• Ministerio de Hacienda rechaza afirmación y aseguró que seguridad de la información institucional no se encuentra comprometida.

Contraloría General de la República, Ministerio de Hacienda | Comunicados de prensa

La CGR realizó una auditoría en el Ministerio de Hacienda sobre la seguridad de la información de los sistemas, gestión relevante dada la rectoría del Sistema de Administración Financiera por la cual le corresponde la coordinación de actividades de procesamiento de datos para procesos como presupuesto, tesorería, crédito público, contabilidad, contratación pública, recaudación tributaria, gestión aduanera, entre otros.

Los principales hallazgos se detallan a continuación:

• No se cuenta con un sistema de gestión de continuidad de negocio implementado que garantice una continuidad de los servicios planificada, probada y gestionada de manera constante.
• 58 de 430 servidores totales son monitoreados en una aplicación de monitoreo de servidores posterior al ciberataque, lo cual puede dificultar la identificación de problemas en el estado y rendimiento de esos servidores.
• Los sistemas Integra y TICA tienen más de 600 cuentas de usuario activas que no corresponden a funcionarios con privilegios en el aplicativo o personal cesado. Lo que pone en riesgo la confidencialidad e integridad de la información.
• No se ha realizado revisión y documentación de la completitud y actualización de la información de los sistemas críticos evaluados que permita brindar una garantía razonable de su integridad posterior al ciberataque.
• Además de las alertas generadas por herramientas implementadas por el Ministerio para detectar, analizar y mitigar los riesgos de seguridad, se encontraron 1.660 alertas activas, de las cuales 1.057 son altas y medias, correspondientes al año 2022 y 2023.
• Se identificaron 144 vulnerabilidades en la fortaleza del software de los servidores ante amenazas conocidas, de las cuales 80 son críticas y medias. Estas vulnerabilidades podrían ser explotadas por atacantes para comprometer la seguridad de los sistemas.

Acceda al informe completo en este ENLACE.

Respuesta de Hacienda

Por su parte el Ministerio de Hacienda envío ayer un comunicado de prensa donde aseguró que “esta institución se encuentra mejor preparada para enfrentar cualquier evento que intente afectar sus bases de datos y la continuidad de los servicios”.

La institución destacó que la seguridad de la información institucional no se encuentra comprometida tal y como lo indicó el informe de auditoría realizado por la Contraloría General de la República

Al respecto, Hacienda aclara lo siguiente:

1. Existen dos momentos importantes que debieron ser considerados al divulgar esta información: La situación existente durante el periodo del estudio (1 de enero 2022 al 24 de marzo 2023), dentro de la que se presentó el ciberataque.  La que se tiene a la fecha, cuando el Ministerio de Hacienda ha logrado una optimización y fortalecimiento de la plataforma, donde están operando 304 servidores de producción, todos monitoreados desde el punto de vista de seguridad. De ellos, 185 (61%) son monitoreados en su operación (rendimiento y disponibilidad, entre otros) y para los restantes, ya existe un plan de trabajo que terminará de ejecutarse en tres semanas.
2. Desde el punto de vista de seguridad, los servidores cuentan con la totalidad de las herramientas tecnológicas que permiten determinar y monitorear su estado las 24 horas, todos los días del año.
3. Otro factor importante a considerar es el de las alertas reportadas por la CGR (1660), de las cuales se ha atendido el 80%, mientras el 20% restante está en proceso de cierre; así como de las vulnerabilidades del software, de las que se han subsanado 110 de las 144 reportadas en el estudio.
4. El Ministerio de Hacienda es consciente de su responsabilidad con el resguardo de la información que le confían los usuarios de sus servicios, por eso sigue trabajando en las políticas de seguridad que garanticen la confidencialidad e integridad de sus bases de datos.  A la fecha, se cuenta con una Política Corporativa de Seguridad de la Información y una Específica, conformada, a su vez, por diez lineamientos para prevenir y mitigar riesgos, proteger la información institucional y mejorar controles internos, entre otros, todos de acatamiento obligatorio por parte de su personal. Para garantizar el acceso a la información únicamente al personal que corresponda, realiza un plan de revisión y seguimiento de las autorizaciones.

5. En cuanto a la continuidad del negocio, este Ministerio ha venido trabajando arduamente en el desarrollo de un Sistema de Gestión de Continuidad del Negocio, conformado por un conjunto de políticas, procedimientos y herramientas que permitan garantizar la atención a los usuarios y el suministro de los servicios ante cualquier evento.

El Ministerio de Hacienda reitera que la seguridad de su información no está en riesgo, y que su situación actual, dista mucho de la que enfrentó con el ciberataque del 2022.