La creciente dependencia de la tecnología y la digitalización de los procesos en el sector público ha llevado consigo un aumento de las amenazas cibernéticas. Los ataques cibernéticos pueden tener un impacto devastador en la confidencialidad, integridad y disponibilidad de la información crítica y sensible del gobierno, así como en la operación y la confianza de la ciudadanía en las instituciones públicas. En este informe, se presenta la importancia de fortalecer la ciberseguridad en el sector público y se proporcionan recomendaciones para proteger los activos digitales de posibles ciberataques.

Como todo proceso de transformación, hay nuevos retos y desafíos. Conforme la sociedad avanza en su digitalización, resulta más crítico gestionar los riesgos asociados a la brecha digital, entendida como las barreras de acceso y uso a los servicios públicos digitales; la capacidad de infraestructura de telecomunicaciones, que puede afectar el funcionamiento del sector público o privado; y la ciberseguridad, pues la pérdida o robo de información implica costos importantes para la Hacienda Pública y la sociedad[1].

Según la empresa Axa[2], los riesgos de ciberseguridad ocuparon el tercer lugar en relevancia en 2022; por su parte, el Foro Económico Mundial[3] catalogó las amenazas de ciberseguridad como el quinto riesgo con mayor potencial de impacto a escala global en 2023 y el octavo riesgo en severidad para los próximos diez años; mientras que la empresa RSM[4] reseñó que se daba un ataque cada 39 segundos en 2019.  Es tal su relevancia que en algunos países la ciberseguridad ha llegado a gestionarse como un elemento básico de seguridad nacional[5]. 

Para dimensionar mejor el panorama es preciso comprender la importancia que tiene la información en el mundo actual: cada día se generan, transfieren y utilizan datos a gran escala y de gran valor. La información se ha constituido en un activo que tiene valor por sí mismo, pues facilita la toma de decisiones de múltiple naturaleza, desde aspectos intrínsecamente operativos hasta los elementos más estratégicos de la formulación, ejecución y evaluación de las políticas públicas. Además, en la actualidad gran parte de la información sensible se encuentra digitalizada, tal es el caso de información personal en áreas como registros médicos, financieros, de propiedad u otros, datos de mucha criticidad desde la óptica de seguridad personal.

Del mismo modo, cada vez mayor parte de los procesos e información institucional se encuentra digitalizada o en la web. Esta tendencia se aceleró desde el inicio de la pandemia de Covid-19, según una consulta realizada por la CGR en junio de 2020 a 89 instituciones que prestan servicios críticos, el 72% indicó haber digitalizado procesos al inicio de la pandemia, mientras que el 30% señaló haber realizado gastos adicionales en tecnología.

En esta línea, conviene acotar que una condición necesaria (aunque no suficiente) para capitalizar al máximo las oportunidades que brinda la transformación digital es la gestión de los riesgos cibernéticos. Esto implica conocer las amenazas y las vulnerabilidades que enfrentan las instituciones públicas, para así direccionar los recursos y continuar avanzando en la digitalización, además, reconociendo el rol de la ciberseguridad en la protección de datos sensibles de las personas y como un elemento relevante para la confianza de la ciudadanía en la institucionalidad pública.

En este contexto, en 2022 el país experimentó su primera emergencia cibernética de gran escala contra instituciones públicas. Concretamente, un grupo de diez instituciones fue objeto de ataques a conexiones informáticas o mediante el uso de ransomware. El recuento de algunos daños permitió identificar la pérdida de operatividad de los sistemas informáticos; el robo de información o fuga de datos, que según señala la Comisión Nacional de Prevención de Riesgos y Atención de Emergencia (CNE) fue publicada posteriormente por el grupo criminal; y el cifrado de información, en la que estos grupos codifican los datos para restringir el acceso a la institución con el fin de solicitar un rescate económico.

La magnitud fue tal que la revista Forbes[6] catalogó los ataques como uno de los cuatro más grandes de 2022, junto a los experimentados en México (contra la Secretaría de Defensa Nacional), Australia (contra Optus, empresa de telecomunicaciones) y Estados Unidos (contra la plataforma Uber). Los ataques también fueron destacados por el sitio Check Point[7] como uno de los más relevantes del año.

Ante este panorama, la Contraloría General de la República presenta este informe de Opiniones y Sugestiones, con el propósito de proveer insumos técnicos desde una óptica de valoración de riesgos a la Asamblea Legislativa para el ejercicio de sus funciones de control político y formación de leyes. El documento está estructurado de la siguiente forma: en primer lugar se analizan los costos para la Hacienda Pública y la ciudadanía ocasionados por los ciberataques, la siguiente sección corresponde a la valoración de la vulnerabilidad y amenazas cibernéticas en el sector público, y por último, se presentan las consideraciones finales y recomendaciones que consideran los aprendizajes, producto de la emergencia, para enfrentar y gestionar futuras amenazas.