Recope recibió advertencias sobre riesgos antes del ciberataque: un análisis de las fallas y acciones
Redacción
Publicado: enero 20, 2025
Auditoría reveló problemas en la gestión de seguridad
Tres meses antes del ciberataque que paralizó los sistemas de la Refinadora Costarricense de Petróleo (Recope), la Auditoría Interna alertó sobre riesgos relacionados con la implementación de servicios en la nube. En un informe fechado el 14 de agosto de 2024, la auditoría destacó la ausencia de análisis formales para identificar y evaluar los riesgos vinculados al uso de estas tecnologías.
Según el informe AUI-10-3-24, firmado por los auditores Juan Carlos Mora Castro y Gabriela Chaves Sánchez, la gestión de seguridad de la información en Recope presentaba deficiencias que podrían exponer a la empresa a fallos en la confidencialidad e integridad de su información crítica.
Principales observaciones del informe
Carencia de un análisis formal
El informe destacó que la tecnología de información en la nube, por su evolución constante, requiere un análisis detallado que permita establecer lineamientos estratégicos. La ausencia de estos podría generar una gestión inadecuada de los riesgos tecnológicos.
Los auditores recomendaron a la Gerencia General realizar un análisis formal para identificar amenazas y establecer estándares que resguarden la información crítica de la empresa. Esta recomendación fue catalogada con prioridad alta, señalada con un semáforo en rojo.
Falta de formación y comunicación
Otro punto crítico señalado fue la ausencia de mecanismos claros para capacitar a los proveedores de servicios tecnológicos sobre políticas de seguridad de información antes de la ejecución contractual.
Esta situación podría derivar en incumplimientos de las medidas de seguridad estipuladas, afectando directamente la confidencialidad y disponibilidad de los datos empresariales.
Entre las recomendaciones, se sugirió revisar la normativa interna y establecer disposiciones específicas para la contratación de servicios tercerizados.
Limitaciones en el inventario de activos
La auditoría también evidenció insuficiencias en la clasificación de activos gestionados por el Sistema de Gestión de Seguridad de Información. Estas carencias afectarían la continuidad y actualización del inventario, un elemento clave para garantizar la seguridad de las operaciones empresariales.
El ciberataque: impacto y respuesta
El 27 de noviembre de 2024, Recope enfrentó un ciberataque que comprometió sus sistemas, obligando a la empresa a operar manualmente para mantener el suministro de combustibles. Durante este periodo, las terminales de carga extendieron sus horarios hasta las 10:00 p.m.
Según el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt), los atacantes exigieron un rescate de $5 millones, solicitud que fue rechazada. Actualmente, Recope trabaja en la restauración de sus servidores y asegura que los servicios están operativos.
Declaraciones de Recope
La empresa estatal afirmó que las advertencias de la Auditoría no guardan relación directa con el ciberataque, sino con el cumplimiento de normativas para el uso de servicios en la nube. Para atender las recomendaciones, Recope formó un equipo multidisciplinario que está evaluando los controles y riesgos asociados.
FUENTE CRHOY
