Escuchar
El presidente ejecutivo del Instituto Costarricense de Electricidad (ICE), Marco Acuña Mora, aseguró en una conferencia de prensa que ya había presentado ante el Ministerio Público una denuncia por el hackeo que sufrió la empresa estatal de telecomunicaciones, el cual implicó el robo de 9 GB de información de correos electrónicos de funcionarios.
Sin embargo, al momento de hacer esa afirmación, la gestión aún no se había realizado y tampoco estaba previsto hacerla ante la Fiscalía.
“Interpuse una denuncia penal, por espionaje informático, ante el Ministerio Público. Esto para que se abra una investigación sobre esto, porque definitivamente los hechos indican que tenemos una actividad de ciberespionaje (...)”, afirmó el jerarca, en una rueda de prensa desde la Casa Presidencial, convocada para las 9:30 a. m., pero que dio inicio media hora después.
“Esa denuncia ya fue interpuesta el día de hoy, la cual contiene una cronología de los hechos y los informes internos y externos que hemos recibido del caso”, reiteró.
No obstante, la denuncia se presentó hasta las 11:33 a. m. ante el Organismo de Investigación Judicial (OIJ), según tuvo conocimiento La Nación. De hecho, durante la rueda de prensa fue la ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Paula Bogantes, la que mencionó que el trámite se iba a presentar ante la policía judicial.
“(...) Es una investigación que está en curso y, como indicó don Marco Acuña el día de hoy, además el ICE presentó ante el OIJ para que el Organismo haga lo propio, investigando algún posible responsable dentro de la institución”, declaró Bogantes.
La Nación remitió consultas al ICE sobre información imprecisa que brindó por Acuña, sin que se obtuviera una respuesta de la institución al cierre de esta nota.
Cronología de hechos
Los hechos se remontan al 21 de enero de 2026, cuando personal especializado del Instituto detectó movimientos inusuales dentro de la infraestructura tecnológica institucional, con intentos de conexión entre servidores internos. Ante estos hallazgos, se bloquearon las comunicaciones sospechosas, pero las actividades anómalas continuaron.
El 25 de enero se inició una investigación forense digital y, en los días posteriores —27 y 31 de enero— se registraron nuevos intentos de acceso al servidor de correo institucional. La situación se habría intensificado el 4 de febrero, cuando se detectaron conexiones con características de evasión de seguridad, intentos de suplantación de servicios y nuevas acciones para identificar cuentas de usuario.
Un día después, el 5 de febrero, se registró un inicio de sesión sospechoso en un servidor de correo, mientras que el 16 de febrero se detectó actividad anómala vinculada al uso de una aplicación de acceso remoto.
El análisis preliminar permitió identificar indicios compatibles con tácticas asociadas a grupos de ciberespionaje como Phantom Panda o Galium (UNC2814), señalados en reportes internacionales por operaciones vinculadas a China. Además, un informe publicado por Gooble, el 25 de febrero, a partir de los hallazgos de su empresa Mandiant, sobre una campaña global de ciberespionaje, permitió correlacionar ese caso con algunos de los patrones detectados en el ataque que sufrió el ICE.
