EscucharEl hackeo al Instituto Costarricense de Electricidad (ICE) continúa planteando preguntas sobre el nivel de alcance que tuvieron los ciberdelincuentes y si obtuvieron datos privados de los clientes. Dos entidades solicitaron más información a la entidad.
El 12 de marzo anterior, la ministra Paula Bogantes y el presidente ejecutivo del ICE, Marco Acuña, dieron a conocer que el Instituto sufrió un ataque cibernético en el que los ciberdelincuentes obtuvieron 9 GB de información de correos electrónicos.
Acuña señaló que la institución detectó movimientos sospechosos a finales de enero.
Por su parte, Bogantes indicó que el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) recibió a finales de febrero un reporte de la firma Mandiant, subsidiaria de Google, sobre un ataque que afectó a 53 entidades en 42 países.
En Costa Rica, la Embajada de la República Popular de China cuestionó la información brindada por las autoridades costarricenses.
Asimismo, la Fiscalía contra la Ciberdelincuencia confirmó que la denuncia ingresó al Organismo de Investigación Judicial (OIJ), donde se le asignó el expediente 26-006643-0042-PE. La causa se investiga en el OIJ bajo dirección funcional de dicha Fiscalía.
Pero el Instituto presentó la denuncia judicial después de la conferencia de prensa de Bogantes y Acuña, pese a que el presidente ejecutivo del ICE afirmó en la misma que ya la denuncia había sido presentada.
¿Incumplió deberes?
Hay otras preguntas en este caso, pues el Instituto debió actuar de inmediato no solo para enfrentar y contener el ataque, como dijo que hizo.
El ICE había adelantado que, tras presentar la denuncia ante las autoridades de investigación judicial, no respondería más consultas sobre el caso.
“Ante la denuncia presentada y con la consecuente apertura de la investigación, el ICE no brindará información adicional a la expuesta, con el objetivo de no interrumpir el proceso legal y así garantizar la integridad de la información que resguarda en sus sistemas”, indicó la entidad en un comunicado de prensa.
La entidad también señaló que la cantidad de datos obtenidos por los ciberdelincuentes era una pequeña parte del volumen de información que maneja y que el ataque no afectó los servicios de electricidad o telecomunicaciones que brinda.
El ICE debió informar en su momento tanto al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT‑CR), adscrito al Micitt, como a la Superintendencia de Telecomunicaciones (Sutel).
El artículo 42 de la Ley General de Telecomunicaciones (N° 8642) establece que los operadores deben garantizar los secretos de las comunicaciones, la intimidad y la protección de los datos de carácter personal de los abonados y usuarios.
Tras la información brindada por Bogantes y Acuña, la Sutel respondió a El Financiero que tuvo que enviar una consulta al ICE sobre el alcance del ataque.
Por su parte, la Agencia de Protección de Datos de los Habitantes (Prodhab), respondió a El Financiero que realizó una revisión de la información que circuló.
A partir de esa revisión “se generó una solicitud de información de oficio al Grupo ICE, con el fin de que se nos brinde la información necesaria para la valoración legal correspondiente”.
