UNA presentó el tercer informe del Estado de la Ciberseguridad en Costa Rica 2025.
El 84% de los delitos cibernéticos se concentran en dos modalidades: estafa informática (62,1%) y suplantación de identidad (21,7%).
Así lo reveló el tercer informe del Estado de la Ciberseguridad en Costa Rica 2025, elaborado por el Laboratorio de Investigación, Desarrollo e Innovación en Ciberseguridad (LabCIBE) de la Universidad Nacional (UNA), en colaboración con su Vicerrectoría de Investigación.
La investigación aborda la situación anual de la ciberseguridad en el país, la cual se enfoca en tres ejes principales: marco jurídico y normativo, investigación y desarrollo (I+D), así como un diagnóstico situacional basado en una encuesta ampliada en la que participaron 143 instituciones públicas y privadas.
Para los investigadores, los datos confirman que la principal vulnerabilidad no radica en la tecnología, sino en el factor humano, donde los delincuentes digitales se aprovechan de la confianza y la fatiga mental de las personas como la estrategia más efectiva de ataque.
El informe incorpora datos oficiales del Organismo de Investigación Judicial (OIJ) correspondientes al período 2018-2025. Entre enero de 2018 y agosto de 2025, se registraron 40.457 denuncias por delitos informáticos en Costa Rica, con un crecimiento que multiplica por 6,4 el volumen inicial de la serie.
Roberto Lemaitre, investigador de LabCIBE-UNA, detalló que el crecimiento ha sido exponencial: entre 2023 y 2024 las denuncias aumentaron un 96,7%, pasando de 5.287 a 10.398 casos.
En lo que va de 2025, con datos hasta agosto, se superó el total del año anterior con 10.598 denuncias”.
Lemaitre agregó que entre las regiones más perjudicadas por la ciberdelincuencia, el 79% de los casos se concentra en la Gran Área Metropolitana (GAM), encabezando con San José (38,2%), seguido de Alajuela (19,2%), Heredia (11,4%) y Cartago (10,4%).
En relación con el perfil de las víctimas el 86% de las personas tiene entre 18 y 64 años, con incidencia en el grupo de 30 a 39 años (25,2%).
A la vez, la distribución por sexo es casi paritaria, 49.9% mujeres y 45.7% hombres, lo que confirma que la vulnerabilidad no está ligada al género ni al ámbito de alfabetización digital.
Brechas en la institucionalidad
El estudio advierte una brecha crítica en el desarrollo de la ciberseguridad. La falta de personal especializado se posiciona como la principal limitación, señalada por el 94,1% de las instituciones, seguida del financiamiento, identificado por el 82,4%.
En este contexto, el informe subraya que Costa Rica invierte apenas un 0,34% de su PIB en investigación y desarrollo, muy por debajo del promedio de la OCDE, que alcanza el 2,67%. También se identifican limitaciones en el acceso a datos e infraestructura (47,1%) y en la articulación entre sectores (35,3%).
Controles de seguridad institucional
Lemaitre señaló que en materia de controles técnicos, el informe identifica niveles de adopción que varían según la herramienta. Los controles con mayor implementación son:
- La autenticación multifactorial, MFA (84,5%).
- La gestión de identidades mediante Active Directory/IAM (84,5%).
- Los firewalls de nueva generación/NGFW (83,8%).
En un segundo nivel se ubican el filtrado web y DNS (76,8%), las soluciones VPN/SD-WAN (71,1%) y las herramientas de detección y respuesta extendida EDR/XDR (64,8%).
El antivirus y antimalware tradicional, percibido como control básico universal, alcanza apenas el 55,6%, lo que evidencia que algunas instituciones han adoptado tecnologías avanzadas sin haber consolidado los fundamentos.
IA en ciberseguridad
La adopción de inteligencia artificial en ciberseguridad muestra avances incipientes, pero con resultados prometedores indica el estudio. El 20% de las instituciones ya usa o aplica IA en sus procesos de ciberseguridad, 12.59% en producción y 7.69% en fase piloto.
Entre quienes la implementan, el 64% la valora como efectiva o muy efectiva. Sin embargo, solo el 7% cuenta con un equipo dedicado con capacidades específicas en IA. Las principales áreas de implementación son la detección de amenazas, el monitoreo de eventos, el análisis de comportamiento y la gestión de vulnerabilidades.
El trabajo señala que los principales desafíos para implementar o escalar soluciones de IA en ciberseguridad presentan una distribución más diversificada que en 2024. Mientras en la medición anterior la preocupación central era la falta de personal especializado (100%), en 2025 los retos prioritarios son:
- Integración con herramientas y plataformas existentes (46,6%).
- Costos de implementación (39,7%).
- Calidad y gobernanza de los datos (36,2%).
- La seguridad de los modelos de IA (29,3%).
- La gobernanza de su uso (31%).
En cuanto a formación en IA, el 38,98% de las instituciones no invierte actualmente en capacitación en IA aplicada a ciberseguridad, cifra superior al 37,5% de 2024. Solo el 10,17% asigna presupuesto dedicado y el 22,03% lo hace de manera puntual.
Avances normativos
El informe destaca que durante 2025 se registraron avances importantes en el marco normativo de la ciberseguridad en Costa Rica. Entre ellos figura la publicación del Decreto Ejecutivo N.º 45061-MICITT, que crea la Dirección de Ciberseguridad y que establece la obligación de reportar incidentes en un plazo de 24 horas.
A esto se suma la aprobación de la Ley N.º 10778, que incorpora el Segundo Protocolo del Convenio de Budapest, lo que fortalece la cooperación internacional en la obtención de pruebas digitales. Además, el país recibió una donación de 25 millones de dólares por parte de Estados Unidos para mejorar las capacidades de monitoreo y respuesta en instituciones públicas.
En líneas generales, el análisis evidencia avances en gobernanza institucional, pero también brechas en la implementación. Si bien el 76% de las entidades cuenta con políticas sobre uso de equipos tecnológicos y el 77% dispone de protocolos ante incidentes, un 62% carece de mecanismos formales de evaluación de riesgos, un 29% no tiene normativa sobre redes sociales y un 35% no realiza simulacros de ciberataques.
Ante este panorama, el informe plantea la necesidad de fortalecer la formación, mejorar la inversión, cerrar las brechas en gestión de riesgos y reforzar la coordinación entre el sector público y privado.