Moody’s otorgó la calificación G-3 al gobierno de Costa Rica al evaluar el desempeño en materia de ciberseguridad, “lo que sugiere una exposición moderadamente negativa a los riesgos de gobierno corporativo”.
La firma estadounidense entre sus evaluaciones incluye el desempeño de la gobernanza de los países, aspecto que incluye la estructura institucional, la administración presupuestaria y la transparencia, entre otros.
Las calificaciones de gobernanza van desde G-1, es decir positiva, hasta G-5, altamente negativa, y forman parte la evaluación del perfil del emisor, que incluyen además revisiones en los aspectos ambientales y sociales, que en su conjunto conforman la calificación ESG por sus siglas en inglés.
La agencia indicó que durante los ciberataques, ocurridos entre abril de 2022 y enero de 2023, la limitada la coordinación entre instituciones gubernamentales impidió una respuesta más rápida.
Moody’s ve probable que el Gobierno avance en este frente dado su voluntad de buscar asistencia externa y sus sólidas puntuaciones como país en relación a otras naciones calificadas.
El respaldo internacional
Moody’s además avaló el reciente anuncio de Estados Unidos para desembolsar $25 millones en apoyo al fortalecimiento de la seguridad cibernética del gobierno de Costa Rica.
La firma indicó que el apoyo financiero, anunciado el 29 de marzo, estará dirigido al establecimiento de un centro de operaciones de seguridad para supervisar y enfrentar futuras amenazas cibernéticas.
“El apoyo técnico y financiero ayudará a Costa Rica a establecer un marco cohesivo de seguridad cibernética nacional y reducir las brechas tecnológicas que los delincuentes pueden explotar”, indica la agencia calificadora en un reporte publicado el 5 de abril.
Tras los ciberataques de 2022, Costa Rica también recibió asistencia técnica de Estados Unidos, España e Israel. Moody’s destaca el interés de la administración del presidente Rodrigo Cháves para integrar la Iniciativa contra el Secuestro de Datos (Counter Ransomware Initiative), proyecto internacional de 37 países y 13 empresas para trabajar de manera conjunta contra los riesgos de ciberseguridad.
En el reporte, la calificadora menciona además que el Gobierno prepara un borrador normativo sobre gobernanza de la seguridad y gestión de riesgos.
Los ciberataques
El primer hackeo fue al Ministerio de Hacienda y ocurrió en abril de 2022, poco después de las elecciones presidenciales. La acción puso en riesgo a 27 entidades estatales, lo que llevó al recién juramentado presidente Rodrigo Chaves a declarar el estado de emergencia nacional.
La calificadora recordó que los ataques provocaron el cierre de servicios clave del gobierno digital, incluida la recaudación de impuestos y verificación, procesamiento de aranceles y formularios de importación, y seguimiento de ingresos y gastos. En mayo de 2022, los piratas informáticos atacaron las redes del sistema de seguridad e infraestructura médica.
LEA MÁS: CCSS calla costo de hackeo a servicios hospitalarios y financieros
Esta situación perjudicó el pago de pensiones y salarios a empleados públicos, retrasos en la atención de citas y emergencias médicas, y además generó afectaciones en los procesos de recaudación tributaria incidiendo directamente en las finanzas públicas.
En enero de 2023, fueron atacados los servidores del Ministerio de Obras Públicas y Transportes (MOPT), interrumpiendo temporalmente la emisión de nuevas licencias y otros servicios.
“Aunque su alcance fue mucho más limitado que los incidentes de 2022, la recurrencia de los ciberataques subraya las vulnerabilidades persistentes en las capacidades de defensa cibernética de Costa Rica”, señaló la calificadora.
Los ciberataques fueron atribuidos por el grupo de piratas informáticos como Conti y sus allegados.