Costa Rica está comprendiendo la importancia de la ciberseguridad a través de una amarga experiencia, como lo es la vulneración de los sistemas informáticos de distintas instituciones gubernamentales, siendo una de ellas Hacienda, la cual ha sufrido el ciberataque más importante de la historia de nuestro país, el cual se ha estimado genera hasta $38 millones de pérdidas al día al sector exportador .
Viéndolo en retrospectiva cuesta comprender cómo un conjunto de sistemas informáticos de servicios tan críticos para la sociedad no puedan tener un plan de continuidad efectivo – de existir- y medidas de seguridad adecuadas para la sensibilidad de la información y del servicio brindado a la ciudadanía.
¿Este incidente se pudo haber previsto?
La realidad es que la seguridad informática no puede nunca garantizarse a un 100% y los delincuentes siempre pueden encontrar vías de ingreso, por lo que un plan de continuidad del negocio es esencial para toda organización responsable que no pueda darse el lujo de ver sus servicios interrumpidos. Por lo que después de una semana de tener los servicios de Hacienda caídos podríamos concluir que si tenían medidas de seguridad o plan de continuidad no podían ser muy buenos.
Por lo anterior, vale la pena preguntarse si la Agencia de Protección de los Datos de los Habitantes (Prodhab) puede tener alguna responsabilidad en todo este caos que se está dando en el país, por lo que vamos a analizar las atribuciones otorgadas por la ley № 8968, relacionadas con la seguridad de la información:
ARTÍCULO 16.- Atribuciones
Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:
a) Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.
b)Llevar un registro de las bases de datos reguladas por esta ley.
c) Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo, entre ellas, los protocolos utilizados.
[…]
i)Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.»
¿Y cómo regula nuestra ley el derecho de seguridad digital?
ARTÍCULO 10.- Seguridad de los datos
El responsable de la base de datos deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley.
Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada.
No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas.
Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos automatizadas y manuales, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos
Por lo anterior, queda claro que la Prodhab debe velar por el cumplimiento del derecho de seguridad digital, lo cual debe realizar a través de:
- La emisión de directrices de seguridad de la información dirigidas a las instituciones públicas: desde el momento de su creación la Prodhab no ha emitido ninguna directriz.
- Requerir que los responsables de las bases de datos personales que se encuentran obligados a inscribir sus bases de datos, cuenten con protocolos de actuación: hasta el momento hay 135 bases de datos inscritas, dentro de las cuales no se encuentran bases de datos sensibles como la de Hacienda y EDUS.
Recibir notificaciones de incidentes de vulneración de la seguridad de las bases de datos: si debido a esta notificación la Agencia inicia una investigación, podría imponer una multa si encuentra que la ley ha sido violentada de alguna manera.
De acuerdo al reglamento en su numeral 35, las medidas de seguridad deberán tomar en cuenta los siguientes factores:
a) La sensibilidad de los datos personales tratados, en los casos que la ley lo permita;
b) El desarrollo tecnológico;
c) Las posibles consecuencias de una vulneración para los titulares de sus datos personales.
d)El número de titulares de datos personales;
e)Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o almacenamiento;
f)El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos personales; y
g)Demás factores que resulten de otras leyes o regulación aplicable al responsable.
Lo anterior debe darse de la mano de la creación de protocolos de actuación que son necesarios en toda organización para proteger la información personal, que en el caso del reglamento en su numeral 32, el cual cuando menos debe especificar lo siguiente:
a)Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la organización del responsable;
b)Poner en práctica un manual de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;
c)Establecer un procedimiento de control interno para el cumplimiento de las políticas de privacidad;
d)Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales o sus representantes, así como para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.
e)Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.
f)Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.
Como puede verse la normativa brinda un requisitos mínimos que debe seguir toda organización que le interesa proteger la información personal, que tiene la obligación de resguardar, por lo que si cuando se inscribe la Prodhab hace una buena labor puede asegurarse que el responsable de la base de datos haya recorrido pasos básicos hacia una protección de la información de los datos y que en caso de un tratamiento no adecuado pueda utilizar todas las herramientas que le confiere la ley, dentro de las cuales están el imponer multas.
Entonces, ¿hay responsabilidad de la Prodhab por el hackeo de Hacienda?
Desde el 2 de diciembre del año 2019 la Contraloría General de la República encontró que sus servidores contenían «1.286 cuentas que no corresponden a usuarios identificables y podríamos inferir que se pueden hacer ataques masivos para averiguar las contraseñas de los contribuyentes al no haber bloqueos por intentos fallidos o alertas en este sentido», por lo que el 12 de febrero del 2020 le hice varias preguntas abiertas a la Prodhab sobre casos preocupantes donde en apariencia no había cumplido con sus deberes, por lo que para el caso de Hacienda manifesté la preocupación en conjunto con unas consultas:
Consultas abiertas para la Agencia.
-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (Hacienda)?
Lastimosamente, en esta administración y mucho antes del CASO UPAD (21-2-2020), ya se notaba que la Prodhab no estaba realizando las funciones que le fueron encomendadas por ley y al mismo tiempo el país se dirigía hacia una recopilación más agresiva de los datos de los habitantes, por lo que ya existía preocupación de varios profesionales en derecho informático que veían como una institución tan necesaria para nuestro país se mostraba invisible y poco activa en casos de interés nacional.
Realmente, es increíble que la Prodhab no reaccionara ante un informe tan serio como el que realizó la Contraloría en la infraestructura tecnológica de Hacienda y vale la pena preguntarse qué hubiese pasado si esta agencia hubiese realizado los deberes a los que está obligada por ley. Como hemos visto en este artículo, debido a la sensibilidad de la información contenida en dicha base de datos, la cantidad de usuarios que pueden ser afectados y el riesgo, la fiscalización del cumplimiento de la normativa debía ser más exhaustiva.
Dos años después, la agencia reacciona ante preguntas de prensa y manifiesta que Hacienda no tiene protocolos inscritos. ¿Puede decir la directora Elizabeth Mora que se dio cuenta por prensa que esa base de datos existía y que su debía cumplir la ley?
No hay duda sobre que permitir que una institución trate datos personales sensibles sin garantizar la seguridad digital y la garantía de confidencialidad es responsabilidad de Prodhab y específicamente de la gestión de doña Elizabeth, la cual se extiende a la Ministra de Justicia y Paz quien hizo caso omiso a las múltiples voces que han solicitado que se realice un cambio en la dirección de tan importante institución. En ese sentido la diputada Silvia Hernández lo manifestó a crhoy.com:
“Lo que ha quedado en evidencia es que la Agencia de Protección de Datos requiere de una reingeniería urgente. Por un lado, una nueva ley que arregle los vacíos que existen hoy, pero por otro lado, y con el mayor de los respetos lo digo, urge una nueva dirección y guía dentro de la agencia, que asuma de forma diligente las atribuciones que le da la ley actual, y no sea simplemente una institución reactiva, como parece ser el caso actual”
Otras instituciones vulnerables:
Para agravar la situación de ciberseguridad del país, la Contraloría ahora encuentra vulnerabilidades de índole similar a las de Hacienda en el EDUS de la CCSS: ¿Y ya han verificado si IMAS cumple con la normativa? ¿O se va a esperar a que un grupo cibercriminal como Conti haga un ataque para revisar si se respetan los derechos contenidos en la normativa de protección de datos nacioal?
El presidente electo, Rodrigo Chaves, debe tomar nota y comprender que cuando la agencia no hace su trabajo el daño para el país puede ser enorme y que si esta hace su trabajo puede ayudar para ir construyendo una cultura de protección de datos, la cual va más allá de pagar publicidad, hacer publicaciones en redes sociales y hacer eventos sin autocrítica.
La Prodhab debe fortalecerse por el bien de Costa Rica, con el fin de mantener la confianza del costarricense en la tecnología, lo que es necesario para crear una nación próspera, donde todos sus ciudadanos tienen una vida digna.
