Monitoreo más reciente: DFOE-FIP-MTR-00034-2025 | Conclusiones sobre la ejecución presupuestaria del Sector Público, al mes de junio de 2025
31 de agosto de 2022
5 minutos de lecturaTres días después del primer ataque, realizado contra el Ministerio de Hacienda el 18 de abril, el Poder Ejecutivo emitió la Directriz N° 133- MP-MICITT, mediante la cual se estipula que la Administración Central cumpla las recomendaciones y medidas técnicas que promulgue la Dirección de Gobernanza Digital y el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT); y a su vez, se insta a la Administración Pública Descentralizada a seguir estas mismas medidas. Además, se señala la obligación de las instituciones de reportar los incidentes que ocurran y que pongan en riesgo la confidencialidad, la disponibilidad o la continuidad de los servicios, así como los dominios web de las instituciones públicas. Posteriormente, el 11 de mayo, se declaró Estado de Emergencia Nacional en todo el Sector Público Costarricense, debido a estos ciberataques[1].
A raíz de lo anterior, una entidad puede tener afectaciones sobre la información, deterioro a la operativa institucional, y afectación a la persona usuaria y al servicio público, según se observa en el siguiente diagrama. Particularmente, las vulneraciones a la información se pueden dar en tres sentidos: 1) en confidencialidad, cuando el ataque cibernético permite el acceso a información restringida o confidencial; 2) en relación con la integridad; y 3) cuando se afecta la disponibilidad de la información y se restringe su uso.
Figura N.° 1: Posibles afectaciones ante ciberataques.
Ante esto, es necesario considerar la seguridad de la información[2] como un elemento fundamental en la Administración Pública, ya que permite la protección de los activos de la información y los componentes digitales, necesarios para brindar los servicios públicos en forma eficiente y oportuna.
En síntesis, los ataques cibernéticos en contra de instituciones del sector público, generan afectaciones sobre la estructura de funcionamiento de los sistemas de información y consecuentemente sobre la gestión institucional y la disponibilidad de información necesaria para la provisión de servicios públicos y la rendición de cuentas.
Al respecto, dentro de las instituciones con mayor afectación, se ubican el Ministerio de Hacienda y la Caja Costarricense del Seguro Social (CCSS), quienes desconectaron sus sistemas de información como medida preventiva ante los ataques.
En el caso del Ministerio de Hacienda, el Sistema Integrado de Gestión de la Administración Financiera (SIGAF), es el sistema transaccional base que es fuente de información fundamental agregada sobre la ejecución del Presupuesto de la República, tanto por el lado del ingreso como por el lado del gasto. Es decir, las entidades gestoras realizan directamente la ejecución presupuestaria en este sistema.
Por el lado del gasto, el impacto sobre este sistema implica una pérdida en la capacidad de mantener un seguimiento constante e integral a la evolución del gasto ejecutado vigente, por parte de los tomadores de decisiones. Esto puede incidir en la verificación de que el gasto en sus diversos componentes se mantenga dentro de los límites autorizados en el presupuesto, así como que lleve una tendencia controlada hacia el cumplimiento de la regla fiscal[3].
En lo que respecta a la ejecución de ingresos, también se presenta un rezago en los registros. El sistema de Administración Tributaria Virtual (ATV), fue desconectado como medida preventiva ante los ataques cibernéticos, y el sistema de Tecnología de Información para el Control Aduanero (TICA) también debió ser suspendido[4]. Ambos generan información básica para alimentar el sistema SIGAF que consolida la información de los ingresos y gastos del Presupuesto Nacional. La anterior situación dificultó la operatividad de las transacciones y el debido seguimiento de la recaudación[5], lo que podría haber impactado la recaudación y afectar la integridad de las cifras.
El restablecimiento de las plataformas de información del Ministerio de Hacienda se empezó a dar en diferentes fechas[6]. En particular, la Dirección General de Contabilidad Nacional indicó que el SIGAF inició la apertura el 29 de junio de 2022 y que desde ese momento se inició el proceso de actualización de la información[7]. No obstante, al 30 de agosto de 2022, la información definitiva sobre presupuesto se encuentra disponible hasta el mes de marzo.
A su vez, esta salida de operación de los sistemas informáticos del Ministerio de Hacienda relacionados con la ejecución presupuestaria, ha demorado la generación de informes periódicos por parte de la Administración sobre los resultados físicos de la gestión institucional[8], pues es insumo básico para su preparación. Tradicionalmente[9], estos informes consolidan la información relacionada con la producción de bienes y servicios (finales e intermedios), su cuantificación por medio de unidades de medida e indicadores de gestión (economía, eficiencia, eficacia y calidad) para las entidades del Presupuesto de la República[10].
Con respecto a las afectaciones relacionadas con la información financiera y presupuestaria de la CCSS[11], al 12 de julio de 2022, la Dirección de Tecnologías de Información y Comunicación se encontraba valorando medidas para restablecer gradualmente los sistemas informáticos y bases de datos de manera segura, para lo cual se estableció una hoja de ruta para la rehabilitación de las funcionalidades tecnológicas prioritarias, según lo definido por las gerencias institucionales.
En resumen, la emergencia nacional de ciberseguridad afectó la disponibilidad de información presupuestaria agregada del Presupuesto Nacional al primer semestre 2022, lo que ha generado vacíos en el seguimiento de la recaudación de ingresos y la ejecución de los gastos, así como retrasos en la emisión de informes periódicos pertinentes para el monitoreo y evaluación del uso de los recursos públicos. En similar situación se encuentra la información presupuestaria de la Caja Costarricense del Seguro Social, impactándose así la disponibilidad de información sobre la ejecución del presupuesto de dos de los actores más grandes en términos relativos del Sector Público.
Resulta relevante considerar que mantener información continua sobre la evolución de las variables fiscales y presupuestarias favorece la construcción de conocimiento y criterio sobre la forma en que la Administración va conduciendo la gestión pública a lo largo del ejercicio, de modo que se pueda ejercer la necesaria fiscalización concomitante de la ejecución del presupuesto, prevista en el artículo 184 de la Constitución Política como atribución del órgano contralor.
Esta importante función de fiscalización sobre la marcha, se ve en algún grado afectada por la ausencia de la información completa y oportuna que generó la situación del ciberataque, y ha quedado reflejada en esta oportunidad en la falta de información que permitiera a esta Contraloría referirse a temas como el del gasto en remuneraciones y transferencias del Presupuesto de la República al finalizar el primer semestre -entre otros- con el enfoque de evolución histórica que acostumbre utilizar en sus informes a la Asamblea Legislativa y la ciudadanía.
Además de lo anterior, si bien es cierto que, como se ha indicado en párrafos anteriores, se observan acciones dirigidas a levantar y poner al día los sistemas, esta Contraloría considera importante que el Ministerio de Hacienda realice, con suficiente antelación, las coordinaciones y demás acciones necesarias que garanticen que la información relativa a la liquidación final del presupuesto y demás informes de cierre previstos en la Ley de la Administración Financiera de la República (artículo 52) serán presentados íntegra y puntualmente en los plazos establecidos al efecto, con la información pertinente en forma completa y mutuamente consistente, y disponibilidad en versión electrónica que permita su análisis y dictamen a un nivel de detalle, profundidad y certidumbre no menor que el acostumbrado hasta el momento.
La atención de este particular es de suma importancia para efectos de asegurar el correcto desarrollo del proceso de rendición de cuentas en que participan los Poderes Ejecutivo y Legislativo con ocasión del cierre del ejercicio económico, proceso que se ilustra en la siguiente figura.
Figura N.° 2: Proceso de rendición de cuentas públicas
En conclusión, los cierres de sistemas de información realizados por el Ministerio de Hacienda y la Caja Costarricense del Seguro Social a raíz del ataque cibernético perpetrado en abril pasado, han calado negativamente en la disposición de información necesaria para la fiscalización del presupuesto en su etapa de ejecución, tan relevante para la toma de decisiones relativas a la conducción de la gestión pública durante dicha etapa, y conducen a alertar sobre la necesidad de tomar las medidas necesarias para garantizar que esta afectación no vaya a extenderse a la etapa de liquidación, de modo que los informes y los sistemas que proveen la información respectiva no pierdan, en lo más mínimo, sus condiciones de oportunidad, completitud, consistencia y confiabilidad, con miras a un adecuado cumplimiento del proceso de rendición de cuentas en esta materia, tan necesario para la buena marcha de la democracia y el bienestar de la ciudadanía.