Las amenazas cibernéticas llegaron para quedarse y evolucionan constantemente hacia métodos de ataque más sofisticados. Ante este panorama es importante analizar las implicaciones y los costos que esto tiene para la Hacienda Pública y la sociedad en general, con el fin de contribuir a la reflexión y el aprendizaje a la luz de las vulnerabilidades existentes.

De acuerdo con la literatura[1], se reconocen tres tipos de costos asociados al cibercrimen. En primera instancia, un costo de anticipación, el cual agrupa todos aquellos gastos en los que incurren las organizaciones para prevenir ser víctimas de un ciberataque, por ejemplo, las erogaciones en tecnología para proteger los equipos (antivirus, firewalls, vacunas u otros de esta naturaleza), inversiones en capacitación y entrenamiento para sensibilizar al personal, seguros, entre otros.

En segundo lugar, se identifica un costo de respuesta, el cual considera el gasto asociado a las acciones que se ejecutan para atender los daños ocasionados por un ciberataque, con el fin de que las organizaciones puedan retornar a su actividad usual. Dentro de este grupo se encuentran gastos por equipos de respuesta (recurso humano especializado necesario para atender la situación), posibles pagos o compensaciones extraordinarias (por ejemplo, pago de horas extras al personal para realizar las revisiones y diagnósticos necesarios, procesar información manual u otros), mejoras requeridas en la infraestructura tecnológica, aumento del gasto en TI, entre otros.

Por último, los costos asociados a las consecuencias de un ciberataque, tal es el caso de una disminución en la eficiencia interna en las instituciones, pérdidas económicas para el sector productivo, disminución de ingresos, la pérdida de información, afectaciones a la imagen de las organizaciones, afectaciones a las personas usuarias, entre otros ocasionados por la interrupción de los servicios. Cabe destacar que cuando el ataque se realiza contra instituciones públicas, estos costos son asumidos tanto por el sector público como por el sector privado y la ciudadanía.

Para conocer con mayor detalle los costos asociados a efectos negativos producto de los ciberataques, la CGR efectuó una consulta a las instituciones que permitió identificar pérdidas de eficiencia interna, la cantidad de trámites y servicios afectados y los ingresos institucionales no percibidos.

En lo que atañe a pérdidas de eficiencia interna, se identifican costos por una mayor lentitud, paro de labores o recarga de funciones técnico administrativas para el personal, debido a la inhabilitación de los sistemas informáticos, con una afectación de al menos 45.535 personas funcionarias. Además de la afectación en las labores del personal, las instituciones han mencionado que los ciberataques provocaron atrasos en sus procesos (atención médica, disponibilidad de información digital actualizada, gestión de cobro), sin embargo, hasta el momento no se ha logrado cuantificar adecuadamente la magnitud de estos atrasos debido a la ausencia de datos e información en las instituciones.

Las afectaciones al personal también se reflejan en los resultados de la Encuesta Nacional de Percepción de los Servicios Públicos (ENPSP) 2023 de la Contraloría General[7]. En particular, el 57,9% del personal consultado indicó que los ciberataques han afectado su labor ordinaria en la institución; además, el 28,6% indicó que la afectación fue “muy alta”, mientras que el 42,2% opinó que fue “alta”.

Aunado a esto, los procesos de respuesta y recuperación han sido extensos y entre más tiempo se extiendan, mayor es la pérdida de eficiencia. Por ejemplo, aunque el Ministerio de Hacienda había definido un plazo máximo de interrupción de los sistemas que iba de 2 hasta los 8 días, dentro del cual se esperaba que no se produjeran daños irreparables[8], los plazos de interrupción de servicios han oscilado entre un mínimo de 56 días (para el sistema ATV, Administración Tributaria Virtual) y un máximo de 204 (para Tributación Digital)[9].

Cada día en que las instituciones operan por debajo de su capacidad máxima se traduce en un costo en su operación. Desde la perspectiva presupuestaria, las erogaciones continúan ejecutándose, a pesar de la interrupción de los sistemas, pero con una menor efectividad, en razón de la pérdida de eficiencia que implica realizar labores manuales, por lo que el cumplimiento de los objetivos institucionales se ve claramente afectado. 

Así las cosas, si se toma como referencia el gasto ejecutado en 2022 por 8 de las instituciones atacadas, y suponiendo que un ataque imposibilita que la institución lleve a cabo sus actividades y procesos habituales (es decir, inhabilitación de su operativa) hasta en un  25%, por un periodo de 60 días, se tiene que el costo de oportunidad de un ciberataque ascendería al menos a un 0,47% del PIB, escenario que resulta conservador considerando que la pérdida de funcionalidad de las instituciones atacadas alcanzó hasta 204 días en algunos procesos.

Ante un ciberataque, es posible que una institución se posicione en algún porcentaje de inhabilitación representado entre los escenarios establecidos en el gráfico anterior, pues progresivamente el sector público desarrolla una mayor dependencia tecnológica, producto de un proceso de transformación digital que no va a dar marcha atrás.

Por otro lado, la interrupción de los servicios a raíz de los ciberataques también puede implicar pérdidas de ingresos para las instituciones. Sobre este punto, se reportó en el MTSS un atraso en la captación de ingresos por ₡1.431 millones por concepto de cuotas obrero patronales que deben recibirse por parte de la CCSS y en JASEC por ₡93 millones por venta de servicios no se efectuaron durante el periodo de interrupción de los sistemas, no se indicó por parte del Ministerio de Hacienda, Ministerio de Salud y la CCSS afectaciones en ingresos no percibidos. Estos retrasos pueden provocar pérdidas financieras en los ingresos de estas instituciones.

Otro aspecto relevante relacionado se asocia a la pérdida de información. La información es uno de los principales activos de cualquier organización pública o privada, debido a que permite la continuidad en las operaciones y representa un insumo indispensable para la toma de decisiones. En otras palabras, ante la ausencia de información se pierde la brújula que orienta la toma de decisiones, desde aquellas de carácter operativo de plazo inmediato hasta las estratégicas de largo plazo.

Tal como señala la ONU[10], “sin datos de alta calidad que proporcionen la información correcta sobre las cosas correctas en el momento oportuno, es prácticamente imposible tener políticas eficaces”. En la misma línea, la OCDE[11] destaca que la información es un prerrequisito fundamental para generar valor público en sus diferentes etapas: en la planificación, para diseñar las políticas e intervenciones, mapeando las necesidades presentes y futuras; durante la implementación de las políticas, para conocer los resultados que se van generando; y para la evaluación y monitoreo, medir impacto, desempeño y evaluar las decisiones tomadas.

El valor de la información trasciende la toma de decisiones, también incide en la confianza, la transparencia y la rendición de cuentas. Por ejemplo, proveer una mayor apertura y acceso a la información estimula y fortalece el control ciudadano y facilita el desarrollo de servicios públicos más centrados en las necesidades de las personas, más confiables y más abiertos. Los ciberataques repercuten directamente en la rendición de cuentas y la transparencia de las instituciones en la forma de pérdida de información y confiabilidad de los datos.

Es tal su valor que los grupos criminales cobran un rescate, en el caso del Ministerio de Hacienda y la CCSS dicha petición ascendió a US$10 millones y US$5 millones, respectivamente. Sumado a lo anterior, la pérdida de información puede comprometer la seguridad nacional, dependiendo del grado de confidencialidad o sensibilidad de los datos que sean filtrados o modificados.

Además, aunque pueden existir medidas alternativas para recuperar esa información, estas implican indagaciones y análisis asociados a procesos manuales que retrasarían de forma considerable la gestión institucional e implican un gran esfuerzo y tiempo del personal, así como mayor probabilidad de error humano de transcripción o interpretación. Ahora bien, si una institución no logra determinar una forma de recuperar esa información, que puede ser crítica y cuantiosa, los costos, más allá de lo económico,  podrían implicar una crisis institucional y una afectación directa a su reputación e imagen.

Los ciberataques también afectaron la disponibilidad de información financiera y fiscal relevante para la toma de decisiones. De acuerdo con el Programa Estado de la Nación[12], los ciberataques evidenciaron que “(...) la disponibilidad y apertura de la información fiscal no solo es más limitada, sino que, a la fecha, no se han logrado reestablecer los registros históricos”.

Asimismo, las afectaciones en la disponibilidad y calidad de la información presupuestaria fueron señaladas por la CGR desde el pasado mes de junio[13]. En concreto, se indicó que la inhabilitación del sistema SIGAF (Sistema de Información para la Gestión de la Administración Financiera) implicó la pérdida en la capacidad de mantener un seguimiento constante e integral a la evolución del gasto ejecutado; la verificación de que el gasto en sus diversos componentes se mantenga dentro de los límites autorizados en el presupuesto; así como el análisis de su evolución. En lo que respecta a la ejecución de ingresos, también se presentó un rezago en los registros, producto de la desconexión de los sistemas ATV y TICA.

La fiscalización que efectúa la Contraloría General sobre la liquidación de ingresos y egresos del Presupuesto de la República permitió determinar que existieron efectos significativos que incidieron en la integridad y razonabilidad de la ejecución presupuestaria en 2022. Lo anterior debido a que los retrasos en los registros y la pérdida de información generó incertidumbre y errores respecto a los saldos de las partidas.

Para el caso del Ministerio de Obras Públicas y Transportes, las condiciones y carencia de información impidieron por completo emitir una opinión con respecto a la liquidación presupuestaria, por parte de la Contraloría General, al igual que en el caso de los Regímenes Especiales de Pensiones[14]. Los ciberataques también han implicado una pérdida de oportunidad en la información presupuestaria del sector público descentralizado, situación que fue alertada por la CGR[15]. A la fecha de elaboración de este informe, la CCSS no ha presentado su informe de liquidación presupuestaria 2022 y no registra información en el Sistema de Información de Planes y Presupuestos más allá de noviembre de 2022.

Estas situaciones redundan en que no es posible conocer el nivel de gasto público general y consolidado del país en 2022, toda vez que la institución con mayor presupuesto (CCSS) no dispone de información, mientras que las cifras del Presupuesto de la República son imprecisas, o bien no cuentan con el nivel de detalle requerido para tener un panorama actual.

Si bien los costos ligados a la pérdida, falta de disponibilidad o detalle de la información no se han monetizado, es preciso tener claridad que forman parte de los costos asociados a los ciberataques. Esto es de suma gravedad, pues repercute en la toma de decisiones, erosiona la transparencia y dificulta la rendición de cuentas,  al tiempo que pone en riesgo la continuidad de los servicios, la privacidad de las personas e incluso puede ocasionar pérdidas irreparables en el patrimonio documental. Lo anterior deriva en una pérdida de confianza hacia la institucionalidad pública.

Asimismo, los ciberataques han implicado un notorio obstáculo para la transparencia y rendición de cuentas, como señalan las propias instituciones. Según una consulta de la Contraloría General, las instituciones atacadas indicaron atrasos en la entrega de información a las unidades de auditoría interna, falta de disponibilidad de información en las páginas web institucionales y uso de mecanismos manuales que dificultaron la eficiente rendición de cuentas, ello ante la inhabilitación de los sistemas operativos, financieros y de contratación administrativa, que perjudica la disponibilidad y trazabilidad de la información.

En este punto conviene realizar una observación: la falta de brújula (o su desorientación), las afectaciones en transparencia y rendición de cuentas ante la pérdida o rezago en la generación de información debido a los ciberataques, son elementos que socavan la institucionalidad. Parte fundamental del ejercicio democrático es el foco hacia la ciudadanía, tanto en la toma de decisiones de política pública como en desarrollar los grados mínimos de apertura y transparencia que faciliten dar cuenta de las actuaciones y sus fundamentos. En esto consiste la “revolución de los datos”:  la posibilidad de abordar el desarrollo sostenible mediante el acceso a la información (ONU, 2014).

En lo que atañe a consecuencias que también afectaron a la ciudadanía, destaca la interrupción de trámites y servicios. En concreto, las instituciones reportaron la interrupción de 49 tipos de trámites y servicios relacionados con la administración aduanera, recaudación de impuestos, cobro a patronos morosos, pago de proveedores y salarios, atención médica, servicios de facturación, cobro por venta de servicios y pagos en línea, entre otros. Solo los Ministerios de Hacienda, Trabajo y Seguridad Social y Salud proveyeron un detalle de los servicios y trámites comprometidos.

Los ciberataques también tuvieron consecuencias para el sector productivo. Lo anterior se reflejó en el sector de comercio exterior, pues la caída del sistema TICA (Tecnologías de Información para el Control Aduanero) durante 66 días ocasionó retrasos en la gestión de pago e interconexión de los puntos aduaneros. A su vez, esto generó reacciones de parte de diversas cámaras empresariales y sectores de la economía que manifestaron la imposibilidad para gestionar los trámites de nacionalización, redestinos o anticipos de cargas, lo que condujo a retrasos en la entrega de mercancías, la reestructuración de la logística y pérdidas económicas para las empresas[16], así como posibles afectaciones a la producción nacional.

A la fecha de elaboración del presente informe, no se ha procesado toda la información que se registró manualmente. En particular, el Ministerio de Comercio Exterior señaló en su Informe anual 2022 a las metas del Plan Nacional de Desarrollo y de Inversiones Públicas del 2019-2022[17] que a pesar de contar con cifras parciales publicadas por el Banco Central de Costa Rica, no se ha reconstruido toda la información sobre comercio exterior del periodo abril-junio del año anterior.

Las consecuencias de los ciberataques trascienden el mundo digital y afectan directamente el bienestar de las personas. A modo de ejemplo, para maximizar la eficacia de una consulta externa (general o especializada), el personal médico requiere sistemas que le permitan acceder con facilidad a información sobre imágenes, exámenes de laboratorio, recetas de farmacia, consultas previas y en general todo el expediente médico de cada paciente. Esta cadena, sencilla de intuir, se vio afectada por la inhabilitación del sistema EDUS (Expediente Digital Único en Salud) de la CCSS. En el caso del Ministerio de Salud, se interrumpió el flujo de información relacionada con el proceso de donación, trasplante y asignación de órganos, así como en la gestión de la vigilancia epidemiológica relacionada con el Covid-19 .

La situación ocurrida también generó afectación en pensiones del régimen de Invalidez, Vejez y Muerte,  pues si bien las pensiones fueron revaloradas en mayo de 2022, el pago retroactivo pudo hacerse efectivo hasta en agosto[18], afectando el flujo de ingresos de las personas pensionadas. Asimismo, la habilitación de servicios de pago de contribuciones sociales se dio hasta agosto[19], lo que dificultó el pago de obligaciones con la CCSS, con las consecuencias que esto conlleva para patronos, trabajadores independientes y asegurados.

En cuanto al impacto a la afectación por la interrupción de los servicios de salud, la CCSS identificó afectaciones en las listas de espera y reprogramación de citas, específicamente en procedimientos quirúrgicos, consulta externa, procedimientos ambulatorios, laboratorio y radiología e imágenes que constituyeron un total de 158.255 reprogramaciones durante los meses de junio a septiembre de 2022.

En gran medida, estos costos fueron asumidos por la ciudadanía en la forma de tiempos de respuesta más largos, alternativas más costosas e inclusive llegando a convertirse en mensajeros para trasladar información de una ventanilla a otra en la misma institución. Lo anterior se evidencia en los resultados de la ENPSP 2023, donde se observa que el 74,1% de las personas encuestadas indicaron que los servicios médicos no fueron restablecidos rápidamente ante la caída de los sistemas, además, para el 58,8% no se dieron alternativas para brindar el servicio al momento que lo necesitaban, mientras que el 72,3% indicó que las alternativas brindadas fueron por medios físicos o presenciales.

La pérdida de brújula también afecta a la ciudadanía, como evidencia el caso de la CCSS. Un informe de la Auditoría Interna[20] de esta institución determinó que posterior al ciberataque el Centro de Gestión Informática no tiene certeza absoluta de la pérdida o recuperación (total o parcial) de los respaldos de imágenes médicas generadas en el Hospital Nacional de Niños Dr. Carlos Sáenz Herrera correspondientes al periodo de junio 2021 a mayo 2022. Es claro que la eventual pérdida o dificultades de acceso a esta información limita la toma de decisiones del personal médico, perjudicando a quienes requieren el servicio de salud. 

Es importante indicar que a la fecha no se ha realizado una estimación cuantitativa sobre los costos de los ciberataques asumidos por la ciudadanía, sin embargo, por la naturaleza de los servicios afectados sí hay un impacto importante sobre el bienestar de la ciudadanía. Si bien las instituciones atacadas tienen alguna percepción de dichas afectaciones, no se dispone de información con el suficiente nivel de detalle.

La ciberseguridad también influye en la confianza sobre la institucionalidad pública.  No solo porque hay un rol del Estado en cuanto a crear las condiciones para el resguardo y uso de información personal sensible (por ende, de la privacidad y seguridad[21]), sino porque ante los ojos de la ciudadanía un ataque de tal magnitud genera desconfianza hacia las instituciones y hacia la tecnología que sustenta el funcionamiento del sector público[22], pudiendo ser este uno de los propósitos que motiva a los grupos criminales.

Si el Estado no es capaz de custodiar sus propios sistemas, cómo puede la ciudadanía confiar en que será capaz de proteger la información personal. La preocupación anterior incide en una mayor reticencia a proveer información necesaria para la toma de decisiones, de manera tal que procesos sumamente relevantes como censos, encuestas o cualquier otro que implique la captura de información pueden ser más costosos o más complejos.

Al igual que en los casos anteriores, el efecto de los ciberataques en la confianza hacia la institucionalidad pública no es monetizable de manera sencilla, y es claro que constituyó una fuerza adicional que afectó la capacidad de respuesta para atender las necesidades de las personas. Un Estado que no es capaz de responder de manera eficaz a las necesidades de sus habitantes promueve el desencanto y socava las bases para la participación ciudadana y la democracia[23].