La Contraloría General de la República identificó una serie de vulnerabilidades de seguridad en la información y ciberseguridad de la plataforma tecnológica en la infraestructura del Sistema de Emergencias 9-1-1.
Así lo evidenció por medio de un informe de auditoría, elaborado entre el 1° de enero de 2022 y el 31 de mayo de 2024, cuyo objetivo era determinar los controles de seguridad de la información. Dentro de las debilidades se encontró que está pendiente la actualización de la política de seguridad de la información y la carencia de procedimientos para garantizar la gestión de riesgos.
“La ausencia de un Sistema de Gestión de Seguridad de la Información impide contar con herramientas integradas a la gestión institucional para proteger la información, considerando su sensibilidad y criticidad para la atención eficaz y oportuna de las emergencias”, indica el estudio.
Por medio de la contratación de una consultoría en 2023, cuyo costo ascendió a los $25.000, se elaboraron algunos documentos que no se han revisado, como la actualización de la política de seguridad de la información, el instructivo para el plan de capacitación en seguridad de la información y la política de respaldos.
La auditoría también identificó deficiencias en controles para preservar los activos tecnológicos y de información que soportan los procesos institucionales. A pesar de que el ente ha implementado servicios para su plataforma tecnológica y cuenta con un profesional en ciberseguridad, le faltan protocolos para la atención de incidentes, según el informe.
PRUEBAS
Por medio de pruebas no intrusivas de seguridad de la información y ciberseguridad, la auditoría detectó flaquezas en la infraestructura externa e interna relacionadas con el resguardo de información restringida, protección de activos y gestión de usuarios.
“Al cierre de la presente auditoría, no se habían atendido estas vulnerabilidades; pues la Administración señaló que se encuentra en proceso de cambio y actualización de equipos durante el segundo semestre de 2024, así como en el traslado de sus instalaciones hacia nuevos sitios”, dijo la Contraloría.
Además, advirtió que estas deficiencias pueden ser explotadas por atacantes para afectar el funcionamiento de los sistemas institucionales y la continuidad de los servicios, al igual que la confidencialidad y disponibilidad de los datos.
Por este motivo, las autoridades solicitaron al 9-1-1 elaborar e implementar un plan de remediación de las observaciones comunicadas para el 31 de octubre a más tardar.
CIBERSEGURIDAD
Andrés Corrales, experto en temas de ciberseguridad, externó que resulta vital conocer las categorías y tipos de datos que se manejan en el sistema informático del 9-1-1. “Si bien es cierto, el informe indica que existen iniciativas enfocadas en proteger la información, también (…) señala que falta mucho trabajo por hacer para garantizar una correcta custodia de los datos”, recalcó.
Asimismo, explicó que ante un eventual ciberataque los datos podrían verse comprometidos y ser de fácil acceso para los criminales. “(…) Los pueden utilizar para engañar a los titulares de la información o inclusive para crear estafas cibernéticas, con falsas ofertas de trabajo”, agregó.
DIARIO EXTRA consultó al Sistema de Emergencias 9-1-1 sobre los señalamientos de la auditoría e indicó que se están realizando mejoras. “Debido a lo delicado del tema y por la misma seguridad de la información, no nos podemos referir al fondo del asunto y sí garantizamos a la población que toda la información de la atención de los reportes de emergencia tiene las medidas de seguridad máximas para minimizar cualquier riesgo”, dijo la institución.
OPINA
Andrés Corrales
Abogado especialista Tecnologías de Información Redes Sociales
“Dependiendo del tipo de datos, se pueden utilizar para engañar a los titulares de la información o inclusive para crear estafas cibernéticas”.