Contraloría advierte por debilidades en controles de ciberseguridad del MOPT
MOPT deberá implementar mejoras entre julio de 2025 y enero de 2026
La Contraloría General de la República advirtió sobre supuestas debilidades en los sistemas informáticos del Ministerio de Obras Públicas y Transportes (MOPT) como parte de los controles de ciberseguridad.
El dato está dentro del Informe de Auditoría sobre la Seguridad de la Información y la Continuidad del Negocio del Ministerio de Obras Públicas y Transportes (MOPT) publicado por la División de Fiscalización Operativa y Evaluativa Área de Fiscalización para el Desarrollo de las Ciudades.
Entre las debilidades que se encontraron por parte de la CGR se encuentran la de la ausencia por parte del MOPT para implementar mecanismos de cifrado para proteger bases de datos, respaldados de información, trasiegos de paquetes de redes y discos duros en equipos de usuario final.
Según señaló la Contraloría, a la fecha se desconoce una valoración de fondo que proceda a justificar la falta de este tipo de control.
"En los administradores de cuenta de usuario (Sistema de Administración de Usuarios y SIS) se encontraron diferencias en lo que respecta a las características de las contraseñas, ya que el Sistema de Administración de Usuarios exige longitud de 12 caracteres y el SIS se queda en 10.
"El Sistema de Administración de Usuarios reconoce y rechaza contraseñas que incluyen el nombre del usuario, no así en el SIS. Otras debilidades se relacionan con la consecutividad numérica, alfabética o una combinación de ambas. A esto se suma que el SIS permite la reutilización de contraseñas", detalló la institución.
La CGR detalló que la falta de un sistema de gestión de seguridad de la información y la implementación incipiente de un marco de gobierno y gestión de tecnologías de información inciden negativamente sobre los controles implementados por TI a nivel de operaciones.
Evaluación de casos
El informe Contralor detalló que el bloqueo automático por desatención de la sesión "no se cumplió en todos los casos evaluados", y que en algunos de los sistemas "se permite tener sesiones concurrentes", por lo que ese escenario debe ser evaluado por las áreas dueñas o patrocinadoras para determinar si resulta necesario o no mantener esas prácticas.
Detalla el informe que el MOPT efectúa respaldos de información atendiendo la infraestructura y "a su mejor criterio", no obstante, las fallas indicadas repercuten en la estrategia de respaldo y que "no se encuentra alineadas con las expectativas de negocio en términos de estrategia".
La auditoría reveló que la revisión de contraseñas y acceso a los sistemas que efectúa el Sistema de Administración de Usuarios, denota que pese a las políticas de contraseñas se establece la obligatoriedad de cambio cada mes.
El documento citó que hay 752 cuentas de usuario final que presentan plazos mayores a 60 días y de ese grupo 371 superan los 90 días y 131 usuarios no cambiaron la contraseña en más de 200 días, y a 146 su contraseña nunca expiran.
La CGR alertó que existen 243 cuentas de usuario que a la fecha no son autenticadas ante el Sistema de Administración de Usuarios en más de 60 días, lo cual revela que "no se ha hecho uso de los sistemas de aplicación y debería analizarse si se requiere el acceso en términos de las áreas de negocio".
Otro elemento de especial atención detalla que las cuentas de usuario no se suspenden de forma automática o manual toda vez que el funcionario falta por un tiempo considerable producto de vacaciones, incapacidades o licencias de maternidad, entre otros motivos.
"Los permisos quedan activos aún cuando el usuario no requiere hacer uso de los recursos tecnológicos. Al respecto, según lo indicado por la DI, se han enfrentado con resistencia por parte del personal y por ende no se han podido implementar controles al respecto", detalló el informe.
Recomendaciones
La Contraloría General de la República recomendó a Mauricio Batalla, ministro del MOPT, que implemente un marco de gobierno y gestión de tecnologías de información (TI) emitidos por el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) para establecer un Comité de TI.
Deberá presentar una certificación que haga constar su implementación a más tardar el 31 de enero de 2025, así como también una certificación que se implementó la medida en fecha límite 30 de enero de 2026.
Además deberá enviar un informe de avance en la elaboración del Sistema de Gestión de Seguridad de la Inflación (SGSI) a más tardar el 31 de julio de 2025, y una certificación que conste su aprobación en un plazo límite el 15 de enero de 2026.
El MOPT se vio vulnerado a un ciberataque el 16 de enero de 2023 y que afectó por casi 1 año los sistemas informáticos y las comunicaciones internas en la cartera.