No es posible decir contundentemente que hubo negligencia del Ministerio de Hacienda o de la Caja Costarricense de Seguro Social (CCSS) en relación con los ataques cibernéticos que forzaron a ambas instituciones a suspender, o deteriorar, los servicios brindados a los ciudadanos. Existen muchos indicios, pero transcurridos cinco meses desde el primer ataque aún no se publica un informe oficial de los acontecimientos.
Se dice que en ambas instituciones había software desactualizado. Esto calificaría como negligencia extrema, ya que el costo de las actualizaciones está incluido en la adquisición del programa informático. Las actualizaciones periódicas de casi todos los software se dan por tres razones: para corregir funciones erróneas y agregar nuevas y para eliminar vulnerabilidades de seguridad detectadas.
Cuando una versión nueva está disponible, los proveedores de los sistemas la envían a todos sus clientes, quienes deben instalarla. Cuando se toma la decisión consciente de no instalar una nueva versión (“por estar muy ocupados”) se está asumiendo un riesgo adicional, pues las vulnerabilidades eliminadas por la nueva versión ahora son anunciadas por el proveedor. Decir que la falta de actualización de software es causal de despido sin responsabilidad patronal es una verdad de Perogrullo. Por eso, deberíamos presumir la inexistencia de software desactualizado en ambas instituciones, pues no hemos sabido de despidos.
Por otra parte, cuando los sistemas migran a la nube, la responsabilidad de mantener actualizado el software base (sistemas operativos, manejadores de bases de datos, etc.) se transfiere al operador de la nube, y los funcionarios pierden la posibilidad de estar demasiado ocupados para actualizar el programa. También se pierde la necesidad de estar comprando hardware que sufre desperfectos y pronto llega a ser obsoleto. Así las cosas, no entendemos por qué los funcionarios, casi por unanimidad, decidieron ignorar el decreto y la directriz del 2012, que instruía la migración a la nube.
También se ha sabido de un control de usuarios desactualizado, es decir, usuarios que dejan la institución, pero su identificación y contraseña siguen funcionando en el sistema durante años. No obstante, cuando se produce un movimiento de personal, lo correcto es actualizar el control de usuarios para reflejar la nueva situación, incluidos los movimientos de un puesto a otro cuando implican nuevos permisos de acceso a sistemas y datos. Si cientos de usuarios desvinculados de las instituciones tenían acceso al sistema, es negligencia extrema y un atentado contra el bien público.
No está confirmado, porque no se ha publicado ningún informe, pero vale la pena investigar si meses antes de los ataques, en la red oscura (dark web) se vendieron credenciales de administradores del sistema (sysadmin). Si eso es cierto y nadie se dio cuenta, podríamos tener otro caso de negligencia por no recabar inteligencia sumamente útil y fácil de encontrar. Precisar la autoría de la venta para arrestar al culpable no es fácil, pero saber de la venta es mucho más sencillo si un experto revisa de manera regular.
También sería un descuido inaceptable recortar presupuestos de productos de software para proteger o analizar el comportamiento de las redes. Al parecer, antes de los acontecimientos de este año, recortar presupuesto de ciberseguridad era muy fácil y nadie lo cuestionaba. Esta falta de cuestionamiento es, sin duda, negligencia.
Se ha demostrado en otros países que el arma más útil en la guerra cibernética es la información técnica sobre cómo se efectuaron los ataques en otros sitios. En muchos países, la divulgación de la información es obligatoria, aun en el caso de las empresas privadas. La divulgación de los detalles de los ataques contra el Ministerio de Hacienda y la CCSS es necesaria y urgente. Ojalá no prevalezca la opacidad.
