Edgar Fonseca, editor/Foto Casa Presidencial

El Ministro de Hacienda, Elián Villegas, denunció hoy ante la Fiscalía de Fraudes el ataque cibernético que paralizó desde el lunes las plataformas tributarias ATV y TICA, acción atribuida a un grupo internacional denominado Conti.

Villegas pidió que se investiguen los hechos denunciados y se sienten las responsabilidades del caso, y en caso de comprobarse los mismos, se impongan las sanciones penales que se consideren pertinentes. (Texto adjunto de la denuncia)

El ataque generó el reclamo del sector industrial que sostuvo que hay un colapso en los trámites dee importaciín de mercaderías en fronteras, puertols y aeropuertos.

Jorge Mora, director de Gobernanza Digital, del Ministerio de Innovación, Ciencia, Tecnología y Telecomunicaciones (MICITT ) reconoció que la acción cibercriminal se atribuye al grupo Conti al que las autoridades de EE.UU. vinculan a más de 1.000 acciones similares en ese país y en otras naciones.

El grupo habría exigido un “pago de un rescate” por $10 millones por los archivos secuestrados.

El gobierno no confirma tal exigencia pero el ministro Villegas advirtió que el Estado no debe ceder a una demanda de esas porque es ilegal.

El supuesto grupo hackeador amenaza con divulgar a partir del 23 de abril los datos secuestrados.

Hacienda sostiene que se trata de datos históricos de la Dirección General de Aduanas.

Paola Vega, titular del MICITT, confirmó hoy que también detectaron ataques cibernéticos en esa dependencia, IMN y RACSA, aunque de menor severidad a los enfrentados por Hacienda.

La CCSS informó que hoy detectaron una acción cibernética contra la plataforma de Recursos Humanos pero fue controlada a tiempo.


Denuncia del Ministerio de Hacienda ante Fiscalía de Fraudes

Sistemas vulnerados

Para su conocimiento y fines pertinentes, le informo que según comunicó la Dirección de Tecnologías de Información y Comunicación de esta Cartera, los sistemas informáticos fueron presuntamente vulnerados por terceras personas ajenas a esta Cartera, lo cual eventualmente puede ser constitutivo de un hecho delictivo.

Relación de Hechos

El día 18 de abril de 2022, la Dirección de Información y Comunicación de esta Cartera informó mediante el correo electrónico institucional de las 09:26 horas, que estaban presentando problemas técnicos en los Sistemas informáticos Administración Tributaria Virtual (ATV), el Sistema de Información para el Control Aduanero (TICA) y en la página web del Ministerio.

Posteriormente diversos medios de comunicación dieron a conocer la noticia sobre un presunto hackeo a los sistemas informáticos de este Ministerio, destacando lo indicado en la red social Twitter por el usuario @_bettercyber_ y las siguientes notas periodísticas de los medios de comunicación (…).

Así las cosas, se evidencian posibles accesos indebidos a los sistemas por parte de terceras personas no identificadas,que en apariencia se han atribuidos los hechos a través de la red social Twitter.

Normativa

De los hechos expuestos, debe tomarse en cuenta que la legislación costarricense señala la obligación que tiene todo servidor público de seguir el mandato de denunciar todas las conductas presuntamente delictivas que sean de suconocimiento en razón de su función.

En este sentido, siendo que las presentes denuncias pudieran tratarse de una eventual responsabilidad penal, el CódigoProcesal Penal establece:

“ARTICULO 281.- Obligación de denunciar

Tendrán obligación de denunciar los delitos perseguibles de oficio:

a) Los funcionarios o empleados públicos que los conozcan en el ejercicio de sus funciones.

b) (…)

c) Las personas que, por disposición de la ley, de la autoridad o por un acto jurídico tengan a su cargo el manejo, la administración, el cuidado o control de bienes o intereses de una institución, entidad o persona, respecto de delitos cometidos en su perjuicio o en perjuicio de la masa o patrimonio puesto bajo su cargo o control y siempre que conozcan el hecho con motivo del ejercicio de sus funciones. (…)”

Por su parte, el numeral 9 del Reglamento a la Ley contra la Corrupción y el Enriquecimiento Ilícito en la FunciónPública, dispone expresamente que:

“Los funcionarios públicos tienen el deber de denunciar ante las autoridades competentes los actos presuntamente corruptos que se produzcan en la función pública, de los que tengan conocimiento.”

Sobre el particular, resulta claro al tenor de este mandato, que las obligaciones impuestas a los servidores públicos incluyen la defensa de la legalidad establecidas en los artículos 11 de la Constitución Política y 11 de la Ley General dela Administración Pública,

Asimismo, el numeral 105, del Capítulo II “Deberes éticos del Servidor y la Servidora Pública” del Reglamento Autónomo de Servicios del Ministerio de Hacienda, establece:

“Artículo 105. Deber de denuncia. Es obligación de todo servidor(a) formular la denuncia correspondienteante la autoridad competente, cuando en el ejercicio de su cargo tenga conocimiento de cualquierirregularidad en perjuicio del Ministerio, del Estado y de los funcionarios (as).”

De la confrontación de las normas supra citadas, con los hechos descritos, estima este Despacho que en apariencia se configura un delito, razón por la cual se remiten la denuncia respectiva, a efecto de que se ejerzan las medidas correspondientes.

En este orden de ideas, conviene además citar lo dispuesto en el Código de Normas y Procedimientos Tributarios, que dispone:

“Artículo 94.- Acceso desautorizado a la información. Será sancionado con prisión de tres a cinco años quien, en beneficio propio o de un tercero, con peligro o daño para la intimidad o la privacidad o para la integridad de los datos, acceda por cualquier medio a los sistemas de información o bases de datos o a la información contenida en ellos sin la debida autorización de quien deba expedirla o del titular de los datos o, existiendo esta, no cuente con la justificación correspondiente. Será sancionado con prisión de uno a cuatro  años,  quien  instigue,  obligue  o  presione  a  una  persona autorizada para que acceda a la  información  en  beneficio  propio  o de un tercero, con peligro o daño para la intimidad o la privacidad, o para la integridad de los datos.

La pena será de cuatro a seis años de prisión, cuando las conductas descritas en esta norma sean realizadas por personas encargadas de administrar o dar soporte al sistema o la red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.”

“Artículo 95.- Manejo indebido de sistemas de información

Será sancionado con pena de tres a cinco años de prisión, quien, sin autorización de la autoridad competente, se apodere, utilice, copie, destruya, inutilice, altere, conserve o transfiera, por cualquier medio,un sistema de información o base de datos o la información contenida en ellos, utilizados por la Administración Tributaria y siempre que no hayan sido declarados de uso público, mediante resolución.

La pena será de cuatro a diez años de prisión, si la acción fue realizada con ánimo de lucro para sí o para un tercero, o si se hubieran obtenido beneficios económicos de la utilización, enajenación, transferencia o destrucción del sistema de información o de la base de datos o de la información contenida en ellos.

(Así reformado por el artículo 16 de la Ley para Mejorar la Lucha contra el Fraude Fiscal, N° 9416 del14 de diciembre de 2016)”

Por su parte, La Ley General de Aduanas establece:

“Articulo 221.- Delitos informáticos

Será reprimido con prisión de uno a tres años quien:

  1. Acceda, sin la autorización correspondiente y por cualquier medio, a los sistemas informáticos utilizados por el Servicio Nacional de Aduanas.
  2. Se apodere, copie, destruya, inutilice, altere, facilite, transfiera o tenga en su poder, sin autorización dela autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el ServicioNacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad.
  3. Dañe los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyenel funcionamiento de los

sistemas informáticos diseñados para las operaciones del Servicio Nacional de Aduanas, con la finalidad de entorpecerlas u obtener beneficio para sí o para otra persona.

  • Facilite el uso del código y la clave de acceso asignados para ingresar en los sistemas informáticos. La pena será de seis meses a un año si el empleo se facilita culposamente.”

“Articulo 222.- Agravante

La pena será de tres a cinco años cuando, en alguna de las causales del artículo anterior, concurra una delas siguientes circunstancias:

  1. Intervengan en el hecho tres o más personas, en calidad de autoras.
  2. Intervenga, en calidad de autor, instigador o cómplice, un funcionario público en ejercicio de susfunciones, con ocasión de ellas o con abuso de su cargo.”

Pretensión

Que se investiguen los hechos denunciados y se sienten las responsabilidades del caso, y en caso de comprobarse losmismos, se impongan las sanciones penales que se consideren pertinentes.