Contraloría señala debilidades en controles de ciberseguridad en Recope

A julio de 2025 aún no se habían restablecido la totalidad de los sistemas afectados por el incidente de ciberseguridad sufrido por Recope en noviembre de 2024.

La Contraloría General de la República publicó un informe de auditoría en el cual identificó que la Refinadora Costarricense de Petróleo (Recope) no ha establecido ni implementado controles para gestionar de forma activa, periódica y permanente las vulnerabilidades de infraestructura tecnológica.

La auditoria, que comprendió el periodo del 1 de enero de 2023 al 31 de diciembre de 2024, detalla que en mayo de este año se remitió a la empresa estatal un listado con la identificación de un total de 19 posibles vulnerabilidades de ciberseguridad, clasificadas según su severidad (dos críticas, 13 altas y cuatro medias), para que Recope implementara acciones correctivas y preventivas oportunas, sin embargo, según la Contraloría a la fecha no han recibido información que acredite su corrección ni un plan de remediación.

Además, el informe asegura que tras el incidente de ciberseguridad que sufrió Recope el 27 de noviembre de 2024, a julio de 2025 aún no se han restablecido la totalidad de los sistemas afectados.

Dato D+: El 27 de noviembre de 2024 Recope fue víctima de un ataque informático de tipo ransomware, lo que derivó en la desconexión inmediata de sus sistemas informáticos, que ocasionó que durante un mes las ventas de combustibles se realizaran de forma manual.

Entre los principales hallazgos, la Contraloría destacó haber encontrado:

• Debilidades en continuidad de negocio: aunque Recope tiene un modelo de continuidad, carece de elementos clave como tiempo máximo de interrupción aceptable, pasos formales para recuperar sistemas e inventario completo de sistemas.
• Falta de controles de operación y mantenimiento: no hay controles de múltiple factor de autenticación; existen contraseñas débiles y sin caducidad; hay deficiencias en mantenimiento y gestión de proveedores.
• Debilidades de ciberseguridad: no se gestionan de forma activa, periódica y permanente las vulnerabilidades; existen múltiples cuentas genéricas y cuentas activas de usuarios dados de baja o desconocidos por Recope.

La Contraloría concluyó que los controles de seguridad de la información implementados por Recope "no cumplen en aspectos significativos con los criterios del marco normativo y técnico aplicable, lo que implica una limitada capacidad de respuesta y recuperación ante incidentes, y aumenta la vulnerabilidad de los sistemas críticos a ataques y accesos no autorizados, comprometiendo la integridad, disponibilidad y confidencialidad de la información".

El informe plantea una serie de disposiciones a la presidenta ejecutiva de Recope, Karla Montero Víquez, incluyendo implementar un plan de remediación de las vulnerabilidades sobre ciberseguridad de la información comunicadas por la Contraloría, así como implementar un Sistema de Gestión de la Continuidad del Negocio (SGCN) integral a nivel institucional, que cubra la totalidad de los procesos de negocio críticos y los sistemas de información que los soportan.