Decreto que esta consulta responde a un mando urgente de la Contraloría para defender al país de los hackers
Ciberseguridad debe ser coordinada por el MICITT y no por Sutel, según ministra Paula Bogantes
Diputadas opositoras piden que organismo técnico y no político coordine todo lo referente al tema
Esteban Arrieta earrieta@larepublica.net | Lunes 19 mayo, 2025
Con el objetivo de proteger mejor a Costa Rica de un nuevo ataque cibernético como el vivido en 2022, cuando los hackers atacaron la Caja Costarricense del Seguro Social (CCSS), es vital que los diputados y diputadas entiendan que la Dirección Nacional de Ciberseguridad debe estar adscrita a una entidad con enfoque en seguridad nacional como el Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT) y no la SUTEL.
Lea más: Ciberseguridad requiere estándares obligatorios y sanciones claras, según diputadas
La advertencia la hace Paula Bogantes, jerarca del Ministerio ante una consulta de LA REPÚBLICA, en torno al proyecto 24.939; el cual pretende establecer una ley marco de ciberseguridad para Costa Rica.
Para la jerarca, la Superintendencia de Telecomunicaciones (SUTEL) no tiene las competencias adecuadas para encargarse de esta tarea.
“Las funciones de la SUTEL se centran en aspectos como la asignación de espectro radioeléctrico, las interconexiones de redes y la calidad del servicio, entre otros. No obstante, la ciberseguridad abarca elementos, fines, objetivos y servicios mucho más amplios que únicamente el sector de las telecomunicaciones. A manera de ejemplo, la ciberseguridad incluye dentro de sus aspectos funcionales técnicos la protección de infraestructuras críticas en sectores como energía, salud, finanzas, transporte y servicios gubernamentales, así como la gestión de riesgos cibernéticos, la respuesta a incidentes y la cooperación internacional en materia de seguridad digital”, dijo Bogantes.
Lea más: Inteligencia artificial y celulares: conozca los retos en ciberseguridad
Y es que para garantizar la ciberseguridad, hay que entender que la ciberseguridad tiene un carácter transversal y debe integrarse en todos los procesos organizacionales, considerando diversas áreas tecnológicas como OT (tecnología operativa), IT (tecnología de la información), inteligencia artificial (IA), Internet de las Cosas (IoT), computación en la nube, big data y blockchain, entre otras áreas.
Asimismo, es fundamental asegurar la protección de infraestructuras críticas, garantizando una integración segura y resiliente de todos estos componentes tecnológicos en las organizaciones, agregó la jerarca.
La ministra aclaró que un decreto para regular todo el área está en consulta mientras los diputados aprueban una ley marco, ya que la Contraloría ordenó tomar acciones urgentes para proteger al país.
Diferencia de criterios
Mientras tanto, diputadas de oposición cuestionan el enfoque del gobierno y alegan que se debe aprobar una ley cuanto antes, a la vez que señalan que la ciberseguridad no puede ser politizada y por ello se requiere de un órgano rector técnico.
“La propuesta legislativa trae sanciones para las empresas e instituciones públicas; además de promover una infraestructura pública con mayor capacidad de resistir un ataque cibernético. Otro punto fundamental es que estamos dejando la gobernanza en la SUTEL, que es un organismo técnico y no en el Ministerio de Ciencia y Tecnología, que por su naturaleza estatal, es un ente político y, por tanto, sesgado”, dijo Johana Obando, diputada independiente.
Cambios y más cambios
Para garantizar una protección transversal en materia de seguridad para todo el sector público, el Ministerio de Ciencia, Tecnología y Telecomunicaciones pide varios cambios al proyecto 24.939; el cual tiene como objetivo preparar a Costa Rica ante un nuevo ataque informático.
| Tema | Explicación |
|---|---|
| Jerarquía | Dirección Nacional de Ciberseguridad debe estar adscrita a una entidad con enfoque en seguridad nacional como el Ministerio de Ciencia y Tecnología, y no la SUTEL |
| Ámbito de aplicación | La ley debe tener un alcance transversal a todos los poderes del Estado (Ejecutivo, Legislativo,
Judicial), así como municipalidades, entes autónomos y semiautónomos. El texto actual limita su aplicación solo a instituciones del Poder Ejecutivo y administradores de infraestructura crítica. |
| Coordinación | El proyecto de ley debe incorporar expresamente: Al Ministerio Público y al OIJ como actores clave en la
respuesta a incidentes, debido a la naturaleza penal de la mayoría de los ciberataques, así como a la
DIS para integrar la función de inteligencia nacional en el monitoreo y respuesta ante amenazas
complejas. Esto implica protocolos claros de actuación conjunta, cadena de custodia y preservación de evidencia digital. |
| Inclusión de actores no estatales | Deben establecerse mecanismos obligatorios de coordinación con: Empresas concesionarias de servicios públicos esenciales, proveedores tecnológicos y sector académico |
| Estándares internacionales | El marco legal debe reforzar el marco legal de colaboración interinstitucional para cumplir con los estándares del Convenio de Budapest |
