La oportunidad estaba y los cibercriminales actuaron como lo hizo el lobo en la fábula de Esopo, atacaron en el momento oportuno. Algunos expertos habían advertido que podría ocurrir, pero sus peticiones cayeron en oídos sordos y “el lobo Conti” hizo fiesta. La única diferencia, hay que aclarar, es que quienes gritaron antes nunca lo hicieron en broma, la advertencia era justificada.
Esopo, el fabulista de la antigua Grecia, lo advertía hace siglos en su cuento “Pedro y el lobo”, pero los seres humanos seguimos sin entender la simple lección de la historia.
Esta es una de las lecciones que Costa Rica aprendió de los ciberataques a entidades públicas por parte de piratas informáticos que inició el pasado 17 de abril del 2022 y puso en jaque al Ministerio de Hacienda y a la Caja Costarricense de Seguro Social (CCSS). Los ataques también afectaron a otras instituciones como el Ministerio de Trabajo y Seguridad Social, la Caja de Desarrollo Social y Asignaciones Familiares (Fodesaf) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (Jasec).
Miles quedaron sin salario, citas y procedimientos médicos se perdieron o se paralizaron y las pérdidas para el comercio y las exportaciones se calculan en millones de dólares.
Además, el costo de atención directa de la emergencia fue de ₡13.418.907.369,59, tanto con recursos propios de las instituciones como del Fondo Nacional de Emergencias (FNE), según el Plan General de la Emergencia por Ciberataques, dado a conocer por Natalia Díaz, ministra de la Presidencia el pasado 28 de julio en la Comisión de Seguridad y Narcotráfico de la Asamblea Legislativa.
El grupo Conti, una de las organizaciones de hackeo más peligrosas y mediáticas del mundo, no logró obtener ni un dólar por parte de las autoridades del país, tampoco el grupo HIVE, pero las repercusiones persisten.
¿Qué vacíos existían en la ciberseguridad del sector público? ¿Qué lecciones nos dejan estos ciberataques? Considerando que el lobo sigue acechando allá afuera y que cada día Costa Rica es una nación más digitalizada, hay que escuchar a los expertos.
PolitiKAS en línea conversó con tres especialistas en el tema: Luis Adrián Salazar Solís, exministro de Ciencia, Tecnología y Telecomunicaciones y profesor de Lead University; Diego González Villachica, coordinador Capítulo Ciberseguridad de la Cámara de Tecnologías de Información y Comunicación (CAMTIC) y Ceo de Štít Cybersecurity, y Paula Brenes, ingeniera informática y directora de Gobernanza Digital del MICITT.
¡Viene el lobo!
Pese a que aún se requiere tiempo y tecnología para concluir el proceso de informática forense y comprender cómo se realizaron los ciberataques, los expertos reconocen que las advertencias de que podían ocurrir datan de hace muchos años.
Diego González destacó cómo la Contraloría General de la República había señalado vulnerabilidades críticas en el sector público desde hace varios años. “Eso a mí me dice que no le dieron la importancia que realmente ameritaba”, expresó.
“Eso es un tema de cultura y lo he venido diciendo en diferentes medios de comunicación, los ticos somos personas muy confiadas y hasta que no nos pasa algo no reaccionamos y no nos alineamos a lo que teníamos que hacer”, expresó.
Tampoco se le dio al sector público los recursos económicos que necesitaba. Para Luis Adrián Salazar en el país se venían haciendo esfuerzos “pero los esfuerzos no contaban con los recursos que se requerían”.
Paula Brenes coincide y recordó como el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) es uno de los ministerios con menor presupuesto, a pesar de que apuesta a una estrategia de transformación digital del país.
Adicionalmente, afirmó Salazar, el tema de ciberseguridad se manejaba en el área informática y no se había dimensionado en otras áreas. Otra lección por aprender, según el experto, es que “no es un problema exclusivo de los encargados de tecnología, es de todos”.
Costa Rica, agregó, ya venía trabajando en un clúster de ciberseguridad donde está el sector privado, el sector público y la academia (el Cibersec Clúster), y se contaba con una estrategia de ciberseguridad “pero no fue suficiente”.
Salazar destacó que, en su criterio, la primera y más importante de las enseñanzas que le da al país los pasados ciberataques “es que el tema de ciberseguridad no es un tema importante, es un tema de prioridad nacional uno. Es un tema de seguridad absoluta para la soberanía y la paz en Costa Rica”.
En ocasiones, sentenció el experto, a la tecnología se le ve como un tema cosmético.
Para González Villachica la asignación de recursos económicos es vital. “Ese es uno de los pecados capitales, cuando no asigno acciones, esfuerzos o recursos económicos. El MICITT, que es el órgano orquestador de todo lo que tiene que ver con procedimientos y procesos a favor de la ciberseguridad, está tan diezmado en presupuesto, personas, recursos…”.
El experto expresó que, si el país quiere ser consecuente con la estrategia nacional de ciberseguridad que se empezó a hacer desde el 2017, la cual ya tiene muchas mejoras y actualizaciones, se debe contar con presupuesto.
“De nada nos sirve tener una estrategia si no tenemos los procesos instalados, el personal en planta contratado, gran cantidad de personal que pueda ejecutar esas acciones, y que las instituciones puedan tener plataformas de primer mundo que puedan contrarrestar esas ciberamenazas, el nivel de amenazas es increíblemente complejo”, dijo González.
El eslabón más fino
Los tres expertos reconocen que el desarrollo tecnológico en el mundo y en el país ha ido evolucionando aceleradamente y cada vez las sociedades están más digitalizadas, lo que al mismo tiempo hace que existan mayores riesgos. Nunca se estará totalmente protegido en temas de ciberseguridad pues los hackers van modificando sus tácticas y mejoran sus habilidades.
“Claramente los riesgos informáticos comienzan a sofisticarse, a cambiarse y a extenderse”, explicó Salazar.
La directora de gobernanza digital afirmó que otra enseñanza que nos dejan los ciberataques es que la alfabetización digital es sumamente importante, y no solo para los empleados de las instituciones públicas sino para todos los usuarios de la tecnología.
“Hay una expresión que dice que la empresa es tan segura como su eslabón más débil. Esto se refiere a que la seguridad en línea es responsabilidad de todos. No importa muchas veces el tema de infraestructura tecnológica, no importa que tan seguro estás físicamente, al final si yo no conozco las herramientas puedo abrirle la puerta a cualquiera”, expresó Brenes.
Para la informática es muy importante es sumamente importante poner atención a las alertas. “Cuando un colega de tecnología te dice aquí tenemos una posible fuga o aquí hay una posible advertencia”. Aquí, dijo, “hay una lección aprendida para las voluntades políticas”.
González Villachica coincide con Brenes en la necesidad de la alfabetización digital, de la enseñanza de buenos hábitos de seguridad a las personas. “En efecto, el eslabón más débil de la cadena de seguridad de la información siempre son las personas”.
Como ejemplo mencionó que a nivel internacional los hackers han atacado incluso a las empresas de tecnologías más grandes del mundo y por lo tanto con más recursos para invertir en ciberseguridad. “Apple, Microsoft, Zoom etc., empresas de manejo de información ultrasensible están en la lista de trofeos de los hackers…precisamente porque lo que más cuesta es culturizar a las personas en buenas prácticas”.
Talento y unión de fuerzas
Ante una situación tan catastrófica como la vivida por Costa Rica hay lecciones positivas como el reconocimiento al talento de los profesionales en ciberseguridad del país y la unión de fuerzas de distintas entidades y naciones que colaboraron para poder salir adelante.
Diego González destacó el talento profesional “de primer mundo, aunque Costa Rica no sea del primer mundo, el profesional es sumamente valioso. Hay personas que pueden marcar la pauta en lo que se debe hacer”.
Recordó que durante los últimos meses vio el trabajo de muchos profesionales individualmente y en conjunto, como el Capítulo de Ciberseguridad de CAMTIC, el CyberSec Cluster, diferentes organizaciones y trasnacionales que tienen equipos especializados en la materia, que han venido trabajando en conjunto apoyando al gobierno”.
“Esto también es una lección aprendida, que siempre como país nos unimos y los que amamos este país hacemos miles de acciones para lograr sacarlo adelante”, afirmó.
Luis Adrián Salazar coincide con González y aseguró que Costa Rica cuenta con profesionales muy bien formados en ciberseguridad.
“Es fundamental el trabajo internacional tanto con organismos multilaterales como a nivel de relaciones bilaterales con países para poder trabajar con los que más saben. Tenemos relaciones con Israel, con Estonia, con Estado Unidos, con España, con Corea del sur, con los que más investigación hacen en esto. Esa es otras de las enseñanzas que nos dejó esta situación”, expresó el exministro.
Salazar también hizo hincapié en la necesidad de que el tema de ciberseguridad sea tratado en el Consejo Nacional de Seguridad.
Los contenidos publicados expresan la opinión del autor y autora, y no necesariamente la visión de la Fundación Konrad Adenauer.
Síguenos en nuestras
Redes Sociales.
© PolítiKAS en Línea v.2022
