poder Judicial información sobre denuncias relacionadas con el robo de datos en entidades públicas; sin embargo, al cierre de edición no había respondido.
“En el Micit no tenemos conocimiento de ningún caso, pero, si está en investigación, divulgarlo podría perjudicar las pesquisas”, señaló el funcionario de esa cartera.
Una persona que acceda sin autorización a una base de datos, podría no solo extraer la información y venderla, sino también modificarla para beneficiar o perjudicar a un tercero.
Por ejemplo, en una universidad se podrían modificar los registros de los cursos aprobados y así facilitar que una persona se gradúe irregularmente.
Con la encuesta también concluye que en el 12% de instituciones robaron o perdieron sistemas de respaldo; es decir, equipos que pueden llegar a tener copia de toda la información. En este caso se han visto afectadas las entidades autónomas, adscritas y ministerios, pero no bancos ni universidades.
“A pesar de esto, no sabemos en realidad cuál es el impacto que está teniendo el robo de información”, enfatizó Núñez.
La encuesta no profundiza en las causas de este fenómeno. Para Núñez, en el robo o acceso no autorizado de información pueden estar influyendo desde un interés personal del funcionario, hasta una falta de definición clara de quién puede o no tener acceso a ciertos datos.
Juan Manuel Campos, especialista en telecomunicaciones de la consultora Ciber-Regulación, dijo que no conoce un caso reciente de alguna persona afectada por robo de información, pero recordó que alrededor del 2007 se detectó una venta de información de listados de abonados telefónicos del Instituto Costarricense de Electricidad.
“Esa información se trasladó a empresas dedicadas a ofrecer servicios a clientes potenciales donde el mercadeo directo mediante llamadas telefónicas puede ser muy efectivo. En ese caso, recuerdo que se sancionó a funcionarios y se llegó hasta el despido”, explicó.
Analizar cada caso. Santiago Núñez dijo que, aunque la encuesta realizada por el Viceministerio de Telecomunicaciones es mejorable para que dé información más precisa y confiable, servirá como una base para empezar a proponer mejoras que permitan cambiar la situación actual.
La primera de las acciones que el CSIRT-CR comenzaría a ejecutar en los próximos meses sería revisar y clasificar las instituciones públicas según la información que manejan y el riesgo de su robo.
“Más que la institución en sí, lo importante es cuán estratégica es su información. Los bancos, el sector eléctrico y los sistemas de control vital en los hospitales, por ejemplo, deberían estar en la parte superior de esa lista”, dijo Núñez.
Lo segundo será cuantificar el riesgo en términos de recursos afectados, tanto directa como indirectamente; es decir, qué se afecta si se roba cierta información, aun fuera de ella.
Finalmente, se procederá a un nuevo diseño de normas técnicas de calidad.
“Esto incluye reforzar y revisar las normativas que sobre este tema ya tiene la Contraloría y que algunas instituciones han estado aplicando”, señaló el experto.