Josué Alvarado
El sector público se enfrenta a un riesgo elevado y existe el potencial peligro de que se afecte la continuidad de los servicios y la salvaguarda de la información del Estado.
Esa es una de las conclusiones de un reciente informe de la Contraloría General de la República, en el que se describe la inoperancia del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Por ejemplo, el 7 de octubre de 2022, el personal de este centro recibió un documento de la Contraloría en el que se le informaba sobre siete instituciones que estaban presentando incidentes informáticos.
Transcurrieron 44 días, hasta el 19 de noviembre, para que el CSIRT empezara a notificar a las instituciones afectadas.
Ante los cuestionamientos de la Contraloría, la oficina del Micitt respondió que las alertas las hizo vía telefónica, pero no se encontró evidencia de ello.
“Seis de los siete incidentes se mantienen activos al momento de emisión del presente informe, situación que puede llegar a impactar la continuidad de los servicios públicos y ocasionar mayores afectaciones en términos de la seguridad de la información”, dice el informe del ente contralor.
(Captura del informe elaborado por la CGR).
OBSERVE MÁS: Grupo que creó este Gobierno para atender ciberataques perdió fuerza y dejó de sesionar, advierte Contraloría
Los resultados de la auditoría se presentaron al ministro del Micitt, Enrique Briceño y a la directora de Gobernanza Digital, Paula Brenes.
También al director ejecutivo de la Comisión Nacional de Emergencias (CNE), Sigifredo Pérez y a otros funcionarios de ambas instituciones.
El Observador preguntó al Micitt qué acciones se tomaron luego de que la Contraloría informara sobre el atraso de los 44 días, sin embargo al cierre de la edición no hubo respuesta.
OBSERVE MÁS: Costa Rica bajo ciberataque: vulnerabilidad de sistemas informáticos quedó expuesta en 2022
Una serie de debilidades
El atraso en dicha emisión de la alerta no es la única debilidad detectada por la Contraloría.
Por ejemplo, el riesgo detectado en las siete instituciones del informe fue un trabajo del ente contralor. El Micitt solo había identificado a una de ellas.
El equipo de la Contraloría incluso logró identificar la firma o alias del grupo atacante.
Esto, según el informe, dificulta la atención oportuna y la toma de decisiones enfocada en prevenir ataques cibernéticos.
Sobre este tema, el Micitt indicó que su centro especializado no contaba con los mismos recursos y condiciones que el equipo de la Contraloría para desarrollar un monitoreo tan “puntual y específico”.
La Contraloría respondió que para detectar estas siete vulneraciones solo era necesario un navegador de internet para revisar las configuraciones del sitio web de las instituciones.
Dicha oficina del Micitt tampoco categoriza los incidentes según el riesgo que representan.
Por otro lado, en materia preventiva, se demostró que el CSIRT envió alertas técnicas a las instituciones del sector público.
La Contraloría revisó 197 de ellas y constató que lo que se alerta es distinto a los incidentes de ciberseguridad sufridos por las instituciones.
“Las personas que conforman los CSIRT suelen ser especialistas multidisciplinarios que actúan según procedimientos y políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además de coadyuvar a mitigar el riesgo de los ataques cibernéticos.
“Las situaciones encontradas obedecen a que el nivel de preparación de este centro no era el idóneo para hacer frente a la gestión de incidentes”, se lee .
Dichos hallazgos están contenidos en el informe número DFOE-SOS-IF-00014-2022.
El presidente de la República, Rodrigo Chaves en compañía del ministro del Micitt, Carlos Alvarado (Captura de pantalla).
La Contraloría dio plazo al 31 de agosto del 2023 al ministro del Micitt, Carlos Alvarado Briceño, para que reforme el marco normativo del CSIRT.
Además, deberá remitir otro informe de avance de la implementación de dicho marco a más tardar el 30 de noviembre del 2023.
MOPT, la víctima más reciente
Pasadas las 9:00 p.m. del martes, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) informó sobre una alerta de ciberataque a las plataformas digitales del Ministerio de Obras Públicas y Transportes (MOPT).
“Es importante informar que el incidente está contenido actualmente”, indicó en un comunicado.
Pese a ello, resaltó que hay 12 servidores encriptados por los ciberdelincuentes, es decir, con información a la que no pueden tener acceso.
OBSERVE MÁS: Micitt detecta ciberataque al MOPT: 12 servidores fueron encriptados por los ciberdelincuentes
