Auditoría revela incongruencia entre decreto de emergencia por ciberataques y respuesta de Gobierno a la situación

Contraloría encontró siete instituciones atacadas que equipo gubernamental no había detectado.

La Sala de Análisis de Situación Nacional (SASN) creada por el decreto presidencial que declaró estado de emergencia nacional por los ciberataques contra instituciones del sector público carece de una coordinación adecuada, pasó inactiva mientras continuaban los ataques; y hasta sus miembros expresaron descontento por la ausencia de varias de las instituciones públicas en las reuniones que se realizaban.

Así se desprende de una "Auditoría de carácter especial acerca de la gobernanza de la ciberseguridad en el sector público" realizada por la Contraloría General de la República y cuyos resultados fueron hechos públicos este martes.

El informe reveló que aunque el presidente, Rodrigo Chaves Robles, había anunciado que la coordinación y mando de la respuesta contra los ciberataques declarados como emergencia nacional estaba totalmente concentrada en la Presidencia de la República, esto fue cambiado el 28 de julio de 2022 (sin aviso público a los medios de comunicación o a la ciudadanía), cuando se emitió un decreto para delegar el mando a la Comisión Nacional de Emergencias y al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).

La Sala de Análisis de Situación Nacional (SASN) la integran la Caja Costarricense de Seguro Social (CCSS), Comisión Nacional de Emergencias (CNE), Dirección de Inteligencia y Seguridad Nacional (DIS), Instituto Costarricense de Electricidad (ICE), MICITT-CSIRT-CR, Organismo de investigación Judicial (OIJ), Ministerio Público y Ministerio de Hacienda.

Pese a haber sido declarado de emergencia nacional, la auditoría determinó que no se realizó una coordinación oportuna en el seno de la SASN para responder de forma ágil en la atención de la emergencia de ciberseguridad, de conformidad con los principios de estado de necesidad y urgencia, coordinación e integralidad del proceso de gestión.

La auditoría reveló, inclusive, que esa Sala estuvo inactiva entre el 1 de julio y el 31 de agosto, fechas durante las cuales se reportaron ataques de ciberseguridad en el Ministerio de Salud y en la Municipalidad de Belén.

Además, la Contraloría apuntó que desde entonces, la frecuencia de las sesiones de trabajo de la SASN ha disminuido y no tiene periodicidad alguna, situación que desencadenó en que varias de las instituciones representadas en la Sala expresaran su descontento por la ausencia de participación por parte de la Comisión Nacional de Emergencias, así como la falta de claridad en los procesos para atender la emergencia. Así quedó evidenciado en un oficio enviado por la Dirección de Gobernanza del Micitt al ministro de esa cartera, el 19 de septiembre anterior.

El informe también señala que a seis meses de la declaración de la emergencia nacional, y pese al rol eminentemente técnico en materia de ciberseguridad que debe asumir dentro de este marco, el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) a cargo del Micitt "no cuenta con la suficiente capacidad instalada en términos de recursos humanos especializados y tecnológicos para la detección oportuna de incidentes de ciberseguridad".

La Contraloría agregó que pese a que el Plan de Inversión del MICITT incluía fortalecer el CSIRT-CR en la recuperación y atención de plataformas afectadas por ciberataques, y que desde el 6 de octubre se autorizó contratar ocho profesionales en informática y una persona profesional en Administración por 12 meses para ese efecto, no hay evidencia de que ese personal haya sido efectivamente contratado.

La Auditoría cuestionó además que en lo que respecta a recursos tecnológicos, el CSIRT-CR realiza un monitoreo para detectar inconvenientes con el funcionamiento de sitios web de las instituciones públicas; sin embargo, la herramienta utilizada permite esta identificación hasta el momento en que el sitio web se encuentra fuera de servicio.

Este monitoreo es insuficiente para la detección oportuna de incidentes, puesto que en materia de ciberseguridad puede existir un lapso considerable entre la vulneración del sitio web y el momento en que este se reporta como fuera de servicio.

Para la Contraloría, eso evidencia que el CSIRT-CR tiene una baja capacidad de detección de incidentes de ciberseguridad.

El informe revela que inclusive fue la propia Contraloría la que detectó, mediante pruebas de vulnerabilidad en ciberseguridad durante septiembre anterior, siete instituciones públicas afectadas por ciberataques que no estaban incluidas en el Plan General de Emergencia. La situación llegó hasta el punto de que fue la Contraloría la que identificó las firmas o alias del grupo atacante en siete casos, mientras que el CSIRT-CR solo había identificado a uno de ellos y no notificó a la institución afectada.

Es preciso señalar que el incidente identificado persiste, pese a que fue detectado por el CSIRT-CR desde el 1 de mayo de 2022 y realizadas las gestiones a través de correos electrónicos con la institución afectada para informar las anomalías, enviar alertas y brindar apoyo.

Según el informe, el Micitt se defendió indicando que el CSIRT-CR opera con "limitadas condiciones que no permiten desarrollar un monitoreo tan puntual y específico" como los efectuados por la Contraloría en las pruebas de auditoría.

Sin embargo, la Contraloría desestimó tal defensa señalando que sus pruebas requirieron tan solo, a nivel técnico, de un navegador de Internet para revisar las configuraciones al sitio web de diversas entidades públicas, "que en este caso permitieron detectar sitios web comprometidos por ataque defacement, datos cifrados por Ransomware y exfiltración de información".