Seguridad Informática: Conceptos, Estándares y Contexto en Costa Rica

-


La seguridad informática, o seguridad de la información, se refiere a la protección de los datos y sistemas frente a accesos no autorizados, alteraciones o interrupciones. En la era digital actual, es un pilar fundamental para empresas, gobiernos y ciudadanos. Costa Rica no es la excepción: tras sufrir ciberataques de gran impacto en 2022 (como ataques de ransomware a instituciones gubernamentales) el país incluso declaró un estado de emergencia nacional en ciberseguridad, impulsando un marco más robusto de normas, estándares y controles en esta materia A continuación, se abordan los principales conceptos y subtemas de la seguridad informática –desde la clásica tríada de Confidencialidad, Integridad y Disponibilidad hasta las políticas organizacionales y las nuevas tendencias como la inteligencia artificial– con un énfasis especial en el contexto costarricense, incluyendo su normativa local y esfuerzos nacionales en ciberseguridad.


1. Confidencialidad, Integridad y Disponibilidad: La tríada de la seguridad informática

La tríada CIA (Confidencialidad, Integridad, Disponibilidad) constituye la base de la seguridad de la información a nivel mundial. Estos tres principios son los objetivos fundamentales que se deben proteger en cualquier sistema informático (Universidad Pontificia Comillas, 2023):

  • Confidencialidad: Garantiza que la información solo sea accesible por personas autorizadas, protegiendo los datos sensibles contra visualización o uso no autorizado. Esto implica establecer controles de acceso estrictos, cifrado y otras medidas para mantener los datos privados (Martínez Ramírez, 2020). Por ejemplo, la confidencialidad asegura que datos personales o empresariales no se filtren a competidores ni a ciberdelincuentes.
  • Integridad: Asegura que la información se mantenga exacta y confiable, protegida de modificaciones no autorizadas o accidentes que alteren su contenido. Mecanismos como firmas digitales, funciones hash y controles de versiones se emplean para detectar o prevenir cambios indebidos en los datos (Universidad Pontificia Comillas, 2023). Un caso ilustrativo de violación a la integridad fue el ataque al Banco Central de Bangladesh en 2016, donde hackers alteraron transacciones financieras aprovechando credenciales robadas y malware, intentando sustraer millones antes de ser detectados (Universidad Pontificia Comillas, 2023).
  • Disponibilidad: Busca garantizar que los sistemas y datos estén disponibles para los usuarios autorizados cuando los necesiten. Esto implica prevenir interrupciones o demoras en los servicios, ya sea por fallas técnicas o ataques maliciosos. Medidas como planes de respaldo y recuperación ante desastres, redundancia de sistemas y protección contra ataques de denegación de servicio (DoS) aseguran la continuidad de las operaciones (Martínez Ramírez, 2020). Un sistema con alta disponibilidad puede resistir fallos o sobrecargas, minimizando el tiempo fuera de servicio.

En conjunto, la tríada CIA brinda una guía para evaluar vulnerabilidades y fortalecer la seguridad. Un programa de seguridad integral debe abordar adecuadamente la confidencialidad, integridad y disponibilidad; cuando los tres pilares se cumplen, la postura de seguridad de la organización es más sólida (Fortinet, 2023). Estos conceptos también están inmersos en normas y estándares internacionales: de hecho, la definición de “seguridad de la información” según ISO 27001 se basa precisamente en preservar la confidencialidad, integridad y disponibilidad de la información (GlobalSuite Solutions, 2023).


2. Seguridad de la información y estándares (ISO/IEC 27001)

La seguridad de la información abarca las prácticas y mecanismos para proteger los activos informativos de una organización, garantizando los principios CIA antes descritos. Para implementar de forma sistemática esa protección, existen estándares internacionales que sirven de guía. Uno de los más reconocidos es la norma ISO/IEC 27001, que establece los requisitos para crear, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una organización (GlobalSuite Solutions, 2023). En esencia, ISO 27001 provee un marco de buenas prácticas que ayuda a las organizaciones a identificar sus riesgos de seguridad, implementar controles adecuados (técnicos, físicos y administrativos) y someterse a evaluaciones periódicas para garantizar la eficacia del sistema de seguridad.


Adoptar ISO 27001 conlleva definir políticas de seguridad, procedimientos, evaluaciones de riesgo, planes de tratamiento de riesgos y auditorías internas, todo con el respaldo de la alta dirección. Aunque la certificación en esta norma no es obligatoria, muchas organizaciones la buscan para demostrar a clientes y reguladores su compromiso con la protección de la información. De hecho, en Costa Rica varias empresas del sector privado (por ejemplo, bancos y empresas de tecnología) han obtenido certificaciones ISO 27001 para evidenciar su cumplimiento de estándares internacionales de seguridad. 

A nivel gubernamental costarricense también se fomenta la alineación con estándares ISO: el Instituto de Normas Técnicas de Costa Rica (INTECO) adoptó ISO/IEC 27001 y 27002 como normas técnicas costarricenses, facilitando su difusión y uso local. Asimismo, diversas regulaciones sectoriales en el país recomiendan o exigen controles inspirados en ISO 27002 (conjunto de controles de seguridad de la familia ISO 27000) para fortalecer la ciberresiliencia, especialmente en infraestructuras críticas.
Además de ISO 27001, existen otros marcos y estándares relevantes en seguridad de la información, como NIST (de EE. UU.), COBIT (gobierno de TI) o la familia ISO 27701 (privacidad), entre otros. En Costa Rica, el marco normativo de TI combina leyes nacionales con la adopción de estos estándares internacionales para lograr una gestión integral (Solano, 2025). En síntesis, apoyarse en estándares como ISO 27001 ayuda a las organizaciones a estructurar su estrategia de seguridad de manera coherente con las mejores prácticas globales, integrando el enfoque de mejora continua y cumplimiento normativo en la protección de sus activos de información.


3. Ingeniería social

La ingeniería social es una técnica de ataque basada en la manipulación psicológica de las personas para obtener información confidencial, credenciales de acceso o lograr que la víctima realice acciones que comprometan la seguridad. En lugar de explotar vulnerabilidades técnicas, los atacantes explotan la confianza humana. Este tipo de engaño representa un reto enorme para la seguridad de las organizaciones, ya que incluso los sistemas más sofisticados pueden verse comprometidos si un usuario es convencido de revelar su contraseña o de ejecutar un archivo malicioso (Centro de Informática UCR, 2022).
Los ciberdelincuentes suelen investigar a sus víctimas (recopilando datos personales desde redes sociales u otras fuentes) para luego crear un pretexto creíble con el cual ganarse su confianza (Centro de Informática UCR, 2022). Pueden presentarse, por ejemplo, como personal de soporte técnico, compañeros de trabajo o incluso como conocidos de la víctima. Entre las técnicas comunes de ingeniería social se encuentran:

  • Phishing: correos electrónicos fraudulentos que imitan comunicaciones legítimas para que el usuario divulgue contraseñas o haga clic en enlaces maliciosos.
  • Vishing: llamadas telefónicas en las que el estafador finge ser una entidad de confianza (un banco, una empresa de tecnología) para obtener datos sensibles (Centro de Informática UCR, 2022).
  • Pretexting: el atacante fabrica una historia (pretexto) para solicitar información (por ejemplo, haciéndose pasar por un proveedor que necesita datos del empleado).
  • Baiting: ofrecer un “cebo”, como unidades USB infectadas dejadas intencionalmente, o regalos gratis, para tentar a la víctima a interactuar con un recurso comprometido.
  • Spear phishing: ataques de phishing altamente personalizados, dirigidos a una persona u organización específica (el atacante usa información conocida de la víctima para darle mayor credibilidad al mensaje).

La ingeniería social frecuentemente se combina con malware. Por ejemplo, un correo de phishing puede llevar un adjunto malicioso; si el usuario lo ejecuta creyendo que es legítimo, se instala un virus o ransomware. Así, el eslabón humano suele ser el punto de entrada. Es por ello que educar y concientizar a los usuarios es tan importante como implementar firewalls o antivirus. Medidas de protección incluyen campañas de capacitación en ciberseguridad, simulaciones de phishing para entrenar al personal, políticas de verificación de identidades en transacciones sensibles (por ejemplo, confirmar por otro medio una solicitud de cambio de cuenta bancaria recibida por correo) y el principio de cero confianza (“zero trust”), donde por defecto no se confía en ninguna interacción hasta verificarla.
 

En Costa Rica, al igual que en el mundo, los ataques de ingeniería social se han vuelto comunes. Instituciones financieras y gubernamentales han advertido a los usuarios sobre estafas de phishing y vishing que buscan robar credenciales bancarias o gubernamentales. Un ejemplo reciente es el de correos falsos aparentando provenir de la Caja Costarricense de Seguro Social o de entidades bancarias, solicitando actualizar información en enlaces fraudulentos. Para protegerse, los expertos recomiendan desconfiar de comunicaciones no solicitadas que pidan datos confidenciales, verificar directamente con la entidad en cuestión, y mantener actualizadas las soluciones de seguridad en los dispositivos (Centro de Informática UCR, 2022).


3.a Caso costarricense: estafas telefónicas desde call centers dentro de centros penales

En Costa Rica se han documentado casos graves donde se ejecutaron fraudes telefónicos mediante ingeniería social desde call centers ilegales operados desde cárceles. Uno de los casos más notorios implicó a internos en el Centro Penitenciario de Máxima Seguridad La Reforma, quienes gestionaban llamadas fraudulentas hacia adultos mayores y otros grupos vulnerables, haciéndose pasar por representantes de organismos oficiales o empresas de premios (NCR Noticias, 2025).
El líder de esta red, apellidado Tencio, dirigía el centro de operaciones directamente desde la cárcel, orquestando estafas como falsos premios de lotería o requerimientos de pagos urgentes para evitar supuestas multas legales. Estas llamadas utilizaban técnicas de vishing, es decir, manipulación por voz, combinadas con pretextos sólidos que incluían datos reales recopilados previamente sobre las víctimas (NCR Noticias, 2025).


El alcance de estas operaciones fue tal que se impulsaron iniciativas legislativas para penalizar específicamente este tipo de estafas originadas dentro de recintos carcelarios. En 2025, un proyecto de ley presentado por el diputado Yonder Salas avanzó en la Asamblea Legislativa con el objetivo de endurecer las sanciones contra la operación de centros ilegales de llamadas desde prisiones, y responsabilizar penalmente a quienes dirigen estas tramas, incluso desde dentro de las cárceles (Noticias Cartago, 2025). 


Este caso ejemplifica cómo la ingeniería social puede tomar forma en fenómenos organizados y sofisticados, donde los estafadores aprovechan información de la víctima, canales telefónicos y estructuras jerárquicas para actuar con profesionalismo delincuencial desde dentro del sistema penitenciario. Además, evidencia la necesidad de fortalecer la seguridad institucional no solo en ambientes digitales, sino también en entornos físicos como las cárceles ya que estas redes ilegales requieren acceso a teléfonos, bases de datos de potenciales víctimas y coordinación interna. En resumen, el caso de los call centers penales en Costa Rica resalta cómo la ingeniería social puede operar mediante planes coordinados desde lugares inesperados, y pone sobre la mesa la urgencia de implementar controles más estrictos sobre el uso de telecomunicaciones en centros penitenciarios, así como mecanismos legales efectivos para prevenir y sancionar estas operaciones.
 

Ante el incremento de estafas telefónicas desde centros penitenciarios, el Gobierno de Costa Rica ha impulsado diversas medidas legislativas y administrativas para combatir esta modalidad delictiva. Uno de los avances más relevantes fue el impulso del proyecto de ley 24.644, presentado por el diputado Yonder Salas y dictaminado afirmativamente por la Comisión de Seguridad y Narcotráfico en junio de 2025. Esta iniciativa propone endurecer las penas para quienes operen redes de estafa desde las cárceles, incluso desde dispositivos no autorizados, y otorga mayores herramientas a las autoridades penitenciarias para controlar las telecomunicaciones dentro de los centros penales (Delfino.cr, 2025). Paralelamente, el Ministerio de Justicia y Paz ha fortalecido los operativos de decomiso de celulares y equipos electrónicos en cárceles, así como la coordinación con entidades bancarias y judiciales para rastrear el origen de los fraudes. Estas acciones reflejan el reconocimiento estatal del impacto de la ingeniería social delictiva y la necesidad de cerrar las brechas de seguridad penitenciaria que permiten este tipo de operaciones desde el interior del sistema carcelario.

Cómo se relaciona con ingeniería social 

  • Se trata de ingeniería social aplicada por vía telefónica (vishing): los atacantes convencen a las víctimas por voz de realizar acciones perjudiciales (devolver premios, transferir dinero, datos).
  • Utilizan un pretexto elaborado y apariencia legítima, basado en información obtenida previamente y en la manipulación emocional.
  • Operan de forma sistematizada, desde una estructura tipo call center dentro del sistema carcelario, con directorios, scripts y supervisión.
  • Muestra la necesidad de campañas de concientización a nivel nacional y de controles organizados, tanto internos como regulatorios —tal como se recomienda en la sección de recomendaciones del informe principal—.


4. Políticas de seguridad informática en una organización

Las políticas de seguridad informática son conjuntos de normas y directrices internas que una organización establece para garantizar la protección de sus activos de información. En esencia, constituyen un plan formal que define qué se debe proteger y cómo. Su objetivo es asegurar la confidencialidad, integridad y disponibilidad de la información de la empresa, a la vez que minimizar los riesgos que puedan afectarla (UNIR, 2020). Estas políticas proveen a todos los miembros de la organización reglas claras sobre el uso adecuado y seguro de los sistemas, datos y recursos tecnológicos.
Una política de seguridad suele desarrollarse a alto nivel y luego desglosarse en procedimientos e instrucciones específicas. Algunos elementos típicos que conforman el cuerpo normativo de seguridad de una organización son (UNIR, 2020):

  • Política de uso aceptable y buenas prácticas: define qué comportamientos se esperan de los usuarios al utilizar los sistemas de la empresa. Incluye temas como no compartir contraseñas, mantener los puestos de trabajo despejados de información sensible (clean desk), bloquear la computadora al ausentarse, normas de uso de correo electrónico, etc.
  • Política de control de accesos: establece los mecanismos para otorgar, limitar y revocar accesos a sistemas e instalaciones. Por ejemplo, cómo se gestionan las cuentas de usuario, cómo se asignan permisos según roles, uso de autenticación de dos factores, controles de acceso físicos (tarjetas, biometría, cámaras) para áreas restringidas, etc. (UNIR, 2020).
  • Política de clasificación de la información: indica cómo categorizar la información (por ejemplo: pública, interna, confidencial, secreta) y qué medidas de protección aplicar en cada nivel (cifrado, restricciones de copia, etc.).
  • Procedimientos de gestión de incidentes de seguridad: describe cómo el personal debe reportar y responder ante incidentes (como virus, violaciones de datos, fallas de seguridad), incluyendo roles y responsabilidades durante la respuesta a incidentes.
  • •Políticas de respaldo y continuidad del negocio: guían la realización de copias de seguridad periódicas, almacenamiento externo de respaldos, y planes para mantener operativas las funciones críticas ante desastres o fallos (plan de recuperación ante desastres).


Es importante que las políticas de seguridad informática estén alineadas con los objetivos de la organización y cumplan con cualquier regulación aplicable (por ejemplo, protección de datos personales). Deben ser aprobadas por la alta dirección y comunicadas efectivamente a todo el personal (UNIR, 2020). La sensibilización del personal es clave: de nada sirve una política estricta si los empleados la desconocen o no la comprenden. Asimismo, estas políticas no son estáticas; requieren revisiones periódicas y actualizaciones conforme evolucionan las amenazas y la tecnología.
 

En Costa Rica, muchas organizaciones –en especial en sectores regulados como el financiero o el gobierno– han formalizado políticas de seguridad informática. De hecho, la normativa local impulsa su adopción: por ejemplo, el Reglamento de Gestión de TI para entidades financieras exige contar con un sistema de seguridad de la información y políticas documentadas de ciberseguridad y continuidad. Igualmente, las Normas Técnicas emitidas por el MICITT obligan a las instituciones públicas a establecer políticas y procedimientos de seguridad como parte de su gobierno de TI. Esto refleja un entendimiento a nivel país de que la cultura de seguridad debe comenzar con directrices claras desde cada organización.


5. Datos biométricos y seguridad ciudadana

Los datos biométricos son aquellos que identifican de manera única a una persona a partir de sus características físicas o de comportamiento. Esto incluye huellas dactilares, patrones del iris o retina, rasgos faciales, la voz, la geometría de la mano, e incluso aspectos conductuales como la forma de teclear o firmar (ECIJA, 2020). Debido a su capacidad para verificar identidades de forma fiable, los datos biométricos se han incorporado a múltiples aplicaciones de seguridad: desde sistemas de control de acceso (p. ej., lectores de huella para ingresar a un recinto) y autenticación en dispositivos móviles mediante huella o reconocimiento facial, hasta iniciativas gubernamentales de identificación ciudadana y vigilancia.
En el contexto de seguridad ciudadana, los gobiernos y fuerzas del orden ven en la biometría una herramienta para combatir el crimen y reforzar la identificación de individuos. Por ejemplo, muchos países utilizan bases de datos de huellas dactilares para antecedentes penales o implementan pasaportes electrónicos con chips que almacenan la foto y huellas del titular para prevenir fraudes de identidad. Costa Rica ha avanzado en este campo con la introducción de la cédula de identidad digital (que incluye chips con datos biométricos) y sistemas de verificación biométrica en trámites migratorios y bancarios, entre otros (IPANDETEC, 2020).


Sin embargo, el uso de datos biométricos conlleva importantes riesgos y preocupaciones de privacidad. En Costa Rica, los datos biométricos son considerados datos personales sensibles bajo la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N°.8968) y estándares internacionales, dada la posibilidad de que su manejo abusivo pueda lesionar derechos fundamentales (ECIJA, 2020). Cualquier iniciativa que recopile biometría de la población debe someterse a estrictos controles legales y técnicos. Un caso que ejemplifica el debate ocurrió en 2020, cuando surgió el Proyecto de Ley No. 21.321 para crear un Repositorio Único de Datos Biométricos de todos los costarricenses, residentes y visitantes, administrado por el Tribunal Supremo de Elecciones y con acceso otorgado a organismos de seguridad pública (ECIJA, 2020). El propósito declarado era facilitar la identificación de personas involucradas en delitos, centralizando huellas, fotos y otros rasgos en una base de datos unificada. No obstante, esta propuesta generó críticas severas de expertos en privacidad y derechos digitales, quienes advirtieron que tal base de datos podría abrir la puerta a abusos. Por ejemplo, el proyecto permitiría al TSE comercializar el acceso a estos datos biométricos con entidades públicas y privadas, un hecho sin precedentes a nivel mundial (ECIJA, 2020). Se señaló que Costa Rica sería el primer país en mercantilizar información tan sensible de toda su población, incluyendo menores y turistas, lo cual atenta contra principios básicos de protección de datos personales.
 

Simultáneamente, en el municipio de Alajuela se anunció en 2020 la iniciativa “Alajuela Segura”, que implicó la instalación de 195 cámaras con reconocimiento facial en la ciudad, conformando un sistema de vigilancia masiva que captura datos biométricos (imágenes faciales) de ciudadanos en espacios públicos (Access Now, 2021). Este proyecto también suscitó numerosas preguntas sobre su impacto en la privacidad y la falta de una regulación específica. Organizaciones civiles solicitaron detalles al gobierno local sobre el funcionamiento de dicho sistema y sus salvaguardas, dado que la tecnología podría identificar personas en la vía pública sin su consentimiento y eventualmente rastrear sus movimientos (Access Now, 2021).


En resumen, los datos biométricos ofrecen ventajas para la seguridad (identificación rápida, autenticación robusta), pero su recopilación y uso requieren un equilibrio cuidadoso con los derechos de la población. Es indispensable contar con marcos legales claros que delimiten los fines de uso, medidas de seguridad para resguardar las bases de datos biométricos, evaluaciones de impacto a la privacidad y mecanismos de supervisión independientes. Costa Rica se encuentra en proceso de fortalecer ese equilibrio: si bien cuenta con una ley de protección de datos personales desde 2011, se han evidenciado vacíos en cuanto a la regulación explícita de biometría (Access Now, 2021). Las discusiones legislativas recientes y el interés del país por adherirse a instrumentos internacionales (como el Convenio 108+ del Consejo de Europa sobre datos personales) reflejan la necesidad de actualizar el marco normativo para asegurar que la seguridad ciudadana no se logre a costa de la privacidad de las personas, sino en armonía con esta.


6. Sistemas actuales de análisis de amenazas con Inteligencia Artificial

La Inteligencia Artificial (IA) se ha convertido en un aliado clave en la ciberseguridad moderna, especialmente para el análisis y detección de amenazas. Los sistemas de seguridad impulsados por IA pueden procesar volúmenes masivos de datos en tiempo real y descubrir patrones anómalos que podrían indicar actividades maliciosas, algo que supera con creces la capacidad humana. Por ejemplo, las técnicas de machine learning (aprendizaje automático) permiten que un modelo aprenda a distinguir comportamientos "normales" de indicios de ataque analizando miles de factores simultáneamente (Schnackenburg, 2025). De esta manera, la IA puede identificar conexiones sutiles o irregularidades que un analista pasaría por alto, mejorando la detección temprana de amenazas.


Ventajas de la IA en la detección de amenazas: Uno de los beneficios más destacados es la capacidad de detectar ataques desconocidos o de día cero. Tradicionalmente, los antivirus dependían de firmas o indicadores conocidos, lo que dejaba una brecha de exposición desde que surgía un nuevo malware hasta que se actualizaban las definiciones. Los modelos de machine learning, en cambio, pueden reconocer un comportamiento sospechoso aunque el código maligno no haya sido visto antes, porque aprenden patrones genéricos de actividad maliciosa (Schnackenburg, 2025). Esto ayuda a frenar ataques novedosos que explotan vulnerabilidades aún no parcheadas. Asimismo, la IA agiliza la clasificación de alertas de seguridad, reduciendo falsos positivos mediante análisis más precisos de cada evento, y permite priorizar las amenazas realmente críticas (al filtrar el ruido generado por eventos benignos). 

Algunos sistemas de IA incluso automatizan respuestas ante detecciones de alto riesgo: por ejemplo, si se identifica comportamiento anómalo en un equipo indicando posible intrusión, la plataforma podría automáticamente aislar ese equipo de la red para contener el incidente, todo en cuestión de segundos.
Ejemplos de sistemas con IA: Muchas soluciones empresariales integran IA en sus herramientas. Los sistemas de Endpoint Detection and Response (EDR) monitorean continuamente las actividades en los dispositivos finales (procesos, conexiones, archivos) y usan modelos de ML para alertar ante conductas fuera de lo común en esos equipos (Schnackenburg, 2025). De igual modo, los SIEM de nueva generación (Plataformas de Gestión de Eventos e Información de Seguridad) incorporan motores de IA que correlacionan eventos de distintas fuentes y ayudan a los analistas a investigar incidentes más eficientemente. Un caso interesante es Microsoft TITAN, un sistema de inteligencia contra amenazas que utiliza aprendizaje automático para rastrear infraestructuras usadas por atacantes a gran escala, hallando relaciones entre direcciones IP, URLs y malware antes de que los ataques se materialicen (Schnackenburg, 2025). En el ámbito de la protección de cuentas y accesos, gigantes tecnológicos han implementado autenticación adaptativa con IA: por ejemplo, plataformas como Microsoft 365 analizan cada intento de inicio de sesión con algoritmos que evalúan el riesgo (ubicación inusual, dispositivo nuevo, hora atípica) y pueden requerir pasos adicionales de verificación si algo parece anómalo, bloqueando de inmediato accesos sospechosos sin intervención humana (Schnackenburg, 2025).
 

No obstante, es importante mencionar que la IA no es infalible. Puede haber falsos positivos (alertas por eventos legítimos) o falsos negativos (pasar por alto una amenaza real), y los atacantes también intentan burlar o incluso aprovechar la IA (por ejemplo, mediante técnicas de adversarial AI que confunden a los modelos). Por ello, los expertos recomiendan un enfoque híbrido: la automatización inteligente manejando la primera línea de defensa y análisis, y la intervención de analistas humanos para casos complejos y decisiones finales. En Costa Rica, aunque la adopción de IA en ciberseguridad aún está emergiendo, ya se observa interés en estas tecnologías. Empresas de seguridad informática locales ofrecen servicios de análisis de amenazas potenciados con IA, y sectores como el financiero están explorando soluciones de detección de fraude en línea que utilizan algoritmos de machine learning para identificar transacciones inusuales en tiempo real. Conforme el ecosistema digital costarricense crece, es previsible que la IA juegue un rol cada vez más prominente en proteger infraestructuras críticas y datos sensibles del país.


7. Confidencialidad y protección de la información personal: normativas en Costa Rica

La protección de los datos personales en Costa Rica tiene fundamento constitucional y legal. El artículo 24 de la Constitución Política reconoce el derecho a la intimidad y privacidad de las personas, estableciendo una esfera de vida privada inmune a intromisiones. Desarrollando este principio, en 2011 se promulgó la Ley N° 8968 "Protección de la Persona frente al Tratamiento de sus Datos Personales", marco legal principal en materia de datos personales en Costa Rica. Dicha ley –de orden público– impone obligaciones de confidencialidad a quienes recolectan o manejan datos de carácter personal, sean entidades públicas o privadas, y otorga a los ciudadanos derechos conocidos como ARCO: acceso, rectificación, cancelación y oposición respecto a sus datos. En otras palabras, cualquier individuo puede solicitar conocer qué información suya se tiene, corregir datos erróneos, exigir la eliminación de sus datos en ciertos casos, o negarse a que se traten sus datos para fines específicos.


La ley 8968 considera datos personales a cualquier información vinculada a una persona identificada o identificable, y define una subcategoría de datos sensibles relativo a la esfera más íntima (raza, salud, vida sexual, convicciones religiosas, etc.). Aunque la ley no listó expresamente la biometría en esa categoría, por criterio de autoridades como la Procuraduría y la Contraloría se interpreta que los biométricos reciben la protección constitucional más estricta al afectar el núcleo de la privacidad (Access Now, 2021). La agencia encargada de velar por el cumplimiento de esta ley es la Agencia de Protección de Datos de los Habitantes (PRODHAB). La PRODHAB tiene facultades para supervisar a los responsables de bases de datos personales y dictar sanciones administrativas en caso de infracciones. Por ejemplo, puede ordenar la corrección o eliminación de datos, y en casos graves incluso suspender temporalmente el funcionamiento de una base de datos (Solano, 2025). Sin embargo, históricamente el nivel de cumplimiento de la ley ha sido variable; en sus primeros años la aplicación fue limitada y hubo críticas sobre falta de recursos de la PRODHAB para ejercer plenamente su rol fiscalizador.


Además de la ley 8968, Costa Rica ha ido complementando el marco de privacidad. Existe un Reglamento a la ley (Decreto 37554-JP) que detalla procedimientos, y se han firmado convenios internacionales. En 2017, Costa Rica se adhirió al Convenio de Budapest sobre Ciberdelincuencia, que si bien es más enfocado a delitos informáticos, incluye provisiones sobre protección de datos en la investigación de esos delitos. Más directamente relacionado con privacidad, el país ha manifestado su intención de unirse al Convenio 108+ del Consejo de Europa, el único tratado internacional específico en materia de protección de datos personales (Access Now, 2021). También, como parte del proceso de incorporación a la OCDE, Costa Rica se comprometió a desarrollar una Estrategia Nacional de Privacidad para modernizar su regulación acorde con las mejores prácticas globales (Access Now, 2021). A la fecha, dichas actualizaciones están en desarrollo, por lo que la ley 8968 sigue vigente sin cambios sustanciales desde su creación.


En la práctica nacional, la confidencialidad de la información personal está protegida no solo por estas normas especializadas, sino también por la normativa sectorial. Por ejemplo, el sector bancario cuenta con reglas de secreto bancario y las entidades de salud con obligaciones de confidencialidad sobre expedientes médicos. Asimismo, la Ley General de Control Interno N°8292 exige a instituciones públicas resguardar la información bajo su control, y la Ley de Delitos Informáticos N°9048 sanciona penalmente conductas como la divulgación no autorizada de datos personales o la violación de sistemas que contienen datos confidenciales. Todo esto conforma una red legal que, en conjunto, busca asegurar que los datos personales de los costarricenses estén adecuadamente protegidos frente a accesos indebidos o usos no autorizados.


En conclusión, Costa Rica reconoce el derecho a la privacidad y ha establecido un andamiaje legal para proteger la confidencialidad de la información personal. No obstante, el entorno tecnológico evoluciona rápidamente y plantea nuevos desafíos (como grandes bases de datos biométricos, big data, vigilancia masiva), por lo que se vuelve crucial actualizar y fortalecer continuamente las normativas y mecanismos de enforcement. La confianza de los ciudadanos en la economía digital depende en gran medida de que existan garantías sólidas de que su información personal será manejada con privacidad y seguridad.


8. Ciberseguridad en Costa Rica y su normativa

La ciberseguridad en Costa Rica ha cobrado relevancia estratégica en los últimos años. Aunque el país fue pionero regional en conectividad y gobierno digital, también ha enfrentado crecientes amenazas cibernéticas que han puesto a prueba su resiliencia. En respuesta, Costa Rica ha desarrollado un marco normativo e institucional para fortalecer la seguridad digital en todos los sectores.


Leyes y tipificación de delitos: Un hito importante fue la aprobación de la Ley N°9048 de Delitos Informáticos (2012), que reformó el Código Penal para incorporar figuras delictivas específicas de ciberseguridad. Por medio de esta ley se penalizan acciones como el acceso ilícito a sistemas o datos, la suplantación de identidad digital, la creación de sitios web falsos para phishing, la propagación de malware, la violación de datos personales, y la extorsión mediante medios informáticos, entre otros. Esta actualización legal dotó a las autoridades de herramientas para perseguir penalmente a los ciberdelincuentes. Adicionalmente, Costa Rica cuenta con la Ley N°8454 (2005) sobre certificados y firmas digitales, que si bien se centra en dar validez legal a la firma digital, también contribuye a la seguridad al promover mecanismos criptográficos en transacciones electrónicas. En 2017, la adhesión al Convenio de Budapest antes mencionada reforzó la cooperación internacional para combatir delitos cibernéticos, armonizando definiciones legales y facilitando la asistencia judicial transfronteriza.


Políticas nacionales y estrategia: En cuanto a políticas públicas, el Gobierno de Costa Rica desarrolló su Primera Estrategia Nacional de Ciberseguridad 2017-2021, con el apoyo de la Organización de los Estados Americanos. Esta estrategia sentó una visión país, definiendo pilares como la protección de infraestructuras críticas, el fortalecimiento de la gobernanza y coordinación institucional en ciberseguridad, la educación y cultura en seguridad digital, y la cooperación internacional (Solano, 2025). Tras los eventos de 2022, la estrategia fue renovada: en 2023 se presentó una nueva Estrategia Nacional de Ciberseguridad 2023-2027, orientada a consolidar un ecosistema nacional robusto e inclusivo en materia de seguridad digital. Estas estrategias han impulsado acciones concretas, como la creación y fortalecimiento de equipos de respuesta a incidentes, campañas masivas de concientización, y mejoras regulatorias sectoriales. Por ejemplo, luego de los devastadores ataques de ransomware en 2022 (que afectaron ministerios y servicios esenciales), se emitieron directrices de emergencia para que las instituciones públicas refuercen inmediatamente sus medidas de seguridad, respaldando la actuación coordinada del equipo nacional de respuesta (MICITT, 2022).


Institucionalidad y respuesta a incidentes: A nivel institucional, el ente rector en ciberseguridad es el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), que lidera la definición de políticas y la coordinación interinstitucional en esta materia. Desde 2012, Costa Rica cuenta con un Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT-CR), establecido por Decreto Ejecutivo Nº 37052-MICIT, encargado de coordinar la atención de incidentes cibernéticos a nivel nacional. El CSIRT-CR actúa como punto focal, emitiendo alertas tempranas de vulnerabilidades y brindando apoyo técnico a entidades públicas y privadas durante incidentes de seguridad. Tras los ataques de 2022, el CSIRT nacional fue fortalecido y expandido, trabajando en conjunto con entidades como el Instituto Costarricense de Electricidad (ICE) y la Comisión Nacional de Emergencias (CNE) para desarrollar un Protocolo Nacional de Respuesta a Incidentes Cibernéticos. Este protocolo establece procedimientos estandarizados y una estructura de comando de incidente para enfrentar ataques mayores de forma unificada, de manera similar a cómo se atienden desastres naturales. Gracias a ello, en la crisis de ransomware de 2022 se pudo articular una respuesta interinstitucional (liderada por MICITT con apoyo del ICE, CNE y otras agencias) que mitigó el impacto y permitió recuperar servicios críticos en un tiempo razonable.


Regulación sectorial y estándares técnicos: Diversos sectores en Costa Rica tienen además normativas específicas de ciberseguridad. En el sector telecomunicaciones, la Superintendencia de Telecomunicaciones (SUTEL) exige a las operadoras proteger la confidencialidad de las comunicaciones y los datos de usuarios, conforme al Reglamento de Protección de la Privacidad de las Comunicaciones (2009) y otras normas. SUTEL también ha impulsado medidas contra el fraude, como listas negras de IMEI para combatir el robo de celulares. En el sector financiero, la normativa del Consejo Nacional de Supervisión Financiera (CONASSIF) —Acuerdo SUGEF 14-17, vigente desde 2017 y reforzado en 2024— obliga a bancos y entidades afines a implementar estrictos controles de TI y seguridad: desde tener un oficial de seguridad de la información, hasta contar con políticas de ciberseguridad, gestión de riesgos tecnológicos, planes de continuidad del negocio y pruebas periódicas de penetración. Las superintendencias realizan auditorías para verificar el cumplimiento y pueden sancionar o intervenir entidades con deficiencias graves. Asimismo, a nivel gubernamental general, en 2021 el MICITT emitió unas Normas Técnicas actualizadas para la Gestión y Control de las Tecnologías de Información en el sector público, que sustituyeron las normas de 2007 de la Contraloría. Dichas normas técnicas obligan a cada institución pública costarricense a establecer un marco de gobierno de TI y seguridad, realizar evaluaciones anuales y mejorar continuamente sus prácticas. Esto busca elevar el nivel de madurez en ciberseguridad de todas las instituciones estatales de forma homogénea.


En síntesis, la normativa de ciberseguridad en Costa Rica es amplia y sigue evolucionando. Se sustenta en leyes penales que castigan el cibercrimen, en políticas nacionales estratégicas, en una institucionalidad dedicada (MICITT y CSIRT) y en reglamentos específicos por sector que obligan a buenas prácticas. Los incidentes recientes han sido un catalizador para modernizar este marco: hoy existe mayor conciencia sobre la importancia de la ciberseguridad para la continuidad del Estado y la confianza ciudadana. No obstante, el panorama de amenazas sigue en crecimiento, y con él la necesidad de mantener las normas actualizadas, promover la capacitación de talento en ciberseguridad, e invertir en infraestructura y tecnología de protección. Solo así Costa Rica podrá enfrentar exitosamente los desafíos de seguridad digital en el futuro próximo.

Autor: Alonso Solano Segura

Referencias

  • Access Now. (2021, 25 de enero). El estado actual de la protección de los datos biométricos en Costa Rica. Access Now. Recuperado de https://www.accessnow.org/el-estado-actual-de-la-proteccion-de-los-datos-biometricos-en-costa-rica/
  • Asamblea Legislativa de la República de Costa Rica. (2025, junio 19). Dictamina afirmativamente el proyecto para agravar penas por estafas desde cárceles [Expediente n.º 24.644]. Delfino.cr. Recuperado de https://delfino.cr/2025/06/comision-de-seguridad-dictamina-afirmativamente-proyecto-para-agravar-penas-por-estafas-desde-carceles curul-58.comd1qqtien6gys07.cloudfront.net+4delfino.cr+4curul-58.com+4
  • Centro de Informática UCR - Unidad de Riesgos y Seguridad. (2022, 20 de septiembre). Ingeniería social. Universidad de Costa Rica. Recuperado de http://ci.ucr.ac.cr/ingenieria-social
  • ECIJA. (2020, 30 de noviembre). Costa Rica: De la UPAD al repositorio de datos biométricos. ECIJA Insights. Recuperado de https://www.ecija.com/actualidad-insights/costa-rica-de-la-upad-al-repositorio-de-datos-biometricos/
  • Fortinet. (2023). Tríada CIA: confidencialidad, integridad y disponibilidad. Ciberglosario de Fortinet. Recuperado de https://www.fortinet.com/lat/resources/cyberglossary/cia-triad
  • GlobalSuite Solutions. (2023, 22 de septiembre). ¿Qué es la norma ISO 27001 y para qué sirve?. GlobalSuite Solutions. Recuperado de https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/
  • Martínez Ramírez, C. A. (2020, 18 de junio). Confidencialidad, integridad y disponibilidad. [Artículo en LinkedIn]. Recuperado de https://es.linkedin.com/pulse/confidencialidad-integridad-y-disponibilidad-martinez-ramirez
  • NCR Noticias. (2025). Por primera vez un vídeo muestra cómo los reos operan un call center desde La Reforma. NCR Noticias. Recuperado de https://ncrnoticias.com/nacionales/por-primera-vez-un-video-muestra-como-los-reos-operan-un-call-center-desde-la-reforma/ 
  • Solano Segura, A. (2025, 13 de mayo). Normativas y Estándares de Tecnologías de la Información en Costa Rica: Guía Completa para Empresas e Instituciones. DOS | Tecnología y Negocios. Recuperado de https://www.dostecnologiaynegocios.com/2025/05/normativas-y-estandares-de-tecnologias.html
  • Schnackenburg, P. (2025, 7 de mayo). Cómo la IA revoluciona la detección de amenazas. Hornetsecurity Blog. Recuperado de https://www.hornetsecurity.com/es/blog/deteccion-de-amenazas-con-ia/
  • UNIR Revista. (2020, 14 de mayo). Claves de las políticas de seguridad informática. Universidad Internacional de La Rioja. Recuperado de https://www.unir.net/revista/ingenieria/politicas-seguridad-informatica/
  • Universidad Pontificia Comillas. (2023, 8 de mayo). Confidencialidad, Integridad y Disponibilidad. Blog de Ciberseguridad Comillas. Recuperado de https://ciberseguridad.comillas.edu/confidentiality-integrity-and-availability/

Information Security: Concepts, Standards, and Context in Costa Rica

This study explores key foundations of information security in Costa Rica, including the confidentiality, integrity, and availability triad, the application of standards such as ISO/IEC 27001, and common threats like social engineering, with specific attention to local cases involving call centers operating from prisons. It also examines organizational security policies, the use of biometric data, and the emerging role of artificial intelligence in threat detection. At the national level, it highlights Law 8968 on data protection and the National Cybersecurity Strategy 2023–2027, which reinforce the country’s legal and technical frameworks in response to growing digital risks.


Comentarios

Publicar un comentario

Lo más leído

Trabajo, Autoridad y Desconfianza: Una Crítica a la Cultura Organizacional Costarricense

-
Imagen
  Vigilados desde 1502: crónica de un país que todavía no sabe confiar Por: Ronny Rosales Robles   -  Más información sobre el autor en Bento 1. Introducción Cuando uno crece en Costa Rica, hay ciertas verdades que acepta sin cuestionar, igual que cuando la mamá decía que no podíamos bañarnos después de comer porque nos iba a dar un "ataque de congestión" o cuando la abuela insistía en que "hay que saber por dónde anda la procesión". Esta frase, tan popular en nuestro imaginario costarricense, refleja la idea de que siempre debemos estar al tanto y vigilantes de lo que ocurre a nuestro alrededor. Más que un simple refrán, revela una concepción cultural de control y poder: la creencia de que es necesario supervisar para garantizar que todo marche bien. ¿Por qué seguimos pensando que solo mediante la vigilancia constante se asegura la productividad? ¿De dónde proviene esa idea de que el trabajador debe ser controlado para no desviarse del camino recto? Una de las resp...
Leer más

¿Cómo Está Transformando la Inteligencia Artificial la Educación Universitaria en Costa Rica?

-
Imagen
  Por: Alonso Solano Segura La irrupción de herramientas de inteligencia artificial (IA) generativa como ChatGPT a finales de 2022 ha transformado rápidamente diversos ámbitos, incluyendo la educación superior. En Costa Rica, las universidades y docentes se han visto obligados a reflexionar sobre cómo estas herramientas afectan el aprendizaje y la integridad académica. Mientras que algunos educadores advierten sobre riesgos como el plagio y la desinformación, otros ven en la IA una oportunidad para personalizar la enseñanza y mejorar la eficiencia. Este informe explora los efectos positivos y negativos del uso de la IA por parte de estudiantes universitarios primero en el contexto costarricense con fuentes recientes (debido al tan cambiante curso de la IA) desde 2023, y luego complementando con perspectivas internacionales. Asimismo, se identifican estrategias prácticas para docentes que permitan maximizar los beneficios de la IA en el aprendizaje y mitigar sus efectos adversos. ...
Leer más