Escuchar
Desde noviembre del 2019, la Contraloría General de la República (CGR) alertó al Ministerio de Hacienda sobre vulnerabilidades en su sistemas informáticos en una auditoría que descubrió situaciones críticas como, por ejemplo, que estaban activas más de 5.000 cuentas de usuarios que no correspondían a empleados del Ministerio.
Además, se detectó que la institución no aplicaba actualizaciones de seguridad en sus servidores desde el año 2013.
LEA MÁS: ‘Seguiremos atacando ministerios hasta que su Gobierno nos pague’: La amenaza de Conti a Costa Rica
Así lo señaló la CGR luego de una revisión que se enfocó en la aplicación que almacena y organiza la información de Hacienda sobre los usuarios de la red y, además, en su Sistema Integrado de Información Tributaria (SIIAT), el sistema de pagos de salarios Integra, el Sistema Integrado de Administración Financiera (Sigaf), la plataforma de Tecnología de Información para el Control Aduanero (TICA), el Tesoro Digital y Tributación Digital.
“Esto pone en riesgo la confidencialidad e integridad de la información, que es procesada y almacenada, en sistemas críticos. Además, se encontraron falencias, en el nivel de complejidad de las contraseñas y la regla de cambio de las mismas, así como reglas de bloqueo de usuarios y en el proceso para modificar y revocar el acceso de los usuarios a los sistemas”, dijo la CGR en el informe DFOE-SAF-IF-00009-2019 sobre la seguridad de la información de los centros de datos del Ministerio de Hacienda.
Ante consultas de La Nación, la Contraloría informó de que la Administración certificó el cumplimiento de disposiciones para resolver esta y otras vulnerabilidades en el sistema. No obstante, el órgano contralor está en proceso de verificación en seguimiento de este informe.
Específicamente, la CGR ordenó a Hacienda elaborar, aprobar e implementar procedimientos para la asignación, modificación y revocación de permisos de acceso; la parametrización de contraseñas y bloqueo de usuarios; realizar respaldos y recuperación de información, el manejo y almacenamiento de la información, la eliminación segura de medios de respaldo y la documentación de los estudios de vulnerabilidades y su seguimiento.
LEA MÁS: Estos son los riesgos para Costa Rica de pagar o no pagar a ‘hackers’ que atacan sus sistemas
También, pidió elaborar, aprobar, e implementar los planes de contingencia tecnológica.
“Sobre lo consultado, del informe de referencia N°. DFOE-SAF-IF-00009-2019, se emitieron siete disposiciones, de las cuales seis se encuentran atendidas por la Administración, queda pendiente la 4,5 referente a los planes de contingencia, los acuerdos de nivel operativo y los acuerdos de nivel de servicio. Para dicha disposición, la Administración remitió el 5 de abril (del 2022) la certificación de cumplimiento. Nos encontramos en el proceso de revisión en el área de seguimiento de disposiciones de la CGR por lo que no podemos emitir criterio adicional por el momento”, dijo la Contraloría por medio de la oficina de prensa.
Ataque de ‘hackers’
El contenido de esta auditoría trasciende en momentos en que el Ministerio de Hacienda se convirtió en objeto de un ataque de delincuentes cibernéticos que sustrajeron información de pago de impuesto de la renta y datos históricos aduanales. La situación obligó a desactivar otros sistemas para evitar riesgos, lo que tiene en suspenso exportaciones e importaciones, por ejemplo.
Además de Hacienda, también han sido vulneradas plataformas o sitios del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Instituto Meteorológico Nacional (IMN), Radiográfica Costarricense (Racsa), la Caja Costarricense de Seguro Social (CCSS) y, según se conoció este jueves, el Ministerio de Trabajo y el Fondo de Desarrollo Social y Asignaciones Familiares.
La Nación solicitó explicaciones al ministro de Hacienda, Elian Villegas, para conocer si los problemas detectados fueron solventados y si podrían haber incidido en el hackeo de datos de sus plataformas. Sin embargo, no hubo respuesta al cierre de la nota.
También se hizo la consulta a Hacienda por medio de la oficina de prensa pero todavía no se tiene respuesta
LEA MÁS: Hacienda desconoce identidad de ‘hackers’ y desmiente haber recibido extorsiones
Sistema vulnerable
La auditoría de noviembre de 2019 halló que el Ministerio de Hacienda, a pesar de realizar evaluaciones de vulnerabilidades en servidores, no dio seguimiento a 20 informes emitidos por la Unidad de Seguridad TIC, por lo que más de 4.200 vulnerabilidades permanecían activas, exponiendo la información.
“En una muestra seleccionada de los mismos, se identificaron 2.160 vulnerabilidades de seguridad críticas, que pueden ser aprovechadas por personas mal intencionadas, para obtener acceso a información sensible y crítica, y a los sistemas y procesos subyacentes”, alertó la CGR.
La Contraloría evidenció también que Hacienda tiene en uso licencias del software base, que no cuentan con versiones actualizadas y parches de seguridad, no tiene diseñados e implementados procedimientos por medio de los cuales se regule la realización de respaldos y restauraciones; el manejo y almacenamiento de la información y eliminación segura de medios de respaldo.
Contraseñas y usuarios
Otra de las debilidades encontradas por la Contraloría fue la gestión de contraseñas por parte de Hacienda ya que tienen una parametrización débil en lo que respecta a su complejidad, debido a que la mayoría permiten ingresar contraseñas de menos de ocho caracteres, palabras comunes, secuencias numéricas, entre otros. También, se encontró que en el sistema SIIAT, se permite reutilización de contraseñas y las mismas no caducan.
Además, la sesión del usuario en los sistemas no es bloqueada por inactividad o por intentos de ingreso fallidos y no se generan alertas al respecto.
“Se encuentran funcionarios que cambian de ubicación laboral y no hay evidencia de que se haya realizado una valoración para asignar en los perfiles, tales cambios. Además, existen usuarios activos en los sistemas, que corresponden a funcionarios que dejaron de laborar para la institución. Tampoco se suspenden usuarios por ausencias prolongadas como vacaciones, incapacidades, permisos y licencias”, detalló el órgano contralor.
La Contraloría identificó 1.286 cuentas activas en los sistemas de Hacienda que no corresponden a usuarios identificables, “lo que dificulta que la administración pueda sentar responsabilidades sobre la modificación de los datos en los sistemas, además, se expone la información a acceso no autorizado”, explicó la CGR.
El informe no detalla si esas 1.286 cuentas de ‘no identificables’ se sumaban a las 5.000 cuentas activas de usuarios que no pertenecían a Hacienda, o bien están incluidas en este último número.
La auditoría detectó, además, que otro aspecto que pone en riesgo la seguridad de la información que procesa y almacena la Dirección de Tecnologías de Información y Comunicación (DTIC) de Hacienda es que el Ministerio tiene instaladas versiones de sistemas operativos sin soporte del proveedor y otras que pronto estarán fuera de soporte, por lo que ya no reciben actualizaciones de seguridad, “dejándolos más vulnerables al ataque de programas maliciosos”.
