“El Reglamento se basa en el principio de que nosotros estamos velando por la seguridad nacional del país y de sus habitantes, y por tanto, debemos atender las necesidades de telecomunicaciones vinculadas a las redes 5G y superiores”, dijo hace instantes Paula Bogantes, titular del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) en una conferencia de prensa en la que buscó ofrecer precisiones sobre la estrategia de seguridad que el país decidió llevar adelante y que presentó como “Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores”.
Esto sucede en un contexto en el que el país avanza en los preparativos de su subasta de espectro para 5G, a un año de haber sufrido una seria vulnerabilidad informática a los sistemas de la administración pública, como Hacienda y Salud, hechos que motivaron a considerar al tema como prioritario y que llevaron a delinear una estrategia para su gobernanza.
El impacto de aquel ataque fue notable. Según lo precisó la funcionaria, afectó a varias instituciones de Gobierno, cuya recuperación de datos osciló los 25 millones de dólares. “Debemos entender que un ataque de ciberseguridad es la pérdida de información”, dijo la funcionaria y admitió que se perdieron muchas historias médicas, vinculados a tratamientos oncológicos y se debieron reprogramar, a mano, casi 80.000 citas médicas durante cuatro meses.
El Reglamento surgió a partir de la declaratoria de emergencia (Decreto Ejecutivo N°43542-MP-MICITT), entre las que se destaca el Decreto Ejecutivo Número 44196 que crea al reglamento aprobado en agosto, consustanciado con la normativa local, además de con convenios y recomendaciones internacionales, estándares técnicos (ISSO), más allá del convenio de Budapest, al que definió como “un marco legal para la cooperación internacional”.
Y sentenció que “no estamos dejando afuera a ningún país competidor, más bien buscamos que los países que quieran competir -o las empresas operadoras o proveedores de hardware o software- tienen que cumplir con los requerimientos que se incluyen en este reglamento para poder participar”.
A modo de ejemplo, recordó que gracias a la colaboración internacional pudieron identificar que el ataque perpetrado a los sistemas informáticos en abril de 2022, los realizó el grupo internacional CONTI, de origen ruso; y hasta la cabeza responsable de ese organismo. “Pusimos la alerta internacional y hasta ahí llegamos, pero como Rusia no es un país firmante del convenio de Budapest, no les da seguimiento a estos grupos criminales. ¿Y qué pasó? CONTI se desintegra y comienza a operar bajo otro nombre; y eso Costa Rica no lo va a permitir más”.
Además, aseguró que el decreto es “respetuoso del principio de neutralidad tecnológica”, dado que no exige el uso de una tecnología específica, aunque establezca criterios objetivos para garantizar la seguridad de las redes 5G o superiores.
¿Y 4G? “Para 4G hablamos de un transitorio de redes 4G e inferiores, con recomendaciones de buenas prácticas” dijo la funcionaria en relación a un documento que será publicado por la cartera de cara a favorecer las mejores prácticas, como también maximizar el uso de la infraestructura local.
“El reglamento atiende a una cuestión de seguridad nacional de los datos de los ciudadanos, a raíz del ataque de ciberseguridad que sufrimos en 2022. No es correcto decir que el país, al no tener ejército y al no ser una amenaza para ningún otro país, tenga su seguridad comprometida. En tiempos modernos, las guerras no solamente se defienden en territorios, sino que también se dan en el ciberespacio”, dijo y comparó el suceso acaecido en el país que los lleva a tender estrategias para proteger la información de la población.
“Esto es un tema de competitividad del país (…) no discrimina a ninguna empresa, local o internacional, tampoco impone barreras al comercio o interfiere con las relaciones exteriores, es un tema específico a la participación de operadores y proveedores de hardware y software de 5G”, dijo y sostuvo que “todos los días Costa Rica recibe ciberataques, millones de posibles ataques que sufre el país”.
Bogantes explicó que, durante este último año, el Micitt en colaboración con socios estratégicos -países y empresas- hicieron estudios para determinar la vulnerabilidad de las instituciones e identificaron que, en muchos casos, las infraestructuras tecnológicas están “comprometidas”; y eso también explica por qué se elevaron los niveles de seguridad.
“La ciberseguridad es una cadena integrada por diversos actores”, resumió Bogantes y adelantó que durante el próximo mes el país realizará una campaña masiva para concientizar a la población en la materia, y alfabetizarlos en buenas prácticas.
