En mayo, cuando apenas comenzaba labores, el actual gobierno creó la Sala de Análisis de Situación Nacional (SASN), una fuerza de acción oficial de alto nivel para atender la emergencia nacional provocada por los ciberataques contra instituciones del sector público.
Aquel grupo debía establecer y atender las debilidades en esa materia de muchas instituciones estatales. Sin embargo, permaneció inactivo en plena crisis y sin coordinación oportuna, según descubrió la Contraloría General de la República (CGR).
Así lo consignó el órgano contralor en la Auditoría de carácter especial acerca de la gobernanza de la ciberseguridad en el sector público divulgada este martes.
Para enfrentar los ciberataques registrados a partir de abril de 2022, el presidente Rodrigo Chaves declaró emergencia nacional, para lo cual emitió el decreto ejecutivo 43542-MP-MICTT, en el cual se otorgó a la Presidencia de la República, a la Comisión Nacional de Emergencias (CNE) y al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) la responsabilidad de planear, dirigir, controlar y coordinar los procesos necesarios para la contención y solución del problema.
Fue así como la CNE y Micitt empezaron recibir reportes de daños, pérdidas y compromisos por parte de las instituciones afectadas, aprobaron un Plan General de la Emergencia y establecieron la (SASN) como el mecanismo oficial de coordinación de las operaciones de emergencia. De hecho, hoy la SASN está activa.
LEA MÁS: Costa Rica recibió 513 millones de intentos de ciberataques en primer semestre
La SASN la integran la Caja Costarricense de Seguro Social (CCSS), la CNE, Dirección de Inteligencia y Seguridad Nacional (DIS), el Ministerio de Hacienda, el Instituto Costarricense de Electricidad (ICE), el Micitt, el Organismo de investigación Judicial (OIJ) y el Ministerio Público.
Sin embargo, la CGR descubrió que no existe coordinación oportuna en el seno de la SASN para responder de forma ágil en la atención de los problemas de ciberseguridad aun y cuando su origen se dio en el contexto de una emergencia nacional decretada y que seguía en desarrollo.
Además, la Sala permaneció inactiva del 1.° de julio al 31 de agosto de este año, y para los meses siguientes, la frecuencia en las sesiones de trabajo efectuadas decayeron y no han presentado una periodicidad, a pesar de que en ese lapso se identificaron ataques en el Ministerio de Salud y en la Municipalidad de Belén, cita el ente contralor.
Según la CGR, hubo incluso descontento por parte de otras instituciones representadas en la SASN ante la ausencia de participación de la CNE en esa fuerza de trabajo “y la falta de claridad en los procesos para la atención de esta emergencia”.
Sin capacidad suficiente
Cumplidos seis meses de la declaración de la emergencia nacional, la CGR también descubrió que el llamado Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), a cargo del Micitt, carece de suficiente capacidad instalada en términos de recursos humanos especializados y tecnológicos para la detección oportuna de incidentes de ciberseguridad.
LEA MÁS: Este es Conti, el nuevo enemigo ‘hacker’ de Costa Rica
Sistemas informáticos públicos y privados de Costa Rica fueron blanco de 513 millones de intentos de ciberataques durante la primera mitad del 2022, según datos divulgados en agosto por la empresa estadounidense Fortinet; dedicada al desarrollo y venta de software, dispositivos y servicios de ciberseguridad.
Según ese reporte, los hackers que atacaron los sistemas informáticos de la CCSS dispusieron de semanas, incluso meses, según dijo el ahora expresidente ejecutivo de esa institución, Álvaro Ramos. Así lo reconoció en junio cuando informó de que los efectos del ciberataque ocurridos fueron profundos: de 30 servidores infectados se pasó a 800 (53% del total) y llegaron a elevarse a 9.000 las terminales de usuarios (computadoras) afectadas en esa entidad: 22% de todas las que tiene la Caja.
Estas incursiones están asociadas al grupo internacional de piratas informáticos Conti que extrajo información sensible de instituciones públicas y advirtió al Gobierno que solo devolvería los datos si se les pagaba $10 millones que las autoridades se negaron a cancelar.