CGR: Recope tiene limitada capacidad de respuesta y recuperación ante incidentes informáticos
Una auditoría de la Contraloría General de la República (CGR) determinó una serie de situaciones relacionadas con la ciberseguridad en la Refinadora Costarricense de Petróleo (Recope).
Se trata del oficio DFOE-SOS-IAD-00006-2025, Seguridad de la Información en Recope S.A.
"Los controles de seguridad de la información implementados por Recope S.A. no cumplen en aspectos significativos con los criterios del marco normativo y técnico aplicable, lo que implica una limitada capacidad de respuesta y recuperación ante incidentes, y aumenta la vulnerabilidad de los sistemas críticos a ataques y accesos no autorizados, comprometiendo la integridad, disponibilidad y confidencialidad de la información", señala el reporte.
Lo que se auditó fueron los controles establecidos por Recope para implementar la seguridad de la información, con el fin de determinar si se ajustan al marco regulatorio y buenas prácticas aplicables, a efectos de prevenir afectaciones en la prestación de los servicios. El período de análisis comprendió del 1° de enero de 2023 al 31 de diciembre de 2024, luego de que la entidad fuera atacada por cibercriminales.
El informe del ente controlador indica que si bien existe un modelo de continuidad de negocio y controles de autenticación y entrada de datos, entre otros, los hallazgos identificados apuntan a debilidades sistémicas que exponen a la institución a riesgos que podrían afectar la continuidad de sus operaciones y, en consecuencia, la prestación de servicios esenciales.
En noviembre de 2024, la refinería fue blanco de un ataque informático de ransomware, lo que derivó en la desconexión de sus sistemas informáticos, afectando, entre otros, los sistemas administrativos de ventas, facturación y pagos, y los de controles administrativos y gestor documental.
El incidente propició que los sistemas de facturación para terminales de distribución y aéreas quedaran fuera de funcionamiento. Durante un mes las ventas de combustibles se realizaron de forma manual, entre otras afectaciones.
Consultada al respecto, Karla Montero, presidenta ejecutiva de Recope, respondió que "respecto al informe que publicó la Contraloría, es importante señalar que esos datos no están actualizados ni reflejan la realidad de hoy de Recope. El ciberataque de noviembre de 2024 marcó un antes y un después.
A partir de ese momento implementamos medidas que Recope nunca había tenido en toda su historia. El informe analiza lo sucedido entre el 2023 y el 2024, pero deja por fuera todo lo que se cambió tras ese ataque. Cuando llegamos a administrar Recope, solo una persona llevaba el peso de la ciberseguridad".
Agregó que hoy cuentan con un equipo especializado, monitoreo 24/7, se aplicaron cambios obligatorios de contraseñas, doble autenticación, prohibición de memorias externas y un control de cada computadora, conexión y proceso.
"El ataque nos puso a prueba, pero también demostró nuestra capacidad real de respuesta. En solo seis horas restablecimos la atención a los clientes y garantizamos el suministro de combustibles en todo el país.
Solo una empresa con protocolos sólidos de contingencia y continuidad del negocio diseñados para escenarios de crisis podría responder así. Incluso en medio de la alarma por el hackeo, cuando la gente compró más combustible de lo habitual, logramos atender a todos y mantener el servicio sin interrupciones", añadió la jerarca.
Los informes escritos pueden reflejar el pasado, pero lo que ocurrió posterior al hackeo son realidades palpables. Costa Rica no se detuvo porque Recope supo responder. Hoy esta empresa es distinta, somos más fuertes, seguros y preparados que nunca.
Nuestros sistemas, nuestra gente y nuestros protocolos ya demostraron su eficacia en un escenario real de crisis. Karla Montero
Los hallazgos
Las principales debilidades se concentran en tres áreas clave.
En primer lugar, la capacidad de la entidad para responder ante incidentes de seguridad es limitada.
"Se constató que el análisis de impacto al negocio (BIA), los planes de continuidad del negocio (BCP) y los planes de recuperación de desastres (DRP) carecen de elementos esenciales y no están alineados entre sí.
Esta deficiencia quedó evidenciada en el ciberataque de noviembre de 2024, donde la recuperación total de los sistemas aún no se había completado para julio de 2025, lo que se traduce en tiempos de inactividad prolongados que afectan a usuarios internos y externos", manifiesta el documento.
En segundo lugar, se identificaron fallas en los controles de operación y mantenimiento de los sistemas. Se determinó que los sistemas críticos de la entidad carecen de medidas de seguridad fundamentales, como la autenticación de múltiple factor. Además, se permite el uso de contraseñas débiles o que no caducan, contrario a lo que establecen las políticas y buenas prácticas.
También se encontró un mantenimiento preventivo deficiente en equipos de operaciones tecnológicas y debilidades en la gestión de contratos con proveedores externos, lo que incrementa las vulnerabilidades de los sistemas y dificulta la trazabilidad y la rendición de cuentas.
"Finalmente, existen debilidades en los controles de ciberseguridad. Recope S.A. no cuenta con un sistema para gestionar activamente las vulnerabilidades de su infraestructura, y el cifrado de datos es parcial.
Se encontraron numerosas cuentas genéricas y de usuarios dados de baja aún activas, lo que constituye un riesgo de acceso no autorizado. Las deficiencias encontradas se originan en la falta de un direccionamiento estratégico claro y en la inobservancia de la normativa interna", concluye el informe.