Recientemente ha sido designado presidente del Cybersec Cluster. ¿Cuáles serán las prioridades estratégicas y los principales objetivos que marcarán esta nueva etapa?
Asumo la presidencia del Cybersec Cluster con el compromiso de consolidar la ciberseguridad como motor de desarrollo, innovación y confianza digital. Durante los próximos dos años trabajaremos en fortalecer el ecosistema de emprendimiento y atraer inversión extranjera, capitalizando el talento humano formado en los últimos años. Continuaremos impulsando iniciativas en talento, cooperación internacional y articulación del ecosistema, con el objetivo de generar más empresas, más empleo especializado y posicionar al país como un referente regional en ciberseguridad.
Desde su experiencia, ¿cuáles son las amenazas que están impactando con mayor intensidad a las organizaciones tanto en Costa Rica como en Latinoamérica?
He observado que la amenaza que más impacta es el Business Email Compromise en sus diferentes variantes. Se trata de una estafa en la que el delincuente logra obtener acceso a un correo electrónico y, a partir de ahí, actúa con cautela: observa, aprende durante un periodo considerable y espera el momento oportuno para enviar un mensaje que busque modificar cuentas bancarias en procesos de pago.
Cuando logra que estas cuentas sean cambiadas, las transferencias reales son ejecutadas por personas autorizadas dentro de la empresa, sin percatarse de que el dinero está siendo dirigido a un destino distinto al esperado. Esto genera un impacto significativo, ya que golpea directamente las finanzas de la organización.
Por otro lado, situaciones como el secuestro y la extorsión también pueden afectar, principalmente en el desarrollo operativo. Sin embargo, hoy en día hay un mayor número de empresas que se preparan con respaldos para poder recuperarse. Claro está que esto depende en gran medida del tamaño de la empresa y de su grado de automatización, lo que define la magnitud real del impacto.
Sin duda, las organizaciones se han convertido en un blanco seleccionado; para el delincuente esto es un negocio y siempre busca el mayor rédito posible. En ese sentido, las empresas con una presencia digital descuidada resultan especialmente atractivas. Asimismo, incluso aquellas que no tienen una gran exposición digital pero que sí manejan movimientos económicos relevantes, muchas veces a través de canales no tan protegidos, también se vuelven objetivos interesantes.
No me enfoco en un segmento específico de industria como el más afectado, porque la realidad es que lo he visto en varios: agentes de bienes raíces, empresas de logística, manufactura, agencias aduanales y tiendas en línea, entre otros que vienen a mi mente.
¿Cómo describiría la evolución del grado de madurez en ciberseguridad de las organizaciones costarricenses en los últimos años? ¿En qué aspectos deben mejorar?
Costa Rica vivió en 2022 un ciberataque de gran escala que marcó un antes y un después en la forma en que el país aborda la ciberseguridad. Cuatro años después considero que, en términos de respuesta central, el país, en particular desde el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones, ha evolucionado de manera significativa. Sin embargo, esto no implica necesariamente que todas las instituciones hayan avanzado al mismo ritmo, ya que todavía existe una brecha entre las entidades.
En cuanto a la madurez en ciberseguridad de las organizaciones costarricenses, sí se percibe una evolución en los últimos años: mayor conciencia, mayor inversión y una mejor comprensión del riesgo. Aun así, el principal punto de mejora sigue siendo la capacidad de respuesta ante incidentes. Tener una respuesta bien definida, pensada y, sobre todo, practicada reduce considerablemente el impacto de un incidente. Además, permite identificar debilidades en los procesos de prevención y detección, lo que fortalece el enfoque integral de seguridad.
En el ámbito normativo, ¿qué avances, desarrollos o ajustes considera necesarios para reforzar el marco de la ciberseguridad en Costa Rica?
En el ámbito normativo, considero que uno de los principales avances necesarios es contar con una visión integral de los marcos regulatorios, especialmente en el sector financiero, y entender bajo qué bases de mejores prácticas se están gestionando.
Hoy en día, las instituciones financieras deben administrar una complejidad considerable en temas de cumplimiento. Si logramos simplificar y armonizar la forma en que reportan, el beneficio sería claro: podrían dedicar más tiempo y recursos a la gestión efectiva de la ciberseguridad, y no solo al cumplimiento normativo.
Por otra parte, es clave avanzar hacia una sociedad mejor organizada mediante una Ley de Ciberseguridad Nacional. Más allá del concepto, necesitamos definir de forma clara qué se considera infraestructura crítica, bajo criterios revisables y dinámicos; así como establecer responsabilidades concretas para quienes la administran, tanto en el sector público como en el privado. Esto incluye obligaciones como el reporte oportuno de incidentes, la adopción de controles mínimos de seguridad y la realización de ejercicios periódicos de respuesta. Asimismo, debe existir un modelo de gobernanza claro que articule al Estado con el sector privado, junto con incentivos y consecuencias que realmente impulsen el cumplimiento.
Además, con el incremento del cibercrimen, es fundamental fortalecer aspectos como el peritaje digital. Se requiere una ley que no solo establezca protocolos claros, sino que también defina una cadena de custodia estricta para la evidencia digital, estandarice metodologías forenses y regule la acreditación formal de los peritos, asegurando su idoneidad. De igual forma, es importante fortalecer las capacidades técnicas dentro del sistema judicial para que jueces y fiscales puedan valorar adecuadamente este tipo de evidencia.
Todo esto tiene un impacto directo en los procesos judiciales: permite contar con pruebas más sólidas, reduce el riesgo de que los casos se caigan por fallas técnicas en la recolección de evidencia, agiliza los procesos y, en consecuencia, disminuye la impunidad. A largo plazo, un sistema más robusto en este sentido no solo brinda mayor respaldo a la ciudadanía, sino que también eleva el costo para el delincuente y actúa como un elemento disuasivo.
“Tener una respuesta bien definida, pensada y, sobre todo, practicada reduce considerablemente el impacto de un incidente”
Ante la irrupción de tecnologías como la IA, el blockchain o la computación cuántica, ¿cuáles tendrán un mayor impacto en la ciberseguridad a corto plazo y por qué?
A corto plazo, sin duda la tecnología que está teniendo un mayor impacto es la inteligencia artificial. No solo porque está al alcance de más actores, sino porque reduce significativamente la barrera de entrada para el cibercrimen. Hoy vemos cómo permite automatizar ataques, generar campañas de phishing mucho más creíbles y escalar operaciones con mayor rapidez y menor costo. Del lado defensivo también aporta valor, pero la velocidad de adopción por parte de los atacantes está marcando la pauta.
El blockchain no ha migrado ni evolucionado a operaciones basadas cien por cien en esa tecnología. Casos como el de Nasdaq nos presentan un proceso de adopción inicial por tokenización y, como ese ejemplo, hay otros que nos demuestran que su impacto es más puntual. No podemos olvidar que la tecnología ha fortalecido ciertos modelos de confianza y trazabilidad, pero también ha abierto nuevos vectores de ataque, especialmente en ecosistemas como DeFi, donde la seguridad de los contratos inteligentes sigue siendo un reto importante.
Y la computación cuántica aún no representa un riesgo en términos prácticos. Sigue siendo una tecnología en desarrollo de laboratorio que no hay que perder de vista. Pero, a mediano plazo, podría comprometer esquemas criptográficos actuales, por lo que es importante empezar a prepararse ya, especialmente en la protección de la información que requiere confidencialidad a largo plazo.
Uno de los ejes del Cybersec Cluster es el desarrollo de talento. ¿Qué estrategias considera clave para reducir el déficit de profesionales en ciberseguridad en Latinoamérica?
La ciberseguridad es un espectro muy amplio, y es importante entender que no se trata de formar perfiles generalistas en todos los casos, sino de avanzar hacia esquemas de especialización. Esto permite reducir los tiempos de preparación y contar más rápidamente con recurso humano listo para integrarse en áreas específicas de ciberseguridad.
Con esa idea en mente, se puede empezar desde los colegios técnicos, promoviendo formación orientada a especialidades concretas. De esta forma, un grupo de personas puede habilitarse en un plazo relativamente corto para ingresar al mercado laboral con un enfoque claro.
Por otra parte, existe un grupo muy valioso de profesionales con experiencia en tecnología que pueden realizar una reconversión de carrera hacia la ciberseguridad. Este proceso suele ser más ágil, ya que parten de bases sólidas y pueden adaptarse rápidamente a nuevas funciones.
La combinación de estas dos estrategias permite cerrar la brecha de talento: por un lado, se incorporan perfiles especializados en etapas tempranas; y por otro, se cuenta con profesionales con experiencia que pueden liderar, guiar y asumir el control en situaciones más complejas.
