Ciberataques: ¿Hay coordinación ante el estado de emergencia?

(CRHoy.com).- La Contraloría General de la República señaló que no se evidencia un nivel de coordinación propio de un estado de necesidad y urgencia ante los ciberataques por parte del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y la Comisión Nacional de Emergencias (CNE).

Ese es uno de los hallazgos de una auditoría que fue publicada este jueves 12 de enero del 2023 el sitio de la CGR, pero que anteriormente había dado a conocer algunos avances sobre la misma a finales de noviembre del 2022.

Según el ente contralor, las acciones efectuadas ambas instituciones en el marco del estado de emergencia y las ordinarias a través del Centro de Respuesta de incidentes de Seguridad Informática (CSIRT-CR), cumplen "parcialmente con lo establecido en el marco jurídico y técnico aplicable".

"No se evidencia un nivel de coordinación interinstitucional propio de un estado de necesidad y urgencia en el caso de los ciberataques. En este sentido, se creó la Sala de Análisis de Situación Nacional (SASN) para responder de forma ágil a los ataques cibernéticos en el sector público; sin embargo, la coordinación en su seno es inoportuna, pues la Sala se mantuvo inactiva entre julio y agosto (2022), y para los meses posteriores, la participación de la CNE ha sido intermitente, pese a estar llamado a ser líder en la emergencia, de conformidad con el Decreto Ejecutivo n.° 43542-MP-MICITT", indicó la Contraloría.

Dentro de las pruebas realizadas por la Contraloría, se detectó que de 7 incidentes de ciberataques, Micitt solo detectó 1. Esto ocurrió en setiembre del 2022. Y además que, dicha institución tardó 44 días en avisar a las dependencias afectadas.

"El MICITT señala que efectúa alertas técnicas a las instituciones del sector público; no obstante, de la revisión de 197 de estas alertas, se constató que estas son de carácter general y meramente informativas, con el fin de que sus receptores tomen precauciones o acciones específicas debido a la probabilidad del impacto de un fenómeno o la existencia de una vulnerabilidad", indicó el ente contralor.

La CGR dijo que no existe certeza de cómo se van a garantizar la continuidad de la gestión de la ciberseguridad y cómo se van a adquirir las licencias informáticas para proteger al sector público en la actividad ordinaria que efectúa, luego que termine el estado de emergencia decretado por el Presidente Rodrigo Chaves.

"Ante las debilidades planteadas, el sector público se enfrenta a la incertidumbre latente de no tener claridad sobre la magnitud y cantidad de incidentes que actualmente han logrado vulnerar los sistemas informáticos, con el potencial de afectar la continuidad de los servicios públicos y la salvaguarda de la información", señaló la CGR.

A finales de noviembre, Paula Brenes, Directora de Gobernanza Digital del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), respondió los señalamientos de la Contraloría y dijo en un comunicado que ya cuentan con personal contratado para atender los ataques de los "hackers" en las instituciones públicas.

Desde el 8 de mayo del 2022, se emitió un decreto ejecutivo declarando como emergencia nacional la penetración de los ciberdelincuentes a sistemas de las instituciones gubernamentales.

Brenes señaló a la Contraloría que cada institución debe gestionar su propio presupuesto en herramientas tecnológicas y recurso humano para lograr un nivel óptimo ante posibles ataques.

"El informe omite que hemos impartido en tres meses más de 15 talleres técnicos especializados con expertos técnicos internacionales, a más de mil personas de diferentes instituciones públicas. No menciona que en tres meses se han realizado el análisis de dominios a más de 23 instituciones, reportando las vulnerabilidades de cada una", comentó.