Micitt señala ‘desastre’ en ciberseguridad de instituciones públicas

Resultados iniciales del diagnóstico de ciberseguridad en 226 instituciones públicas llevaron a calificar la situación como un “desastre”. Esa fue la palabra que utilizó el jerarca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Carlos Enrique Alvarado Briceño, para describir los hallazgos.

De acuerdo con los resultados compartidos este lunes en conferencia de prensa, 188 instituciones no cuentan con personal especializado en ciberseguridad que administre los sistemas, 99 no han implementado el doble factor de autenticación en sus servidores y un 50% del total de instituciones tienen sistemas operativos fuera de soporte, es decir obsoletos, ya que no pueden actualizar su software.

LEA MÁS: ‘Gente dentro del país está colaborando con Conti’, dice presidente Chaves

También se detectó que un 41,6% de las entidades no realizan auditorías de seguridad en sus servidores, un 38% no hacen pruebas de restauración de copias de seguridad realizadas y 51 instituciones no tienen del todo políticas definida para concretar copias de seguridad. Además, 37 carecen de configuraciones para evitar ataques SQL injection, como el que le ocurrió a la Caja Costarricense de Seguro Social (CCSS).

El diagnóstico reveló que incluso hay varios ministerios y municipalidades que tienen sistemas desarrollados por terceros, pero que no contemplan aspectos de seguridad y algunas ni siquiera realizan copias de seguridad de los sistemas que tienen alojados. De hecho, de dichos sistemas administrados por terceros, el 28,8% “no cuentan con un registro de la actividad que realizan los administradores”.

“Hay 38 instituciones que no han implementado sistemas de protección y seguridad DNS. 104 (46%) de las instituciones no poseen sistemas de protección EDR. 42,9% (97) de las instituciones no cuentan con servicios innecesarios activos como SSH, FTP, telnet. 32,3% (73) de las instituciones no han configurado un límite de accesos concurrentes para evitar ataques de denegación de servicios DDoS”, concluye el documento.

Ante consulta de La Nación, el jerarca del Micitt justificó que revelaron estos datos hasta un mes después de obtenerlos (30 de mayo), por considerar que se trata de información muy sensible, la cual, primero debía ser analizada por la Administración.

Precisamente por eso, según añadió, no van a dar a conocer aún la totalidad de hallazgos obtenidos con el monitoreo. “No queremos comprometer la seguridad del país”, dijo.

LEA MÁS: ‘Equipo SWAT’ del Gobierno lleva un mes sin concretar plan contra ciberterroristas

Cuando se le consultó sobre la dimensión del problema, Alvarado afirmó que incluso es peor que los propios ataques cibernéticos. “¿Es la emergencia nacional la afectación a una u otra institución o es la vulnerabilidad que existe en Costa Rica en materia de ciberseguridad? Para este servidor la respuesta es la segunda porque aunque hay instituciones afectadas, la verdadera emergencia nacional es esto”, manifestó.

Aunque los medios de comunicación solicitaron al Micitt una fecha para conocer la totalidad de resultados del mapeo a instituciones, la cartera dijo que por ahora la información “está siendo analizada y procesada por profesionales del Micitt y será un insumo para las medidas de protección que se están estableciendo en el Plan de Emergencia, así como en recomendaciones específicas que se realizarán a cada institución”.

LEA MÁS: Presidencia asume ‘control’ de estrategia contra ciberataques, mediante decreto

Desde abril anterior, cuando iniciaron las acciones de hackers contra entidades públicas, La Nación reveló que el plan contra ataques cibernéticos del país se había quedado en papel y que el tema no se había tratado como parte vital de la seguridad nacional.

Según el Micitt, el problema es grave y urgente de resolver, pero alegó que los recursos para atenderlo son insuficientes.

Convenio con Conare

Copiado!

El ministro agregó que para atender las necesidades del país en esta área, sin descuidar los demás asuntos relacionados con Ciencia, Innovación, Tecnología y Telecomunicaciones, el Micitt necesita duplicar su presupuesto de $10 millones a $20 millones.

Mencionó que como aún no existe esa posibilidad, se realizó una alianza con el Consejo Nacional de Rectores (Conare) para que preste recurso humano a la institución con el fin de atender temas urgentes de ciberseguridad en el marco de la emergencia nacional que sufre el país desde hace casi tres meses.

Puntualmente, las universidades públicas pondrán a disposición sus directores de departamentos de tecnologías de la información para que puedan fortalecer el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) “mediante el conocimiento y las herramientas tecnológicas que disponen las universidades estatales para el control de los ciberataques”.

LEA MÁS: IFAM tuvo que poner un ‘firewall’ en 15 municipios para proteger datos y presupuestos en riesgo

“Se acordó conformar un equipo de trabajo con los miembros de la Comisión de Directores de Tecnologías de Información y Comunicación y en conjunto con representantes del Micitt, para desarrollar una estrategia en la búsqueda de soluciones de la emergencia de ciberseguridad que enfrenta el país y manifestar el apoyo total de las universidades estatales”, explicó el Micitt.

Por su parte, el presidente de Conare y rector de la Universidad Estatal a Distancia (UNED), Rodrigo Arias Camacho, aseguró que el país puede contar con la universidad pública para resolver este problema. “La función de las universidades estatales es colaborar con el país a través de su talento humano especializado; por esta razón nos sumamos a los esfuerzos y coadyuvando con el Micitt”, expresó el académico.

LEA MÁS: ‘Hackers’ éticos en Costa Rica: ¿qué son y cómo trabajan?