Ciberataques, Crisis Digitales y Auditoría TI en Costa Rica: Los Casos que Sacudieron al País

-

 


Lecciones de la Ciberseguridad en Costa Rica: Casos Reales de Auditoría y Gestión de Riesgos Tecnológicos

Por: Alonso Solano Segura

En Costa Rica, la auditoría de Tecnologías de la Información y Comunicación (TIC) y la gestión de riesgos de TI han cobrado gran relevancia debido al aumento de ciberamenazas y la creciente digitalización. En años recientes, instituciones públicas y empresas privadas del país han enfrentado incidentes que ponen a prueba sus controles de TI, a la vez que se registran avances en buenas prácticas y medidas de seguridad. A continuación, se presentan casos reales negativos (fallos de control, ataques y sanciones) y positivos (buenas prácticas, auditorías exitosas e implementación efectiva de controles) en el sector público y privado de Costa Rica, relacionados con la auditoría TIC y la gestión de riesgos de TI.

Eventos Críticos y Lecciones Aprendidas en el sector Público

El sector público costarricense ha sufrido varios incidentes graves que evidencian fallas en los controles de TI y la gestión de riesgos:

  • Ataque de ransomware Conti (2022): En abril de 2022, el Gobierno de Costa Rica enfrentó un ciberataque extorsivo masivo atribuido al grupo de ransomware Conti. El primer blanco fue el Ministerio de Hacienda, cuyo sistema tributario y plataforma de aduanas quedaron paralizados. Se expusieron datos sensibles de contribuyentes y se interrumpieron por días servicios críticos como la declaración de impuestos y trámites de exportación e importación. Los atacantes exigieron un pago de US$10 millones a cambio de no divulgar la información robada y restaurar los sistemas. El gobierno se negó a pagar, lo que derivó en que alrededor del 80% de los datos sustraídos terminaran expuestos en la dark web. Este ataque afectó casi una treintena de instituciones públicas y generó pérdidas operativas multimillonarias, obligando incluso a volver temporalmente a procesos en papel en algunas agencias públicas. En mayo de 2022, ante la magnitud de la crisis, el nuevo gobierno declaró estado de emergencia nacional en materia de ciberseguridad –primer caso de este tipo en la región– para movilizar recursos y atender los daños.
  • Ataque al Seguro Social (2022): Apenas semanas después, en mayo-junio de 2022 otro grupo criminal (Hive) lanzó un ransomware contra la Caja Costarricense de Seguro Social (CCSS). Este ataque obligó a la institución a apagar sus sistemas críticos de salud, incluyendo el Expediente Digital Único en Salud (EDUS), paralizando la atención médica digital. Como consecuencia, durante ese periodo se cancelaron alrededor de 30.000 citas y procedimientos médicos en todo el país. La CCSS tuvo que reestablecer procesos manuales mientras contenía el incidente, afectando severamente la prestación de servicios de salud. Este hecho evidenció importantes brechas en la continuidad operativa y resiliencia de los sistemas públicos de salud frente a ciberataques.
  • Ciberataques a otras instituciones (2024): A finales de 2024 se registró otra ola de ataques que afectaron tanto entidades estatales como una empresa. La Refinadora Costarricense de Petróleo (RECOPE), por ejemplo, fue blanco de ransomware en noviembre de 2024: los sistemas de despacho de combustible se vieron comprometidos, obligando a volver a la operación manual de suministro de gasolinas y provocando demoras en el abastecimiento de combustible en el país. También la Dirección General de Migración y Extranjería sufrió una intrusión grave; sus servicios estuvieron fuera de línea por varias semanas, impactando trámites migratorios y de pasaportes. Estos incidentes expusieron vulnerabilidades en infraestructuras críticas y causaron interrupciones significativas en servicios públicos esenciales.
  • Otros fallos de seguridad: Incluso la Presidencia de la República enfrentó un incidente de seguridad digital: en marzo de 2025, la cuenta oficial de YouTube de Casa Presidencial fue hackeada y utilizada para transmitir contenido fraudulento de criptomonedas. Si bien este ataque fue más simbólico que operativo, generó preocupación sobre la protección de las credenciales y la imagen institucional en plataformas en línea. Asimismo, auditorías internas y de la Contraloría General de la República han detectado en años recientes deficiencias en controles de TI de diversos entes públicos. Por ejemplo, en 2021 la Contraloría realizó una auditoría especial al proyecto “Hacienda Digital” del Ministerio de Hacienda, encontrando que las etapas iniciales del proyecto no estaban alineadas con la estrategia nacional de transformación digital, evidenciando carencias en la planificación y gobernanza del proyecto de TI. Estos hallazgos reflejan riesgos en la gestión de proyectos tecnológicos y la necesidad de fortalecer controles desde la etapa de planificación.

Prácticas Destacadas y Respuestas Efectivas en el sector público

Frente a estas amenazas y fallos, el sector público también ha generado buenas prácticas y mejoras en auditoría y gestión de riesgos de TI:

  • Respuesta coordinada y aprendizaje: Los ataques de 2022 marcaron un antes y un después en la conciencia de ciberseguridad en Costa Rica. A raíz del ataque de Conti, el Gobierno costarricense buscó asistencia técnica internacional (recibiendo apoyo de países aliados como Estados Unidos, España, Israel, así como de empresas tecnológicas privadas) para contener el incidente y fortalecer sus defensas. Las autoridades activaron protocolos de emergencia cibernética y, aunque inicialmente hubo demoras, se logró eventualmente controlar la situación sin ceder al chantaje. La experiencia dejó importantes lecciones aprendidas que se han incorporado en la planificación de riesgos y continuidad del negocio de las instituciones. De hecho, Costa Rica ya había venido preparándose: entre 2019 y 2021 el país realizó ejercicios internacionales de simulación de ciberataques, cuyo aprendizaje fue valioso para decidir cómo responder durante la crisis real de 2022. Estas prácticas proactivas de capacitación y simulacro son un ejemplo positivo de gestión preventiva del riesgo.
  • Estrategia Nacional de Ciberseguridad: Tras los eventos de 2022, el gobierno elevó la prioridad de la seguridad informática. En 2023 se presentó la Estrategia Nacional de Ciberseguridad 2023-2027, la cual establece una hoja de ruta integral para fortalecer la seguridad digital en el sector público. Esta estrategia incluye líneas de acción en prevención, detección, respuesta a incidentes, capacitación y desarrollo de marcos normativos. Su elaboración e implementación demuestran un compromiso por alinear la gestión de riesgos de TI con estándares internacionales y proteger la infraestructura crítica del país a largo plazo.
  • Fortalecimiento del CSIRT gubernamental: El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) ha invertido en robustecer el Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT-CR). En los últimos años se asignó personal especializado 24/7 y recursos tecnológicos avanzados al CSIRT-CR, mejorando significativamente la capacidad de monitoreo, contención y recuperación ante incidentes. Esto dio frutos en 2024, cuando los ataques a Migración y RECOPE pudieron ser contenidos con mayor rapidez, minimizando su impacto. Por ejemplo, en el caso de la intrusión a Migración, la detección temprana y reacción inmediata —en coordinación con expertos del CSIRT y apoyo forense brindado por el Gobierno de EE. UU.— permitieron evitar el robo de datos y restaurar servicios sin mayores afectaciones al público. Esta respuesta ágil evidenció la efectividad de los protocolos de incidentes implementados y la coordinación interinstitucional.
  • Auditorías y normas técnicas: En materia de auditoría TIC, la Contraloría General de la República ha emitido Normas Técnicas para la Gestión y Control de las TI que rigen en el sector público, las cuales establecen buenas prácticas obligatorias en gobierno de TI, seguridad de la información, control interno y gestión de riesgos tecnológicos. Muchas instituciones públicas cuentan con auditorías internas dedicadas a TI o incluyen evaluaciones de sistemas en sus planes anuales de auditoría. Un caso destacable fue la auditoría integral realizada en 2020 a los sistemas de TI de la Comisión Nacional de Emergencias (CNE), donde se evaluaron los controles generales de TI y se emitieron recomendaciones oportunas que la institución implementó para mejorar la resiliencia de su plataforma tecnológica. Estas auditorías ejemplares contribuyen a detectar vulnerabilidades antes de que sean explotadas y promueven una cultura de mejora continua en controles TIC dentro del sector público.

Eventos Críticos y Lecciones Aprendidas en el sector privado.

Las empresas privadas costarricenses tampoco han escapado a los riesgos de TI, enfrentando incidentes que resaltan la importancia de la auditoría y la gestión de riesgos en este sector:

  • Amenazas de ransomware al sector privado (2022): Durante la ola de ataques de Conti en 2022, los hackers no solo apuntaron al gobierno, sino que públicamente amenazaron con atacar empresas privadas costarricenses de gran tamaño si no se cumplían sus demandas. Esta situación generó alarma en corporaciones financieras, industriales y de telecomunicaciones, que intensificaron sus medidas de seguridad. Aunque no trascendieron públicamente nombres de compañías atacadas por Conti ese año, el simple hecho de ser objetivo de extorsión masiva puso en evidencia posibles brechas en la protección de información sensible en el sector corporativo y motivó a muchas empresas a revisar sus planes de continuidad de negocio.
  • Ciberataque a Repretel (2024): Un caso confirmado ocurrió en diciembre de 2024, cuando la empresa Repretel –una de las principales cadenas de televisión privada en Costa Rica– sufrió un ataque de ransomware. Aunque los servicios de transmisión televisiva no se detuvieron, Repretel reportó interrupciones en sus plataformas digitales, como sitios web y apps, debido al incidente. Los delincuentes cifraron datos y exigieron pago, afectando temporalmente operaciones internas. La situación fue manejada sin ceder al rescate y no causó mayores daños permanentes, pero sirvió de llamada de atención para los medios de comunicación y demás empresas privadas sobre la necesidad de reforzar controles de seguridad en sus redes y sistemas de contenido.
  • Fallas en plataformas bancarias (2023-2024): El sector financiero ha sido blanco frecuente de incidentes y fallas relacionadas con TI. Un ejemplo relevante fueron los problemas técnicos y de seguridad reportados en 2024 en las plataformas digitales de un importante banco costarricense (trascendió públicamente que se trataba de un banco estatal). Clientes denunciaron dificultades para ingresar al sistema de banca en línea y a la aplicación móvil, así como errores graves en transacciones (cobros duplicados, pagos mal registrados, etc.). Estos incidentes, aunque al parecer se debieron a fallos internos en sistemas y no a ataques externos directos, afectaron la confianza de los usuarios y obligaron a la intervención de entes reguladores. La Defensoría de los Habitantes solicitó a la Superintendencia General de Entidades Financieras (SUGEF) una rendición de cuentas sobre estos hechos, indagando qué tan robustos eran los controles de ciberseguridad de los bancos públicos y qué acciones correctivas se tomarían. Este caso evidenció cómo un fallo tecnológico o de control en una empresa financiera puede escalar a un tema de interés público y regulatorio, con potencial de sanciones si se demostrase negligencia en la gestión de riesgos de TI.
  • Costos y frecuencia de los ciberataques: A nivel general, las empresas privadas en Costa Rica enfrentan miles de intentos de ataque cada día. Estudios de la industria de seguridad indican que en 2023 el país registró en promedio 882 millones de intentos de ciberataque en todo el año (aprox. 2.900 por minuto) dirigidos tanto a organizaciones públicas como privadas. Aunque la mayoría son bloqueados, cuando un ataque se concreta puede generar pérdidas económicas considerables. Se estima que cada minuto de interrupción causada por un ataque exitoso podría representar pérdidas de hasta $1,5 millones para las empresas, considerando ingresos no percibidos, costos de recuperación, multas y daños reputacionales. Este panorama ha quedado de manifiesto con el aumento de incidentes de fraude electrónico, phishing masivo a clientes de bancos, y robos de información en compañías de todos los tamaños. Varios negocios locales han reportado brechas de datos confidenciales en años recientes (por ejemplo, fugas de bases de datos de clientes por empleados internos o ataques de malware), lo que subraya la necesidad de controles más estrictos y auditorías periódicas en el sector privado.

Prácticas Destacadas y Respuestas Efectivas en el sector privado

En respuesta a estos riesgos, muchas empresas privadas de Costa Rica han adoptado buenas prácticas de gestión de TI y seguridad que vale la pena destacar:

  • Regulación y gobierno corporativo de TI: El sector financiero costarricense, en particular, cuenta con una regulación avanzada en materia de gobierno de TI y gestión de riesgos. En 2024 entró en vigor un nuevo Reglamento General de Gestión de la Tecnología de Información emitido por el Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), aplicable a bancos, aseguradoras y otras entidades supervisadas por SUGEF. Este reglamento exige a las entidades financieras contar con una estructura de gobierno de TI sólida y gestionar adecuadamente los riesgos tecnológicos. Por ejemplo, se les requiere establecer comités técnicos de seguridad de la información, métricas periódicas de eficacia de ciberseguridad, programas anuales de pruebas de vulnerabilidades y cultura de seguridad, entre otras obligaciones. Asimismo, la norma ordena que las empresas reporten a la SUGEF cualquier incidente de seguridad de información moderado o alto en impacto. Estas disposiciones han llevado a los bancos a reforzar sus controles internos, sabiendo que están sujetos a auditorías exhaustivas por parte del regulador. El resultado positivo es una mejora progresiva en la postura de seguridad del sector financiero, el cual en términos generales ha logrado evitar incidentes mayores en los últimos años gracias a estas prácticas preventivas y a inversiones sustanciales en tecnología de protección.
  • Auditoría interna y cumplimiento en empresas: Cada vez más empresas privadas costarricenses, conscientes del valor de proteger sus activos informáticos, están fortaleciendo sus áreas de auditoría interna de TI. Estudios recientes sobre auditoría interna en la empresa costarricense reflejan que la gerencia ve un valor estratégico en contar con auditores de TI que evalúen el cumplimiento de políticas, la efectividad de los controles de software, la seguridad de la infraestructura y la continuidad del negocio. Compañías de sectores como telecomunicaciones, retail y manufactura han implementado evaluaciones regulares de sus sistemas críticos, muchas veces apoyadas por consultoras especializadas. Un caso ejemplar es el de una reconocida cooperativa de ahorro y crédito nacional, que tras sufrir intentos de fraude en canales electrónicos, realizó una auditoría integral de sus sistemas transaccionales. A partir de los hallazgos, la empresa pudo corregir configuraciones débiles, actualizar sus protocolos de autenticación y capacitar a su personal, reduciendo significativamente la incidencia de fraudes exitosos. Este tipo de acciones proactivas muestran cómo la auditoría de TI actúa como un control preventivo que mejora la madurez en gestión de riesgos.
  • Certificaciones y estándares internacionales: Varias organizaciones privadas en Costa Rica han optado por certificar sus sistemas bajo estándares globales de seguridad de la información. Por ejemplo, ADN Datacenters, un importante proveedor local de servicios de centro de datos, logró convertirse en 2018 en el primer centro de datos en Costa Rica certificado bajo la norma ISO/IEC 27001 de sistemas de gestión de seguridad de la información. Esto implicó implementar más de 100 controles de seguridad alineados con mejores prácticas internacionales y someterse a auditorías externas independientes para verificar el cumplimiento. Del mismo modo, instituciones financieras y empresas de tecnología en el país han adoptado marcos como ISO 27001, ISO 22301 (continuidad del negocio) y COBIT para evaluar y mejorar sus procesos de TI. La obtención de estas certificaciones no solo demuestra un compromiso con la excelencia en seguridad, sino que también sirve de garantía hacia clientes y socios comerciales de que la empresa gestiona adecuadamente los riesgos de información. Estos logros posicionan a las compañías costarricenses a la altura de estándares mundiales, siendo casos positivos de implementación exitosa de controles y gestión de riesgos.
  • Colaboración sectorial y capacitación: Como buena práctica, en los últimos años el sector privado costarricense ha incrementado la colaboración y el intercambio de información en materia de ciberseguridad. Cámaras empresariales y gremios (por ejemplo, la Cámara de Bancos, la Cámara de Tecnologías de Información) realizan foros y mesas de trabajo conjuntos con autoridades gubernamentales para discutir amenazas emergentes y estrategias de defensa. Un hito importante fue la creación de la Red de Enlaces de Ciberseguridad, que conecta a responsables de seguridad de distintas empresas e instituciones para compartir alertas tempranas de incidentes. Además, ha crecido la inversión en capacitación: muchas compañías envían a sus profesionales de TI a certificarse como auditores líderes en normas ISO, y patrocinan competencias tipo hackathon o Capture The Flag para desarrollar habilidades de ciberseguridad en jóvenes talentos. Esta cultura de mejora constante y aprendizaje colaborativo contribuye a que el ecosistema empresarial costarricense esté mejor preparado para anticipar y mitigar riesgos tecnológicos.

Conclusiones

Los casos expuestos evidencian dos caras de la moneda en Costa Rica. Por un lado, fallos y incidentes han revelado brechas en controles de TI, causando impactos operativos y financieros tanto en entidades públicas como en empresas privadas. Desde ataques de ransomware que paralizaron servicios esenciales, hasta deficiencias detectadas por auditorías, estos eventos subrayan la importancia crítica de la seguridad de la información y la gestión de riesgos en la era digital. Por otro lado, las respuestas y mejoras implementadas demuestran que el país está tomando en serio la lección: se han fortalecido los marcos normativos, las capacidades de respuesta a incidentes y las mejores prácticas de auditoría TIC.

En el sector público, destaca la rápida evolución de una estrategia nacional de ciberseguridad y el refuerzo de la coordinación institucional para proteger los sistemas gubernamentales. En el sector privado, las iniciativas de cumplimiento regulatorio, auditoría interna robusta y adopción de estándares internacionales son pasos positivos que elevan el nivel de seguridad. Ambos sectores, colaborativamente, avanzan hacia una cultura preventiva donde la gestión de riesgos de TI ya no es un aspecto técnico aislado, sino un pilar fundamental del gobierno corporativo y la continuidad del negocio. Costa Rica, habiendo enfrentado amenazas reales, continúa afinando sus controles y aprendiendo de casos pasados para construir un entorno digital más seguro y resiliente.


Referencias

  • ADN Datacenters. (2018, febrero). Primer Centro de Datos con Certificación ISO 27001 en Costa Rica. Recuperado de https://www.adndatacenters.com/noticias/2018/02/
  • Centroamérica 360. (2025, 22 de marzo). Hackeo a cuenta oficial de YouTube de la Presidencia provoca preocupación en Costa Rica. Recuperado de https://www.centroamerica360.com/region/hackeo-a-cuenta-oficial-de-youtube-de-la-presidencia-provoca-preocupacion-en-costa-rica/
  • Contraloría General de la República (CGR). (2021). Informe de Auditoría de Carácter Especial sobre el alineamiento de las etapas de anteproyecto, inicio y preparación del proyecto Hacienda Digital con la Estrategia de Transformación Digital del país (Informe N.° DFOE-FIP-IF-00005-2021). San José, Costa Rica: CGR. Recuperado de https://cgrfiles.cgr.go.cr/publico/docs_cgr/2021/SIGYD_D/SIGYD_D_2021020527.pdf
  • Delfino.cr. (2024, 11 de octubre). Defensoría solicita rendición de cuentas por incidentes de usuarios con plataformas bancarias. Recuperado de https://delfino.cr/2024/10/defensoria-solicita-rendicion-de-cuentas-por-incidentes-de-usuarios-con-plataformas-bancarias
  • El País (Costa Rica). (2025, 12 de mayo). Unos 800 millones de ciberataques contra Costa Rica en 2023. Recuperado de https://www.elpais.cr/2025/05/12/unos-800-millones-de-ciberataques-contra-costa-rica-en-2023/
  • La Nación. (2024, 23 de enero). Ataque cibernético provocó caída en sistemas web del Banco Central el 12 de enero, confirma entidad (Ó. Rodríguez & E. Ramírez, Autores). Recuperado de https://www.nacion.com/economia/politica-economica/banco-central-atribuye-a-ataque-cibernetico-caida/TL227DDEK5FILPLCE2MJFTSDCM/story/
  • TeleSemana. (2024, 3 de diciembre). Costa Rica sufrió otro ciberataque, ahora a dos organismos del Estado y a una empresa privada. Recuperado de https://www.telesemana.com/blog/2024/12/03/costa-rica-sufrio-otro-ciberataque-ahora-a-dos-organismos-del-estado-y-a-una-empresa-privada/

 Cyberattacks, Digital Crises, and IT Auditing in Costa Rica: The Cases That Shook the Nation

Abstract: 

Discover key real-world cases of IT auditing, cybersecurity breaches, and risk management in Costa Rica. Learn how public and private organizations responded to ransomware attacks, digital crises, and strengthened their IT governance and cybersecurity frameworks. Essential reading for cybersecurity professionals, auditors, and risk managers.

Comentarios

Publicar un comentario

Lo más leído

ITIL y COBIT en instituciones públicas: ¿normativa obligatoria de la Contraloría General de la República en Costa Rica?

-
Imagen
  Por: Alonso Solano Segura En Costa Rica, el uso de COBIT e ITIL no constituye una obligación legal directa establecida por la Contraloría General de la República (CGR). Lo que sí resulta de acatamiento obligatorio es que todas las instituciones públicas cuenten con un marco formal de gobierno y gestión de Tecnologías de Información (TI) , conforme lo exige el sistema de control interno estatal y la normativa emitida por la CGR. El primer paso formal en esta materia ocurrió en 2007 , cuando la CGR emitió la resolución R-CO-26-2007 (publicada en La Gaceta No. 119 del 21 de junio), mediante la cual se aprobaron las Normas Técnicas para la Gestión y Control de las Tecnologías de Información (N-2-2007-CO-DFOE) . Estas normas, de cumplimiento obligatorio, establecieron principios y controles alineados con las mejores prácticas internacionales, claramente inspirados en marcos como COBIT e ITIL , aunque sin mencionarlos de forma expresa. En 2020 , mediante la resolución R-DC-1...
Leer más

¿Cómo Está Transformando la Inteligencia Artificial la Educación Universitaria en Costa Rica?

-
Imagen
  Por: Alonso Solano Segura La irrupción de herramientas de inteligencia artificial (IA) generativa como ChatGPT a finales de 2022 ha transformado rápidamente diversos ámbitos, incluyendo la educación superior. En Costa Rica, las universidades y docentes se han visto obligados a reflexionar sobre cómo estas herramientas afectan el aprendizaje y la integridad académica. Mientras que algunos educadores advierten sobre riesgos como el plagio y la desinformación, otros ven en la IA una oportunidad para personalizar la enseñanza y mejorar la eficiencia. Este informe explora los efectos positivos y negativos del uso de la IA por parte de estudiantes universitarios primero en el contexto costarricense con fuentes recientes (debido al tan cambiante curso de la IA) desde 2023, y luego complementando con perspectivas internacionales. Asimismo, se identifican estrategias prácticas para docentes que permitan maximizar los beneficios de la IA en el aprendizaje y mitigar sus efectos adversos. ...
Leer más

Normativas y Estándares de Tecnologías de la Información en Costa Rica: Guía Completa para Empresas e Instituciones

-
Imagen
Normativas y Estándares de TI y Seguridad de la Información en Costa Rica Por: Alonso Solano Segura.   La protección de la información y la ciberseguridad se han convertido en una prioridad nacional en Costa Rica, especialmente a raíz de incidentes recientes. En 2022 el país sufrió ciberataques de gran impacto (ej. ransomware dirigido a entidades gubernamentales), al punto que el gobierno declaró un estado de emergencia nacional en ciberseguridad. Como respuesta, Costa Rica ha consolidado un marco integral de normativas, estándares, protocolos, controles y marcos de trabajo enfocado en las tecnologías de la información (TI) y la seguridad de la información. Este marco combina leyes y reglamentos nacionales con la adopción de estándares internacionales (ISO 27000, NIST, COBIT, ITIL, entre otros), además de políticas públicas sectoriales emitidas por entidades como el MICITT, SUTEL, ARESEP, Poder Judicial, reguladores financieros, entre otros. A continuación, se pre...
Leer más