Los ataques de los piratas informáticos son difíciles de frenar y crecen en número conforme avanza la tecnología. En el 2022, se produjeron 2.489, y Costa Rica estuvo entre las víctimas. La Caja Costarricense de Seguro Social, Hacienda, el Ministerio de Ciencia y Tecnología, el Instituto Meteorológico Nacional y Radiográfica Costarricense sufrieron distintos daños en abril de ese año.
Proteger las redes y los sistemas informáticos son, por ende, medidas necesarias para proteger toda la información pública contenida en los sistemas del Estado.
En tiempos de acelerada digitalización, se torna fundamental el uso de firewalls (cortafuegos), encriptación y el monitoreo constante de las redes informáticas. El objetivo principal es mantener la integridad, la disponibilidad y el control de la información almacenada.
La ciberseguridad es prioritaria para mantener los activos disponibles a través de las redes informáticas y nunca detener la prestación de los servicios públicos a causa del hackeo.
Una buena estrategia debe tener accesos limitados, análisis de riesgos, monitoreo continuo, políticas seguras de BYOD (uso de dispositivos personales para trabajar) y control de almacenamiento.
Se debe priorizar el acopio en la nube, donde la información suele estar más segura que en servidores instalados sin las medidas de seguridad, el mantenimiento y el respaldo requeridos para dar un servicio de excelencia.
Es indispensable actuar en la prevención, la detección, la seguridad móvil, el desarrollo de planes de recuperación y, quizá lo más importante, la educación de los usuarios de las redes informáticas, quienes suelen ser el eslabón más débil de la cadena. La totalidad del personal que maneja datos y redes debe ser seleccionado cuidadosamente y recibir capacitación continuamente.
El ataque al Ministerio de Hacienda, corazón financiero del país, inhabilitó los servicios a la ciudadanía y las empresas durante varios días, mientras se evaluaba la plataforma. Este trabajo requirió recuperar múltiples sistemas, como ATV, Integra, Tesoro Digital, Sigade, el Sistema de Consolidación de Cifras del Sector Público, Módulo de Poderes y Tributación Directa.
El costo económico todavía no ha sido cuantificado, ni se conoce si los datos de los contribuyentes fueron sustraídos. Pero incluso sin estas cuantificaciones, hubo una pérdida de datos y un tiempo improductivo para reanudar las actividades e improvisación de procesos y procedimientos para recuperar la información.
Medidas remediales
Producto de los acontecimientos mencionados, se tomaron nuevas medidas recomendadas por el Micitt para promover la resistencia de la infraestructura y la seguridad. Se gestionaron recursos para la Comisión Nacional de Emergencias (CNE), se organizó la información sobre los usuarios de la red y se declaró emergencia nacional a fin de otorgar poderes a la CNE, el Micitt y la presidencia de la República para reaccionar en vista de las consecuencias del ciberataque.
La vulnerabilidad de nuestros sistemas informáticos afecta al sector público y, en última instancia, a los ciudadanos. Todo ataque a una entidad estatal o infraestructura crítica debe ser atendido de forma oportuna, con recursos físicos y humanos calificados, con salarios competitivos y flexibilidad.
Rectoría
Además de recursos, Costa Rica necesita desarrollar gobernanza en materia de ciberseguridad y confiar la rectoría en esta materia a un órgano con perfil especializado. En ese sentido, el proyecto de ley sobre ciberseguridad propone la creación de una Agencia Nacional de Ciberseguridad, órgano técnico de alto perfil que aglutinará las competencias que en este momento son inexistentes o se encuentran desperdigadas, lo cual origina vacíos a la hora de tomar decisiones que son, en sí mismas, una vulnerabilidad más del sistema.
Más ataques
Si hay algo que podemos dar por descontado es que en el futuro el país será objeto de más ataques de piratas informáticos y que ningún sistema es infalible. Por eso, es necesario avanzar rápidamente, como verdadera emergencia nacional, en la discusión legislativa del proyecto de ley de ciberseguridad, en asignar la competencias y aprovechar los $25 millones que Costa Rica consiguió, producto de la cooperación internacional para el desarrollo de un centro de prevención de amenazas digitales.
Los ataques que sufrió el país en el 2022 nos tomaron desprevenidos; sin embargo, con respecto a los que suframos en el futuro no es posible alegar que no estamos suficientemente advertidos y conscientes de lo que significa en términos de perjuicios para la ciudadanía urgida de recibir los servicios públicos sin interrupciones.
jorge.woodbridge@icloud.com
El autor es ingeniero.