Sala IV: Aplicación de ciberseguridad no vulnera privacidad a funcionarios en teletrabajo
La Sala Constitucional determinó que el uso de una herramienta de ciberseguridad instalada en aparatos tecnológicos, no significa una invasión la privacidad de empleados públicos que hacen teletrabajo.
Así lo estableció la Sala IV en la sentencia 2025-32917, bajo el expediente 25-024824-0007-CO, sobre la exigencia en la autenticación multifactor en dispositivos personales.
"El tutelado quien labora para la SUTEL como Jefe de la Dirección General de Calidad, señala que los jerarcas de dicha entidad obligaron a los funcionarios a instalar en sus dispositivos móviles personales la aplicación AuthPoint de WatchGuard como mecanismo de doble factor de autenticación (en lugar de hacer uso de otros medios también disponibles), para poder realizar teletrabajo.
Afirma que esa disposición violenta lo dispuesto en el artículo 24 de la Constitución Política y sus derechos a la intimidad, a la inviolabilidad de documentos y al secreto de las comunicaciones. Se declara sin lugar el recurso", indicó el ente constitucional en el por tanto del recurso de amparo interpuesto por un empleado de la Superintendencia de Telecomunicaciones (SUTEL), pues consideró que se está frente a una decisión institucional sustentada en criterios técnicos.
El tribunal constitucional fue claro en que la modalidad de teletrabajo es una herramienta opcional para el recurrente.
"Es importante tomar en cuenta –tal y como informó la autoridad recurrida– que la implementación del doble factor de autenticación en el dispositivo móvil propiedad de un funcionario de la SUTEL no es una obligación impuesta ni obstaculiza su trabajo, sino que es una medida de seguridad que deben implementar, únicamente, si desean laborar en la modalidad de teletrabajo.
En ese sentido, es claro que, si no desean instalar la herramienta en análisis en sus dispositivos móviles, los funcionarios (como es el caso del recurrente), tienen la posibilidad de realizar sus labores de forma presencial en las oficinas de la SUTEL. Bajo dicha inteligencia, al descartarse quebranto alguno a los derechos fundamentales del recurrente, lo que procede es desestimar el presente proceso de amparo", concluye la sentencia.
De acuerdo con la empresa WatchGuard, AuthPoint MFA usa el ADN de dispositivo móvil para verificar el teléfono del usuario autorizado en el momento de otorgar acceso a sistemas y aplicaciones. Por lo tanto, se bloquearía a cualquier atacante que clone el dispositivo de un usuario en un intento de acceder a un sistema protegido, ya que el ADN del dispositivo sería diferente.
Para los usuarios no móviles, la solución son los hardware tokens complementarios. El proceso de autenticación que usan estos tokens está basado en la nube, lo que garantiza que los datos sensibles no queden expuestos. Los archivos semilla se crean en una red segura aislada de Internet.
Medidas de autenticación multifactor
El 2 de julio del año pasado, el Ministerio de Planificación Nacional y Política Económica (Mideplán) y el de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), instruyeron la revisión integral de los servicios de acceso remoto mediante redes privadas virtuales (VPN) en todas las instituciones del Estado.
De esta manera, estos servicios debían contar obligatoriamente con autenticación multifactor (2FA) y restricciones por geolocalización, que permitieran únicamente conexiones originadas desde el territorio nacional.
"Para proteger la información del gobierno y de la ciudadanía, se ha ordenado a las instituciones públicas que suspendan el teletrabajo para aquellos empleados que necesitan conectarse a los sistemas internos de forma remota (usando una VPN), si no cuentan con medidas de seguridad mínimas.
Estas medidas incluyen la autenticación multifactor que pide una segunda verificación además de la contraseña y la restricción de acceso por ubicación geográfica. Esto significa que, si una VPN no tiene estas protecciones, debe suspenderse su uso hasta que se apliquen las mejoras de seguridad necesarias", informaron ambas entidades en un comunicado en aquella oportunidad.
Asimismo, el ente encargado del empleo público y el que tiene a cargo de la tecnología digital recordaron que durante la modalidad de teletrabajo no se debe utilizar redes Wi-Fi públicas, debido al alto riesgo que representan para la seguridad de la información.
Adicionalmente, recalcaron que no está permitida la conexión de computadoras personales a las redes informáticas institucionales si estas no cuentan con los controles de seguridad necesarios para proteger adecuadamente la plataforma tecnológica, debido al riesgo de seguridad que ello representa para la seguridad institucional.
"Una vez implementadas las medidas de seguridad establecidas por el Micitt, las instituciones estarán en capacidad de restablecer el beneficio de teletrabajo, debiendo notificar a la Dirección de Ciberseguridad del Ministerio el cumplimiento de los requerimientos técnicos correspondientes", concluyeron en el aviso en ese momento.