País se ubica en quinto lugar de reporte de ciberseguridad, pero falta mejorar en políticas y estrategia
Costa Rica se ubicó entre los cinco primeros lugares del Reporte de Ciberseguridad 2025.
Se trata de un informe de vulnerabilidad, madurez y desafíos para cerrar las brechas en América Latina y el Caribe, elaborado por el Banco Interamericano de Desarrollo (BID), la Organización de Estados Americanos (OEA) y el Centro de Capacidad Global de Ciberseguridad de la Universidad de Oxford.
El país se encuentra en el quinto lugar con un puntaje de 181 en el índice, por detrás de Paraguay (cuarto puesto), Argentina, Uruguay y Chile, que se ubicó en la primera posición.
Si bien el estudio destaca una serie de aspectos que se han logrado luego de los ciberataques, también quedan puntos por mejorar, especialmente en cuanto a políticas y estrategia en materia de ciberseguridad.
Lo positivo
El documento reconoce que se marcó un antes y un después del ciberataque del 2022, que impactó a varias instituciones públicas, siendo las más afectadas la Caja Costarricense de Seguro Social y el Ministerio de Hacienda, que le han costado al país ¢13.000 millones.
"Tras los importantes ataques de ransomware, Costa Rica ha logrado avances significativos en el desarrollo de un marco integral de políticas y estrategias de ciberseguridad", indica el análisis.
También destaca la publicación de la Estrategia Nacional de Ciberseguridad 2023-2027, así como la labor de la Dirección Nacional de Ciberseguridad, adscrita al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
De igual manera el reporte señala que "el Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT-CR) desempeña un papel crucial en la coordinación de la respuesta a incidentes, mientras que el Centro de Operaciones de Seguridad (SOC) refuerza las capacidades de ciberseguridad en materia de detección, protección, respuesta y recuperación de las instituciones públicas mediante la implementación de sistemas avanzados de monitoreo y respuesta automatizada, integrando tecnologías emergentes como la inteligencia artificial y el aprendizaje automático para mejorar la eficiencia y la eficacia".
Otro aspecto en que se ha mejorado es la colaboración internacional, tanto con organizaciones y bancos multilaterales como con la cooperación con otras naciones y ha firmado acuerdos y tratados internacionales.
Además, resalta que para impulsar la ciberresiliencia nacional, se está implementando un sistema de alerta temprana para ciberamenazas, realizando ejercicios y simulacros nacionales de ciberseguridad con regularidad, y desarrollando planes de continuidad de negocio y recuperación ante desastres para infraestructuras críticas y servicios esenciales.
Mientras, en 2024, se promulgó el Reglamento para la Gobernanza de la Ciberseguridad y la Ciberresiliencia de las Instituciones Gubernamentales (Decreto N.° 45061-MICITT), que establece la obligación de reportar incidentes en un plazo de 24 horas, exige auditorías técnicas periódicas y formaliza la estructura de la Dirección Nacional de Ciberseguridad mediante la creación de los departamentos SOC-CR y CSIRT-CR, alineados con prácticas de gobernanza, identificación, detección, protección, respuesta y recuperación.
De igual manera manifiesta que se han puesto en marcha diversas iniciativas para fomentar una cultura de concienciación sobre la ciberseguridad entre sus ciudadanos, que incluyen campañas de concientización pública, programas educativos, talleres y seminarios web destinados a mejorar la higiene y la alfabetización, además que se ha asociado con organizaciones del sector privado y entidades no gubernamentales, como el clúster de ciberseguridad, para llegar a un público más amplio.
En cuanto a educación, "para desarrollar la experiencia Costa Rica ofrece títulos universitarios acreditados y cursos en ciberseguridad, y está desarrollando un marco nacional de educación en ciberseguridad con programas de capacitación en todos los niveles educativos. El país también está creando programas especializados de capacitación en ciberseguridad para empleados del sector público.
Se fomenta la colaboración con universidades, instituciones de investigación y socios internacionales para apoyar la transferencia de conocimientos y el desarrollo de habilidades en el ámbito de la ciberseguridad", reporta la investigación.
Según el índice, el país promueve la igualdad de género y la diversidad en la educación y las carreras en ciberseguridad para crear una cartera sostenible de profesionales en ciberseguridad.
Finalmente, el informe afirma que el país trabaja activamente para ajustar, adaptar y armonizar su marco legal y regulatorio en materia de ciberseguridad. Esto incluye la elaboración de un Proyecto de Ley de Ciberseguridad y la asistencia a los reguladores sectoriales en la adaptación de sus marcos y la supervisión de las disposiciones relacionadas con la ciberseguridad.
"Costa Rica está actualizando su marco regulatorio para fortalecer los procesos administrativos y técnicos del CSIRTCR y establecer estándares, protocolos y procedimientos técnicos para la gestión nacional de incidentes de ciberseguridad.
Estos incluyen un proceso nacional de respuesta a incidentes, procedimientos de gestión y respuesta a crisis, y manuales e infografías de ciberseguridad", concluye el trabajo.
Por mejorar en política y estrategia
A pesar de los aspectos positivos que enumera el reporte, aún quedan asuntos por resolver, ya que se obtuvo una calificación baja en el apartado de política y estrategia, específicamente en identificación, requerimientos regulatorios y práctica operativa en protección de infraestructura crítica (CI).
Mientras, en desarrollo de conocimientos y capacidades, en consumo de formación profesional en ciberseguridad, también se logró un bajo puntaje en investigación, desarrollo e innovación.
Finalmente, en estándares y tecnología, se debe mejorar en adhesión a los estándares, en las áreas de normas en materia de adquisiciones y prestación de productos y servicios; lo mismo que en políticas, procesos y legislación para la divulgación responsable de vulnerabilidades de seguridad, así como en calidad y aseguramiento del software.
Gezer Molina, director Nacional de Ciberseguridad, señala al respecto que "después de los ciberataques de 2022, hubo un antes y un después: se fortaleció la visión, la coordinación y el compromiso para construir mayor resiliencia digital.
Este resultado nos motiva a seguir avanzando: consolidar capacidades, profundizar la prevención y continuar articulando esfuerzos entre sector público, privado, academia y aliados internacionales".
No obstante, reconoce que "sabemos que falta mucho por mejorar; este logro es apenas el inicio".
En tanto, Idannia Mata, miembro de la Junta Directiva de la Fundación YoD, enfatiza en que el país logró avances en las cinco dimensiones evaluadas: política y estrategia de ciberseguridad, marco legal y regulatorio (en estos dos se logró una madurez consolidada), cultura y sociedad (madurez en desarrollo), conocimientos y capacidades y estándares y tecnologías (estos últimos con madurez establecida).
Sin embargo, persisten una serie de desafíos pendientes. Por ejemplo, en el campo de cultura y sociedad, considera que se debe profundizar la concienciación de riesgos entre la población general, fortalecer mecanismos de reporte de incidentes para usuarios y ampliar alfabetización digital en zonas rurales y poblaciones vulnerables.
En cuanto a conocimientos y capacidades, la especialista en tecnología indica que la brecha identificada corresponde a la investigación e innovación en ciberseguridad que aún se encuentra en fase formativa, requiriendo mayor inversión en investigación y desarrollo nacional (I+D).
Y sobre los retos pendientes y la ruta a futuro, existe una presión presupuestaria: la ciberseguridad requiere inversión continua en tecnología, actualización constante de herramientas y capacitación permanente de personal.
Ante ello, Mata Serrano comenta que una recomendación es establecer un fondo nacional de ciberseguridad con recursos garantizados de forma plurianual, no sujetos a ciclos políticos.
De paso alerta sobre una vulnerabilidad crítica, pues estima que el 90% de las pequeñas y medianas empresas (pymes) no cuentan con medidas básicas de ciberseguridad.
Por lo que se requieren iniciativas como programas de incentivos fiscales para inversión en ciberseguridad, certificaciones accesibles para pymes, y servicios de ciberseguridad subsidiados.
"En investigación e innovación hay una inversión limitada en investigación aplicada, pocas patentes nacionales en tecnologías de seguridad. Existe una oportunidad de convertirse en hub regional de innovación en ciberseguridad", advierte la experta.
Costa Rica ha demostrado que es posible convertir una crisis devastadora en un punto de inflexión para la transformación digital nacional. En tres años, el país pasó de declarar emergencia nacional por ciberataque a posicionarse como referente regional en madurez de ciberseguridad.
Los logros son: estrategia nacional, institucionalidad fortalecida, marco legal robusto, cooperación internacional activa, y una cultura de seguridad en construcción. Sin embargo, los desafíos persisten: brecha de talento, necesidad de inversión sostenida, protección de pymes, y desarrollo de capacidades de I+D.
El camino recorrido por Costa Rica ofrece lecciones valiosas para América Latina y el Caribe. En una región donde solo 13 países tienen capacidad institucional efectiva para implementar estrategias de ciberseguridad, y apenas 9 protegen adecuadamente su infraestructura crítica, el modelo costarricense basado en coordinación nacional, cooperación internacional y enfoque de derechos humanos emerge como una ruta viable hacia la resiliencia digital. Idannia Mata, Fundación YOD