El Gobierno de Costa Rica ha ordenado una pausa obligatoria en el teletrabajo para todos los funcionarios públicos que se conectan de forma remota a los sistemas institucionales, si no cuentan con medidas básicas de ciberseguridad. Esta medida busca frenar vulnerabilidades que podrían poner en riesgo información sensible del Estado y de la ciudadanía.
La decisión fue comunicada por el Ministerio de Planificación Nacional y Política Económica (Mideplan) y el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), quienes advirtieron que ningún funcionario podrá continuar trabajando desde casa si su acceso remoto no cumple con ciertos estándares mínimos de protección digital.
¿Qué exige el Gobierno para permitir el teletrabajo?
Las instituciones deberán garantizar una serie de condiciones para que sus colaboradores puedan seguir trabajando desde casa con acceso a redes internas mediante VPN. Las reglas incluyen:
- Autenticación multifactor (2FA): Se deberá verificar la identidad con más de una credencial.
- Control de ubicación geográfica: Para evitar accesos desde países o zonas no autorizadas.
- Prohibición de Wi-Fi públicas: No se permite el uso de redes abiertas, como las de cafeterías o centros comerciales, por su alto riesgo de exposición a ataques.
- Restricciones a dispositivos personales: No se puede conectar una computadora personal a los sistemas del Estado si no cuenta con los debidos controles de seguridad certificados.
El comunicado es claro: si la conexión VPN no cumple con estas condiciones, debe suspenderse de inmediato, hasta que la institución implemente las mejoras requeridas.
¿Por qué se aplica esta medida?
En los últimos años, diversas entidades públicas en Costa Rica han sufrido incidentes cibernéticos serios: desde accesos no autorizados y robo de credenciales, hasta caída de plataformas estatales por mal manejo de redes. Estos eventos han sido atribuidos a configuraciones débiles o la falta de protocolos de ciberseguridad robustos.
Frente a esto, Mideplan y Micitt tomaron acción conjunta para revisar a fondo el uso de VPN en el sector público. La orden aplica a todas las instituciones del Estado, sin excepción, y busca evitar que errores del pasado vuelvan a repetirse.
¿Cuándo se puede reactivar el teletrabajo?
Una vez que se apliquen las mejoras de seguridad digital, las instituciones podrán reactivar el teletrabajo para sus funcionarios. Sin embargo, deberán informar previamente a la Dirección de Ciberseguridad del Micitt, presentando evidencia de que se han implementado los controles requeridos.
Este proceso de verificación es obligatorio y forma parte del nuevo protocolo estatal de acceso remoto seguro.
Contexto adicional:
Esta medida coincide con los esfuerzos del país por modernizar la función pública y adaptarla a los retos tecnológicos actuales. Costa Rica ha sido blanco en el pasado de ciberataques graves, como el del grupo Conti en 2022, que comprometió datos sensibles del Ministerio de Hacienda y otras instituciones. Desde entonces, se han venido fortaleciendo las políticas de ciberseguridad, pero aún existen importantes vacíos que requieren atención inmediata.
En paralelo, la Asamblea Legislativa discute reformas para regular el teletrabajo desde el extranjero, lo que evidencia el avance acelerado del trabajo remoto y la necesidad urgente de establecer normas claras y seguras para este modelo laboral.
