Servicios

Micitt señala ‘desastre’ en ciberseguridad de instituciones públicas

83% de entidades no cuentan con personal especializado en el área y 50% tienen sistemas operativos obsoletos, reveló análisis del Gobierno

Resultados iniciales del diagnóstico de ciberseguridad en 226 instituciones públicas llevaron a calificar la situación como un “desastre”. Esa fue la palabra que utilizó el jerarca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Carlos Enrique Alvarado Briceño, para describir los hallazgos.

De acuerdo con los resultados compartidos este lunes en conferencia de prensa, 188 instituciones no cuentan con personal especializado en ciberseguridad que administre los sistemas, 99 no han implementado el doble factor de autenticación en sus servidores y un 50% del total de instituciones tienen sistemas operativos fuera de soporte, es decir obsoletos, ya que no pueden actualizar su software.

También se detectó que un 41,6% de las entidades no realizan auditorías de seguridad en sus servidores, un 38% no hacen pruebas de restauración de copias de seguridad realizadas y 51 instituciones no tienen del todo políticas definida para concretar copias de seguridad. Además, 37 carecen de configuraciones para evitar ataques SQL injection, como el que le ocurrió a la Caja Costarricense de Seguro Social (CCSS).

El diagnóstico reveló que incluso hay varios ministerios y municipalidades que tienen sistemas desarrollados por terceros, pero que no contemplan aspectos de seguridad y algunas ni siquiera realizan copias de seguridad de los sistemas que tienen alojados. De hecho, de dichos sistemas administrados por terceros, el 28,8% “no cuentan con un registro de la actividad que realizan los administradores”.

“Hay 38 instituciones que no han implementado sistemas de protección y seguridad DNS. 104 (46%) de las instituciones no poseen sistemas de protección EDR. 42,9% (97) de las instituciones no cuentan con servicios innecesarios activos como SSH, FTP, telnet. 32,3% (73) de las instituciones no han configurado un límite de accesos concurrentes para evitar ataques de denegación de servicios DDoS”, concluye el documento.

Ante consulta de La Nación, el jerarca del Micitt justificó que revelaron estos datos hasta un mes después de obtenerlos (30 de mayo), por considerar que se trata de información muy sensible, la cual, primero debía ser analizada por la Administración.

Precisamente por eso, según añadió, no van a dar a conocer aún la totalidad de hallazgos obtenidos con el monitoreo. “No queremos comprometer la seguridad del país”, dijo.

Cuando se le consultó sobre la dimensión del problema, Alvarado afirmó que incluso es peor que los propios ataques cibernéticos. “¿Es la emergencia nacional la afectación a una u otra institución o es la vulnerabilidad que existe en Costa Rica en materia de ciberseguridad? Para este servidor la respuesta es la segunda porque aunque hay instituciones afectadas, la verdadera emergencia nacional es esto”, manifestó.

Aunque los medios de comunicación solicitaron al Micitt una fecha para conocer la totalidad de resultados del mapeo a instituciones, la cartera dijo que por ahora la información “está siendo analizada y procesada por profesionales del Micitt y será un insumo para las medidas de protección que se están estableciendo en el Plan de Emergencia, así como en recomendaciones específicas que se realizarán a cada institución”.

Desde abril anterior, cuando iniciaron las acciones de hackers contra entidades públicas, La Nación reveló que el plan contra ataques cibernéticos del país se había quedado en papel y que el tema no se había tratado como parte vital de la seguridad nacional.

Según el Micitt, el problema es grave y urgente de resolver, pero alegó que los recursos para atenderlo son insuficientes.

El ministro agregó que para atender las necesidades del país en esta área, sin descuidar los demás asuntos relacionados con Ciencia, Innovación, Tecnología y Telecomunicaciones, el Micitt necesita duplicar su presupuesto de $10 millones a $20 millones.

Mencionó que como aún no existe esa posibilidad, se realizó una alianza con el Consejo Nacional de Rectores (Conare) para que preste recurso humano a la institución con el fin de atender temas urgentes de ciberseguridad en el marco de la emergencia nacional que sufre el país desde hace casi tres meses.

Puntualmente, las universidades públicas pondrán a disposición sus directores de departamentos de tecnologías de la información para que puedan fortalecer el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) “mediante el conocimiento y las herramientas tecnológicas que disponen las universidades estatales para el control de los ciberataques”.

“Se acordó conformar un equipo de trabajo con los miembros de la Comisión de Directores de Tecnologías de Información y Comunicación y en conjunto con representantes del Micitt, para desarrollar una estrategia en la búsqueda de soluciones de la emergencia de ciberseguridad que enfrenta el país y manifestar el apoyo total de las universidades estatales”, explicó el Micitt.

Por su parte, el presidente de Conare y rector de la Universidad Estatal a Distancia (UNED), Rodrigo Arias Camacho, aseguró que el país puede contar con la universidad pública para resolver este problema. “La función de las universidades estatales es colaborar con el país a través de su talento humano especializado; por esta razón nos sumamos a los esfuerzos y coadyuvando con el Micitt”, expresó el académico.

José Andrés  Céspedes

José Andrés Céspedes

Periodista en la sección Sociedad y Servicios de La Nación, graduado de la Universidad de Costa Rica. Escribe sobre vivienda y trabajo.

LE RECOMENDAMOS

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores para comentar sobre el contenido de los artículos, no sobre los autores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.