Luego de ocho meses desde hackeo, Recope no ha recuperado totalidad de sistemas informáticos según CGR

Después del ciberataque perpetrado contra los sistemas informáticos de la Refinadora Costarricense de Petróleo (Recope) a finales de noviembre pasado, la institución aún no ha logrado reestablecer la totalidad de sus sistemas, según determinó un estudio de la Contraloría General de la República (CGR).

En ese sentido, diferentes variables relacionadas con algunas debilidades en el aseguramiento de la continuidad del negocio fueron halladas en el informe DFOE-SOS-IAD-00006-2025 que, según la CGR, podrían tener como consecuencia una eventual paralización de servicios críticos por tiempos prolongados, afectando a usuarios internos y externos.

"Las situaciones encontradas se deben a una falta de articulación institucional para asumir la continuidad del negocio como una responsabilidad esencial y priorizada en la organización", indica el reporte, que añade deficiencias en planes de recuperación para validar que los sistemas puedan funcionar ante posibles eventos disruptivos.

Asimismo, el órgano fiscalizador determinó la carencia de múltiples factores de autenticación en sistemas críticos de Recope, un total de 20 cuentas de personas desconocidas por la organización y dos años sin que se haya dado mantenimiento preventivo a la totalidad de los equipos del Departamento de Automatización y Control Industrial.

"Existen debilidades en los controles de ciberseguridad. Recope no cuenta con un sistema para gestionar activamente las vulnerabilidades de su infraestructura y el cifrado de datos es parcial (...). Las deficiencias encontradas se originan en la falta de un direccionamiento estratégico claro y en la inobservancia de la normativa interna", añade el órgano contralor.

Recope: "hallazgos descritos no reflejan la realidad"

AmeliaRueda.com solicitó una reacción institucional a Recope sobre lo descrito por la CGR en el mencionado informe, indicándose que tales hallazgos no reflejan la realidad de la empresa, siendo que, a partir del ciberataque, se produjo un cambio estructural en la gestión de la ciberseguridad y los sistemas de información.

"Se levantó una red nueva con medidas robustas, cambios de contraseña, sistemas obligatorios de doble autenticación, prohibición e imposibilidad de utilización de dispositivos externos de almacenamiento. Cada computadora, conexión y proceso están ahora bajo un control riguroso", indicaron desde la institución.

Asimismo, aclararon que durante el ciberataque la empresa pública reaccionó de forma oportuna, activando sus sistemas de continuidad del negocio y protocolos de emergencia que permitieron reestablecer en un lapso de seis horas la atención a los clientes y garantizar el abastecimiento de combustible en todo el país, incluso con horario ampliado.

"Nuestros protocolos funcionaron y así lo reconoció el propio Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), que destacó las buenas prácticas aplicadas por Recope en la gestión de incidentes de seguridad".

Pese a que el periodo de análisis del informe de la CGR comprendió desde el 1 de enero de 2023 al 31 de diciembre de 2024, se destacan situaciones que trascienden ese rango de tiempo. 

El informe dispone a la presidencia ejecutiva de Recope, así como a la Dirección de Tecnología entregar a más tardar el 30 de junio de 2027 un primer informe del avance en la implementación de un Sistema de Gestión de la Continuidad del Negocio (SGCN) y la elaboración y aplicación de mecanismos de control de ciberseguridad, entre otras disposiciones.

"Cuando esta Administración asumió las riendas de la empresa, la ciberseguridad recaía prácticamente en una sola persona. Hoy la empresa cuenta con un equipo especializado, con sistemas de monitoreo permanente 24/7 y con protocolos mucho más robustos, sin dejar un solo espacio desprotegido", añadieron en Recope.