Ciberseguridad: Las pymes en Costa Rica están bajo constantes ataques

A raíz de los ataques del grupo Conti, Costa Rica impulsó la Estrategia Nacional de Ciberseguridad 2023-2027. / Foto: Getty Images.
A raíz de los ataques del grupo Conti, Costa Rica impulsó la Estrategia Nacional de Ciberseguridad 2023-2027. / Foto: Getty Images.
Se trata de uno de los países más expuestos de la región: solo el sector de las pequeñas y medianas empresas se enfrentó a 1.6 millones de intentos de ciberataques.
Fecha de publicación: 26/09/2024

Más del 90 % de los negocios a nivel mundial pertenece al rubro de las pequeñas y medianas empresas (pymes). Este, además, es uno de los sectores más pujantes y vigorosos de la región, y uno de los más expuestos a ciberataques.

Los números hablan por sí solos. Según datos de la Encuesta Global de Seguridad de la Información 2023, los ciberataques aumentaron en 60 % en Centroamérica, y Costa Rica es uno de los países más perjudicados: 1.6 millones de intentos de ciberataque contra las pymes y 742 mil intentos de phishing.


Quizá te interesa leer: Ciberseguridad en Centroamérica: Ransomware y phishing, las amenazas en Costa Rica y Guatemala


Ahora bien, ¿por qué las pymes están en la mira? 

La mayoría de los ataques que recibe la región son del tipo ransomware o bien secuestro de datos personales. En el caso puntual de Costa Rica, el gobierno protagonizó uno de los escándalos más resonantes en materia de ciberataque: en 2022, el grupo Conti vulneró los sistemas del estado y divulgó datos personales de miles de costarricenses.

“Esta situación puso en evidencia una realidad profundamente alarmante, que es lo poco preparada que está la administración pública en materia de ciberseguridad. La facilidad con que el grupo Conti accedió a las bases de datos del Ministerio de Hacienda, de la Caja Costarricense del Seguro Social y de otras instituciones, fueron una revelación para todos aquellos que, desde la comodidad del hogar o de su oficina, creían que los ciberataques eran sólo material cinematográfico o relleno para noticias internacionales”, señala Yoser González, asociado de Consortium Legal Costa Rica.

Reportes de compañías como ESET, Karspersy y Fortinet demuestran que los datos personales de los ticos no están a salvo. De hecho, Costa Rica sigue siendo uno de los blancos favoritos de los ciberataques en Latinoamérica. 

Yoser González

“En el país no existe una cultura de protección de datos personales; y esto tiene implicaciones no sólo en la esfera personal de los ciudadanos, sino también en los centros de trabajo. Las PYMES se han convertido en los objetivos preferidos por la ciberdelincuencia, sobre todo luego del auge del comercio electrónico: un correo electrónico o un número de teléfono son suficientes para llevar a cabo un ataque de phising”, detalla el experto en protección de datos.

Para González, muchas veces la necesidad de vender es superior a las medidas persuasivas que puedan implementar los gobiernos.

“Entre las PYMES suele predominar el clásico pensamiento de que los ciberataques solo le suceden a las grandes empresas, pero no es así. Y esa flexibilidad puede habilitar un tráfico masivo y descontrolado de datos personales. Hoy día en Costa Rica emprender conlleva costos importantes: para iniciar operaciones, se requieren varios permisos, licencias y registros. Por lo tanto, en la escala de prioridades de un emprendedor, la inversión en materia de ciberseguridad no suele encabezar la lista”, explica.


Más sobre el tema: La protección de datos personales en Centroamérica a través de sus normas


¿Qué pueden hacer las PYMES para proteger su negocio de los ciberataques?

“La prevención siempre será la recomendación más importante, al igual que implementar medidas de seguridad técnicas que requieran una inversión en ciberseguridad, como trabajar en la nube, autentificar a los usuarios, contratar un software de seguridad o invertir en una buena infraestructura de redes”, adelanta el asociado de Consortium Legal Costa Rica.

Para muchas PYMES, la inversión en ciberseguridad puede transformarse un gran talón de Aquiles, dado la falta de presupuesto. Por eso, Yoser González comparte tres recomendaciones de bajo costo y fáciles de aplicar:

  1. Recopilar los datos estrictamente necesarios. “Si bien la información es poder, a mayor cantidad de información, mayor exposición al riesgo. Identificar qué clase de datos personales se están recopilando, y evaluar cuáles son estrictamente necesarios para la operación y cuáles no, es clave”, indica.
  2. Implementar medidas de seguridad físicas y administrativas.  “Algunas medidas de prevención se basan en cuidados básicos. Por ejemplo, reducir al mínimo la cantidad de personal que tiene acceso a las bases de datos y procurar que dichas bases se encuentren resguardadas en equipos con protección mínima, es decir, una adecuada contraseña de ingreso, bajo llave, con un antivirus actualizado y con copias de respaldo”, apunta.
  3. Capacitación. “La formación periódica del equipo de trabajo en materia de ciberseguridad y protección de datos personales es vital para prevenir incidentes. El conocimiento de las clases más comunes de ciberataques, como el malware, phishing o incluso la fuga de datos, así como sus causas y consecuencias, puede ser beneficioso”, sugiere.

Te puede gustar: Inclusión financiera en América Latina y el Caribe: el poder de los datos y el rol de las finanzas abiertas


¿Por qué es necesario promover una Ley Nacional de Ciberseguridad?

A raíz de los ataques del grupo Conti al gobierno de Costa Rica en 2022, entró en plena vigencia la Estrategia Nacional de Ciberseguridad 2023-2027, que actualizó la ex Estrategia 2017-2021.

“Si bien Costa Rica cuenta con legislación instalada aplicable en materia de ciberseguridad desde la adhesión al Convenio de Budapest 2001, y también tiene una legislación local que contempla delitos informáticos, obligaciones en materia de protección de datos personales y comercio electrónico, no existe un marco madre. Hoy día la legislación se encuentra dispersa en varias leyes y reglamentos que no tienen como objetivo regular este campo. Por lo tanto, impulsar una Ley de Ciberseguridad, que centralice todas las normas, cree un ente rector independiente y considere las necesidades del sector público/privado, podría ser beneficioso para el país”, opina Yoser Gónzalez.

A su vez, el especialista en ciberseguridad considera que es prioritario modernizar la legislación sobre protección de datos personales.

“Tanto la Ley de Protección a la Persona frente al Tratamiento de sus Datos Personales, No. 8968 y su reglamento, el decreto No. 37554, fueron una buena introducción a la materia para el país y brinda herramientas importantes para la prevención y mitigación de riesgos. Sin embargo, ya hace algunos años se está quedando atrás en relación con los avances tecnológicos y con las legislaciones más modernas. Por eso, queda seguir de cerca los avances que se den en esta materia”, comenta.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.