Internet

Plan contra ataques cibernéticos lleva cinco años en papel

Especialistas en ciberseguridad y exjerarcas del MICITT aseguran que el país no le ha dado la prioridad necesaria a un tema vital para la seguridad nacional

Hace cinco años, Costa Rica instauró una estrategia de ciberseguridad que, hasta la fecha, sigue en el papel y en constantes revisiones. Especialistas y exjerarcas del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) subrayaron que el tema no se ha tratado como parte vital de la seguridad nacional.

El plan es del 2017 y su “implementación requiere de una coordinación y apoyo de todas las instituciones y también del Gobierno Central. Aquí es donde vemos la falta de compromiso. Lamentablemente el tema de la ciberseguridad no se ha tomado muy en serio de parte del Gobierno Central”, declaró Edwin Estrada, quien fue viceminstro del MICITT entre 2018 y julio del 2020.

Luis Adrián Salazar, ministro del MICITT hasta el 28 de mayo del 2020, indicó que el Gobierno sí ha visto la ciberseguridad como importante, pero nunca se le ha dado el rol protagónico que necesita.

“Para pasar algo de importante a prioridad debe dejar de estar en el papel, los equipos deben tener recursos, herramientas y personal calificado. Es un problema de seguridad nacional al que debe prestarse toda la atención del mundo”, subrayó.

Y agregó: “la ciberseguridad debe ser tratada como un balance de seguridad nacional, como una política pública y darle todos los recursos posibles”.

Diego González, coordinador del departamento de ciberseguridad de la Cámara Costarricense de Tecnologías de Información y Comunicación (Camtic), señaló que sí hay buenas intenciones, pero son pura teoría. Hace dos meses todavía se estaba revisando una nueva actualización de dicha estrategia y no ha empezado a caminar.

“Una de las críticas que se le hizo al MICITT fue que la estrategia quedó en el papel, por lo que se motivó a que haya planes de acción concretos que realmente aterricen en acciones prácticas”, apuntó.

“Es una implementación lenta por el tamaño del Gobierno y porque involucra a muchísimos actores que se renuevan con los cambios de Administración”, añadió.

Diego González y Luis Adrián Salazar coinciden en que sí se ha dado importancia al tema, porque se ha hecho un trabajo desde hace años, pero no el necesario.

La ciberseguridad sí se trabajó en la gestión de Salazar. Con el proceso de adhesión a la OCDE se comenzó a crear una estrategia. Además, en el MICITT hay un centro de atención de incidentes que monitorea y coordina con las demás instituciones del Estado. También se creó un plan para empezar a estandarizar los sistemas de ciberseguridad.

“Me parece que sí se ha tomado en serio porque tiene muchos años de venirse trabajando”, aseveró González.

Jorge Mora Flores, director de gobernanza digital del MICITT, indicó que se ha trabajado durante más de dos años para fortalecer enlaces de ciberseguridad en todas las instituciones y que desde este lunes se está en contacto con ellos.

Sin embargo, Salazar evidenció: “No ha existido el entendimiento de que si queremos tener un país digitalizado, debemos tener la ciberseguridad como prioridad. Y, esa prioridad se dicta en el involucramiento de un proceso integral por parte del presidente de la República y que este empodere a sus ministros.

”Debemos tomar medidas para dar recursos para formar talento y aumentar la infraestructura: equipos, software, herramientas de defensa”, añadió.

Para González, el que sean muchas las instituciones involucradas hacen más complejo al plan: “La ciberseguridad requiere de la integración de muchísimos componentes que van a robustecer un ecosistema y esto al final es práctico, pero todo sigue en el papel, lamentablemente”.

Además, el cambio de prioridades entre gabinetes cada cuatro años hace que no siempre se inviertan los recursos necesarios para tener sistemas de ciberseguridad de primer mundo, que realmente minimicen los riesgos de ataques como los de los últimos días.

Según Salazar, lo que habría ocurrido con los ciberdelincuentes de The Conti Team no debe verse como un simple incidente. La sofisticación de las herramientas con las que cuentan los ataques actuales hacen que deba tomarse en serio. En sus palabras, esto podría ser algo sin precedentes.

“Los ciberataques de esta época no son hechos por aprendices; saben lo que están haciendo y tienen las últimas herramientas. No sabemos si hay riesgo de pérdida de información. Estamos hablando de que en los sistemas del Ministerio de Hacienda se manejan datos personales”, manifestó.

“Hoy puede ser un sistema de información, pero mañana puede ser un sistema de distribución eléctrica, un hospital, un aeropuerto”, agregó.

González recordó que los jaqueos a instituciones públicas seguirán generando consecuencias que afectarán a la población, por eso espera que este golpe concientice a las autoridades para mejorar la ciberseguridad.

Salazar reiteró: “Los ciberataques son un virus, han sido muy dañinos en otros lugares del mundo. Podríamos estar ante algo sin precedentes”.

¿A qué se refiere “sin precedentes”? Aclaró que no quiere especular, pero sí expresar “grandes preocupaciones”.

“En este momento no sabemos si hay información en peligro, si fue raptada o no. No sabemos si hay respaldos o no, si en este momento hay más instituciones involucradas”, evidenció.

El exministro Luis Adrián Salazar manifestó que vienen dos fases para atender lo ocurrido: la primera es salir de esta emergencia como tal. La segunda quedará en manos del próximo gobierno a partir del 8 de mayo, y es colocar a la ciberseguridad con la prioridad que requiere.

En la próxima Asamblea Legislativa quedará el evaluar si las leyes de protección de datos son suficientes para cubrir una tecnología que evoluciona muy rápido. “El marco regulatorio podría no ir tan rápido como las tecnologías”, dijo Salazar.

Mora indicó que este martes se conformó un equipo que ayudará a coordinar el trabajo técnico.

Además lo ideal sería que la Cancillería esté presente para pedir apoyo de otros países con mayor camino recorrido y mayores herramientas. Mora señaló que se ha estado en contacto con agencias internacionales y con países amigos que están ayudando a identificar y contener cualquier tipo de amenaza que podría tenerse.

“Nunca vamos a tener un 100% de ciberseguridad. Habrá herramientas cada vez más sofisticadas para hacer ciberataques. Son tecnologías muy cambiantes en el tiempo, pero sí debe tenerse la disponibilidad país y la priorización para mejorar los equipos de ciberseguridad y la formación de especialistas”, concluyó el exministro.

Irene Rodríguez

Irene Rodríguez

Periodista en la sección El País. Máster en Salud Pública con Énfasis en Gerencia de la Salud en la Universidad de Costa Rica. Ganó el Premio Nacional de Periodismo Científico del Conicit 2013-2014, el premio Health Systems Global 2018 y la mención honorífica al Premio Nacional de Periodismo de Ciencia, Tecnología e Innovación 2017-2018.

José Andrés  Céspedes

José Andrés Céspedes

Periodista en la sección Sociedad y Servicios de La Nación, graduado de la Universidad de Costa Rica. Escribe sobre vivienda y trabajo.

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.