Falta de personal y presupuesto impiden investigación y desarrollo en ciberseguridad
Dos elementos se convierten en las barreras máss críticas para el avance en investigación y desarrollo (I + D) en ciberseguridad a nivel nacional.
Se trata de la escasez de personal y de presupuesto, según el tercer informe del Estado de la Ciberseguridad en Costa Rica 2025, elaborado por el Laboratorio de Investigación, Desarrollo e Innovación en Ciberseguridad (LabCIBE) de la Universidad Nacional (UNA), en colaboración con la Vicerrectoría de Investigación de la UNA.
"La escasez de personal calificado se posiciona como la barrera más crítica para el avance en investigación y desarrollo en ciberseguridad, señalada por el 94,1% de las instituciones participantes.
El financiamiento se mantiene como otra de las barreras más relevantes, reportado por el 82,4% de las instituciones", indica el reporte académico.
En este contexto, el informe señala que Costa Rica invierte apenas el 0,34% del PIB en investigación y desarrollo, cifra constante desde el 2020. En contraste, el promedio de los países de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) es del 2,67%, lo que representa una brecha de casi ocho veces respecto al estándar internacional.
"Los datos sobre asignación presupuestaria revelan un problema que trasciende la insuficiencia de recursos: el 39% de las instituciones desconoce cuánto invierte en ciberseguridad ", añade la investigación.
Esta es la categoría más numerosa del gráfico de distribución presupuestaria, mayor que cualquier rango de inversión reportado. Entre las instituciones que sí conocen su inversión, el 33,6% asigna menos del 10% del presupuesto de TI a ciberseguridad.
"El problema no es únicamente de recursos: es de gobernanza financiera. La ciberseguridad continúa siendo, en muchos casos, un componente difuso del presupuesto institucional y no una línea de inversión explícita y trazable", manifiesta el documento.
Un conjunto de áreas de investigación y desarrollo con niveles de participación similares (cada una reportada por el 60 % de las instituciones) son seguridad de redes; seguridad de aplicaciones y software; Internet de las Cosas (IoT); seguridad de sistemas industriales (ICS/SCADA); análisis y detección de malware; respuesta a incidentes; y gestión de riesgos, privacidad y protección de datos.
Por otra parte, áreas emergentes como seguridad en la nube, inteligencia artificial aplicada a la ciberseguridad, seguridad en blockchain y criptomonedas, y análisis forense digital registran participaciones más bajas, cada una con un 20%.
En cuanto a los productos tangibles generados a partir de actividades de investigación y desarrollo en ciberseguridad durante los últimos 12 meses, los resultados de la edición 2025 muestran una producción moderada y concentrada en un conjunto específico de entregables.
Entre las instituciones que reportaron resultados, se observa que las publicaciones académicas, la propiedad intelectual, los servicios implementados y las guías o estándares prácticos fueron los productos más frecuentes, cada uno registrado por el 40% de las respuestas.
Esto refleja que, cuando existen esfuerzos de investigación, estos suelen orientarse hacia la generación de conocimiento formal, documentación técnica o servicios aplicables dentro de las propias instituciones.
Ante este panorama, el informe propone las siguientes líneas de acción:
- Fortalecer la formación e investigación mediante la ampliación de la oferta académica y las líneas de I+D.
- Establecer transparencia presupuestaria con líneas de inversión explícitas en ciberseguridad.
- Cerrar las brechas del ciclo de gestión de riesgos.
- Desarrollar mecanismos efectivos de coordinación y reporte entre sectores público y privado.