A tres años del ciberataque al Ministerio de Hacienda: ¿está hoy Costa Rica mejor protegida?

Los sistemas del Estado siguen mostrando vulnerabilidades graves. Pese a avances, aún se carece de estándares, gobernanza y conciencia estratégica en la gestión pública de la ciberseguridad.

El 18 de abril de 2022, justo después de Semana Santa, Costa Rica despertó ante una nueva amenaza: un ataque informático sin precedentes colapsó los sistemas del Ministerio de Hacienda. El grupo Conti había irrumpido en la infraestructura digital de Tributación y Aduanas, exponiendo la fragilidad de los sistemas públicos. Tres años después, la pregunta sigue vigente: ¿están hoy nuestras instituciones verdaderamente protegidas?

De Hacienda a Recope: una cadena de vulnerabilidades

El ataque a Hacienda no fue un hecho aislado. Le siguieron ofensivas contra instituciones como la Caja Costarricense de Seguro Social, el Instituto Meteorológico Nacional, Radiográfica Costarricense, varias municipalidades y los ministerios de Trabajo, Salud, Seguridad Pública y el MOPT. En noviembre de 2024, Recope también fue blanco de un ciberataque tipo ransomware, evidenciando que las lecciones aún no se habían aprendido del todo.

Una fisura en un sistema interno no autorizado fue el punto de entrada en Hacienda. En muchos otros casos, las vulnerabilidades fueron producto de configuraciones erróneas, software desactualizado y una alarmante falta de protocolos preventivos.

Contraloría General: hallazgos preocupantes

Auditorías recientes de la Contraloría General de la República (2024-2025) revelan que, aunque existen avances importantes, persisten debilidades estructurales. Las evaluaciones realizadas en entidades como el Ministerio de Ambiente y Energía (Minae), el Registro Nacional, el Sicop y el Ministerio de Seguridad Pública muestran deficiencias comunes:

  • Ausencia de controles criptográficos, políticas de contraseñas y autenticación multifactor.
  • Deficiencias en monitoreo, trazabilidad de incidentes y respaldo de información.
  • Carencia de planes de continuidad, formación del personal y estructuras claras de gobernanza de ciberseguridad.
  • Pérdida de trazabilidad en servicios digitales y sistemas críticos sin protección adecuada.

El mapa digital del Estado: dispersión y debilidad

Según el Índice de Capacidad de Gestión de TICs de la Contraloría, solo el 7% de las 265 entidades públicas analizadas se encuentra en un nivel avanzado de madurez digital. Peor aún, 103 instituciones operan en un nivel incipiente, con debilidades en áreas críticas como gobernanza, respuesta a incidentes, capacitación y gestión de seguridad de la información.

Algunos datos que preocupan:

  • 145 instituciones no capacitan a su personal TIC.
  • 194 no cuentan con un plan de formación tecnológica.
  • 167 no saben si han sufrido incidentes de ciberseguridad.

Avances: luz entre las sombras

No todo es negativo. Se ha observado un aumento en la demanda de servicios de monitoreo, la adquisición de herramientas antimalware y una mayor conciencia sobre la importancia de la ciberseguridad. El Micitt ha impulsado una estrategia nacional que prioriza infraestructura crítica, cooperación internacional, actualización legal y formación técnica.

“La ciberseguridad pública en Costa Rica cobró vital importancia”, destaca Hernando Segura, CEO de True Sec. Pero los especialistas advierten que los retos superan a los logros.

Los grandes pendientes

Los informes coinciden en que el mayor obstáculo es la falta de alineamiento y gobernanza. Andrés Casas, socio de la firma Brakk, lo resume así:

“El mayor desafío es la conciencia al nivel más alto de gobernanza. No debe verse como un tema técnico, sino estratégico. Un ataque puede paralizar servicios básicos y afectar directamente al ciudadano.”

Además, sigue pendiente desde 2022 la aprobación de la Ley de Ciberseguridad, que crearía una Agencia Nacional de Ciberseguridad. Esta ley es clave para articular esfuerzos, establecer estándares y garantizar una respuesta coordinada frente a amenazas cada vez más sofisticadas.

Conclusión: ¿estamos preparados?

La respuesta es matizada. Existen avances, pero insuficientes. Mientras algunas entidades comienzan a estructurar sus planes de ciberseguridad, otras operan prácticamente a ciegas, sin monitoreo, protocolos de respaldo ni planes de capacitación.

Costa Rica está mejor que en 2022, pero no lo suficiente. La ciberseguridad requiere inversión, talento, legislación, monitoreo, cultura institucional y voluntad política. La próxima gran amenaza digital no preguntará si estamos listos. Simplemente llegará.

Fuentes: Contraloría General de la República (CGR) – El Financiero

#CiberseguridadCR #GobiernoDigital #InfraestructuraCrítica #EstrategiaDigital #TransformaciónDigital​

Share This Post
Jorge Gutiérrez Guillén

With over 14 years of experience in auditing and financial consulting, I am the founder and managing partner of JGutierrez Auditores Consultores S.A., a boutique firm committed to delivering exceptional services that exceed industry benchmarks while driving value-oriented solutions for our clients. Guided by a mission to foster transparency, efficiency, and sustainability, we integrate global best practices with a deep understanding of Costa Rican and regional regulations, always adhering to the core values of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we specialize in comprehensive audit and consulting solutions, tailored to meet the diverse needs of modern businesses. Key areas of focus include: Financial Audits: Ensuring the accuracy and reliability of financial statements, aligned with international standards. Regulatory Compliance: Navigating tax and financial frameworks with precision and foresight. Internal Controls: Assessing and strengthening internal governance to mitigate risks and enhance operational efficiency. Fraud Prevention: Implementing proactive measures to safeguard assets and promote ethical practices. Process Optimization: Streamlining workflows and maximizing resource allocation for sustainable growth. Environmental and Financial Sustainability: Addressing emerging regulations to support long-term organizational resilience. Information Security: Ensuring robust safeguards for critical data and systems. Value-Driven Consulting In addition to auditing, we deliver specialized consulting services designed to empower businesses through strategic insights and innovation: Information Systems and Operational Management: Aligning technology and operations for peak performance. ISO Standards Compliance: Guiding organizations in achieving internationally recognized certifications. Transfer Pricing Studies: Ensuring alignment with global tax requirements and optimizing cross-border operations. Industrial Cost Analysis: Enhancing decision-making through detailed cost assessments and efficiency strategies. Why Choose Us Our approach is built on collaboration, leveraging the expertise of a multidisciplinary team that combines seasoned professionals with emerging talent adept in cutting-edge technologies. This dynamic blend of experience and innovation enables us to deliver impactful solutions that drive growth, fortify resilience, and unlock new opportunities for our clients. As a trusted advisor, I am deeply committed to fostering long-term partnerships, helping organizations thrive in an ever-evolving business landscape. Jorge Gutiérrez Guillén Business Consultant | Certified Public Accountant

Related Articles

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.