Escuchar
Los datos confidenciales de contribuyentes y los millonarios presupuestos de 15 municipalidades y concejos de distrito se encuentran en grave riesgo ante posibles ciberataques de ‘hackers’ y engaños de estafadores, según un análisis realizado por La Nación con información suministrada por el Instituto de Fomento y Asesoría Municipal (IFAM) y especialistas en ciberseguridad.
Estas 15 entidades municipales no cuentan con una oficina u encargado de planta en Tecnologías de la información y la comunicación (TICs), que se encargue de proteger sus sistemas informáticos de acciones como las perpetradas en las últimas semanas por el grupo delictivo Conti. Además, solo reservan sumas que van de ¢2 millones a ¢30 millones (menos de un 2% del total de sus presupuestos) para cubrir estos rubros en caso de contratarlos por servicios tercerizados. Para los expertos, estos montos son insuficientes o muy bajos.
La situación es perjudicial porque se trata de la protección de la información tributaria y los recursos públicos de los cantones de Tarrazú, Turrubares y León Cortés en San José; Guatuso y Río Cuarto en Alajuela; Jiménez y Alvarado en Cartago; Coto Brus y Monteverde en Puntarenas; y Talamanca en Limón; así como los distritos de Cóbano y Paquera (Puntarenas), Peñas Blancas (San Ramón), Tucurrique (Jiménez) y Cervantes (Alvarado).
LEA MÁS: Conti pone sus ojos sobre las municipalidades
El IFAM fue contundente en reconocer la necesidad de que un gobierno local tenga TICs en su equipo de planta o al menos una persona que se encargue de dar soporte y mantenimiento a aspectos relacionados con la tecnología, no obstante, sabe que muchos ayuntamientos prefieren invertir sus recursos en mejorar condiciones a la ciudadanía (como arreglar calles y construir amenidades).
Aunque es consciente de que los presupuestos de muchas municipalidades “son muy limitados”, consideró que en pleno siglo XXI “se debe hacer un balance entre lo que representa un gasto y lo que representa una inversión para que, ante la eventual amenaza de un ciberataque, los daños no sean mayores”.
Como ejemplo, el IFAM recordó el reciente caso del timo de falso empleado bancario del que fue víctima un funcionario de la Municipalidad de Alajuela y que permitió el robo de ¢45 millones a ese gobierno local. O dos casos ocurridos en 2017 en las municipalidades de Tarrazú y Nandayure, que perdieron ¢20 millones y ¢78 millones, respectivamente, por otras estafas telefónicas que se pudieron haber evitado con mejores sistemas de ciberseguridad.
LEA MÁS: Este es Conti, el nuevo enemigo ‘hacker’ de Costa Rica
¿Qué responden?
Al ser consultados por esta peligrosa situación, solo cinco de los 15 municipios en riesgo remitieron una respuesta a este diario y la mayoría atribuyó la situación a la falta de presupuesto y al poco acompañamiento del Gobierno Central para atender este tema. “Nuestro presupuesto es muy pequeño para tener una oficina completa y no tenemos información de ofrecimiento del Gobierno Central para colaborar en el tema”, contestó Monteverde.
La Municipalidad de Jiménez informó de que lo que hace son bloqueos de acceso a páginas web que no cuenten con los certificados de seguridad adecuados, mientras que Tarrazú dijo trabajar con un presupuesto muy limitado y en una región con muy mal acceso a Internet.
En León Cortés explicaron que lo poco que han podido hacer, ha sido gracias a funcionarios que asumen estas tareas sin retribución alguna o con la ayuda de trabajos comunales universitarios, en tanto que en la Municipalidad de Alvarado respondieron que como se trata de un “tema sensible”, se reserva el dar información.
“No podemos asumir un puesto si no contamos con el presupuesto adecuado. Sabemos de la importancia de contar con un área de TICs en la institución, pero debemos solventar una serie de necesidades que, al igual que esta dependencia, son de urgencia para la institución. El sitio web cuenta con monitoreo, el cual al día de hoy, nos indica que se han recibido más de 180 intentos de acceso al sitio de diferentes IPs ubicadas en distintos países, algunas coinciden con las indicadas por el Micitt en sus alertas”, agregó León Cortés.
LEA MÁS: ¿Qué es ransomware? 25 palabras para entender el ataque a Costa Rica
Pese a las justificaciones por falta de presupuesto de los gobiernos locales, el IFAM aseveró que eso se puede resolver con una mejor gestión. “Siempre hay una oportunidad de mejorar en la forma en que se ejecutan los recursos públicos y esperaríamos que no tuvieran que pasar situaciones como la actual para mitigar el riesgo ante amenazas cibernéticas que pongan en riesgo la integridad de activos intangibles como los sistemas de información y los datos que administra una Municipalidad y los mismos equipos. El mejorar la gestión de los recursos es algo propio de cada municipalidad y debe ser analizado a la luz de cada situación específica”, dijo.
‘Muy preocupante’
De acuerdo con los datos colgados por las 15 municipalidades y concejos municipales de distrito en el Sistema de Información sobre Planes y Presupuesto (SIPP) de la Contraloría General de la República (CGR), los gobiernos locales incluyen cinco rubros relacionados a TICs en su presupuesto: Bienes intangibles (licencias), Mantenimiento y reparación de equipo de cómputo y sistemas de información, Servicios de tecnologías de información, Servicios de desarrollo de sistemas informáticos y Equipo y programas de cómputo.
En promedio, los 15 municipios en riesgo presupuestan alrededor de ¢12 millones para cubrir todos los gastos de estas cinco partidas. El único que sobresale con una inversión de ¢102 millones es el nuevo cantón de Río Cuarto, pero precisamente por haber nacido hace tan poco es que apenas está comprando su primer software en ¢85 millones, por medio del rubro de bienes intangibles, con el que ya cuentan los demás gobiernos locales. En el caso de Paquera, no se logró encontrar su presupuesto en la Contraloría ni tampoco en su página web.
LEA MÁS: Claves débiles, ‘phishing’ y sistemas desactualizados permitieron ataque de Conti
La Nación consultó por este tema al director de Gobernanza Digital del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Jorge Mora, quien calificó la situación como “muy preocupante” por ser presupuestos muy bajos. “Eso podría dar para tener una seguridad mínima y esa seguridad no nos podría dejar totalmente protegidos a un tipo de amenaza como la que estamos viviendo a nivel de ransomwares (programas extorsivos como Conti). Es un planteamiento que hay que ver y trabajar a nivel presupuestario.
“Es un tema preocupante para la Dirección de Gobernanza Digital, más entendiendo el tema de la digitalización que hemos venido desarrollado y porque las municipalidades mantienen mucha información que es sensible de las personas, con todo lo que es el tema de pago de impuestos. Esto lo que hace es un llamado de que tenemos que ir avanzando en temas de presupuesto, capacitación y alfabetización digital”, advirtió.
LEA MÁS: Plan contra ataques cibernéticos lleva cinco años en papel
La ministra del Micitt, Paola Vega, también se mostró preocupada por el estado de los 15 municipios en riesgo y señaló que los recientes ataques de Conti deben ser un llamado a reforzar las capacidades de ciberseguridad, especialmente aquellas que estaban en una condición más débil. Agregó que sabe que en las entidades tienen una gran variedad de tamaños, presupuestos y funcionarios disponibles, con realidades muy distintas, pero que desde el Gobierno hay iniciativas de protección a las cuales se pueden unir rápidamente.
“En estos lugares donde se observa que es necesario hacer una inversión adicional o reforzar, entonces ahí el llamado sería a que hagan lo posible ahora que estamos en procesos de formulación presupuestaria para ir incluyendo este tipo de necesidades tanto en personal como en recursos para herramientas tecnológicas. Desde el Micitt continuamos a las órdenes en lo que podamos ayudar”, aseveró.
LEA MÁS: Siga estas 10 medidas para proteger sus datos personales
El especialista en ciberseguridad y fundador de la empresa de protección digital Atticyber, Esteban Jiménez, y el abogado experto en derecho informático y capacitador en ciberdelincuencia, Adalid Medrano, también confirmaron que los presupuestos que manejan los gobiernos locales antes citados son muy bajos.
“Ni alcanza para pagarle a un solo ingeniero el salario, ni para comprar media herramienta de seguridad. Un ingeniero certificado de buen nivel puede ganar entre $8.000 y $12.000 por mes. Una herramienta estándar de detección de vulnerabilidades cuesta entre $12.000 y $35.000 por año, y herramientas profesionales pueden costar más de $100.000 por año”, dijo Jiménez. “Ese parece un presupuesto general para sistemas, no para ciberseguridad. Si fuese una entidad con bastante personal y equipos suena a poco”, agregó Medrano.
LEA MÁS: Estos son los riesgos para Costa Rica de pagar o no pagar a ‘hackers’ que atacan sus sistemas
Por último, el IFAM remarcó el peligro que representa para la ciudadanía y funcionarios de los cantones y distritos en riesgo que sus gobiernos locales no cuenten con las herramientas para combatir hackers.
“Los gobiernos locales no solo administran datos confidenciales que son propiedad de las personas contribuyentes, sino que además administran recursos públicos que podrían ponerse en riesgo si no se cuenta con protocolos, procedimientos, infraestructura y equipo que mitigue los riesgos relacionados con la ciberseguridad. Un gobierno local que no proteja sus activos y capacite a su personal contra ciberataques, podría toparse con un grupo criminal que le vacíe sus cuentas bancarias, de ahí la necesidad de priorizar la inversión en capacidades tecnológicas”, concluyó el Instituto.
LEA MÁS: Empresarios urgen al Gobierno acciones para evitar más ciberataques
