Escuchar
El Ministerio de Ambiente y Energía (Minae) corre el riesgo de convertirse en blanco de un hackeo, según los hallazgos de una auditoría realizada por la Contraloría General de la República (CGR), cuyos resultados se dieron a conocer este lunes.
De acuerdo con el informe, los controles implementados por el Ministerio para garantizar la seguridad de la información incumplen, en todos los aspectos significativos, con el marco normativo y técnico aplicable.
Por ejemplo, el documento señala que no existe una definición formal de estrategias y prioridades institucionales en tecnologías y seguridad de la información. Además, el Ministerio no ha identificado, analizado ni establecido control formal y estandarizado para administrar los riesgos en ciberseguridad.
“En esa línea, el Ministerio informó de que solo atiende recomendaciones generales emitidas por el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), relacionadas con la gestión de contraseñas, instalación de software de seguridad, actualizaciones, control de aplicaciones permitidas y navegación en sitios web”, detalla el informe n.º DFOE-SOS-IAD-00001-2025, del 31 de enero.
La CGR también advierte de que el Ministerio carece de un plan formal de capacitación y concientización en seguridad de la información y ciberseguridad.
No se ha establecido una planificación detallada que considere las necesidades del personal según su cargo y el tipo de información a la que accede en el ejercicio de sus funciones.
Tampoco existe un registro consolidado de los activos de información institucionales, clasificados según su nivel de exposición a ataques informáticos y las medidas de protección aplicadas en términos de confidencialidad, integridad y disponibilidad.
LEA MÁS: Recope confirma hackeo de sus sistemas informáticos
Este instrumento es clave para la toma de decisiones y la continuidad operativa de la institución, recalcó el reporte.
LEA MÁS: Conti usó a Costa Rica para crear nuevos grupos de ‘hackers’
Las advertencias del órgano contralor se dan luego de que el país afrontara los ataques informáticos contra los sistemas del Ministerio de Hacienda y la Caja Costarricense de Seguro Social (CCSS), en abril y mayo de 2022, respectivamente. En noviembre de 2024, también la Refinadora Costarricense de Petróleo (Recope) fue objeto de un ataque informático, que aún no ha superado.
La Nación envió consultas al Minae sobre los hallazgos de la auditoría. Se está a la espera de respuesta.
Tecnología de Minae en manos externas
Según la auditoría, la infraestructura tecnológica del Minae está contratada a proveedores externos. Aunque en los contratos vigentes se han definido aspectos como la gestión de respaldos, la disponibilidad y la continuidad de operaciones, no existe una normativa que estandarice la inclusión de criterios de seguridad en futuras contrataciones.
“Esto pone en riesgo la calidad, seguridad y seguimiento de la plataforma tecnológica”, concluyó el análisis.
Además, mediante pruebas automatizadas y revisiones manuales, se detectaron vulnerabilidades en el resguardo de información restringida, la protección de activos y la gestión de usuarios.
Estas debilidades fueron comunicadas al Ministerio en octubre y diciembre de 2024. Al cierre del estudio, la entidad informó de que está en proceso de atención.
Las acciones del Minae en ciberseguridad hasta la fecha, se han limitado a gestionar alertas emitidas por el Micitt.
Asimismo, la institución emplea herramientas de terceros para instalar parches de seguridad y protegerse contra software malicioso. Sin embargo, aunque estas herramientas permiten generar reportes sobre eventos de seguridad, no existe un monitoreo periódico de dichos informes, lo que impide detectar y gestionar oportunamente los riesgos.
“La falta de una estrategia unificada también ha provocado una gestión desigual de la seguridad de la información, ya que la Dirección de Tecnologías de Información y las Unidades de Tecnologías de Información operan de forma aislada”, agregó el informe de auditoría.
