La ausencia de los reportes mensuales y los retrasos en las publicaciones oficiales evidencian deficiencias estructurales en la ciberseguridad pública; proponen enmiendas a la Ley Núm. 40 para mejorar la transparencia y la protección ciudadana
Cuando último atendimos el tema de la ciberseguridad gubernamental, analizamos el caso del hackeo ocurrido en el Día de Acción de Gracias. Sugerimos que, bajo el Artículo 7.11 de la Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico, TrueNorth debió someter un informe sobre los incidentes de ciberseguridad ocurridos en el mes de noviembre.
A esos efectos, sometí un pedido de acceso a la información bajo la Ley Núm. 141, conocida coloquialmente como la Ley de Transparencia, para acceder al informe y ver los detalles. Los siguientes son extractos de la contestación al pedido que hice a la Puerto Rico Innovation and Technology Service (PRITS):
“De los archivos examinados no surge que exista en posesión de PRITS un informe mensual de la entidad Truenorth, Corp. para el mes de noviembre presentado al amparo del Art. 7.11 de la Ley Núm. 40 de 18 de enero de 2024, conocida como la Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico.”
La carta continúa:
“Habiendo cumplido con la respuesta a su requerimiento, deseamos aclarar que las contrataciones presentadas por las agencias bajo nuestra jurisdicción para aprobación en la que el proveedor es la entidad Truenorth Corp., no son contratos cuyo objeto principal sea la prestación de servicios de ciberseguridad. En muchas ocasiones, la ciberseguridad puede ser un componente accesorio que el proveedor debe atender bajo los estándares de la industria (en su ambiente), pero no es un servicio que el Gobierno de Puerto Rico reciba en materia de ciberseguridad.”
Como establecen el Artículo 7.11 y la carta, el contratista TrueNorth específicamente tendría que tener un contrato de servicios de ciberseguridad para tener que rendir este informe y no ser una parte accesoria de cualquier sistema que se cree. Por lo general, cuando uno crea un sistema de información también tiene que tener una manera de protegerlo. Ya sea que compre un producto o desarrolle esa capacidad internamente, tiene que protegerlo. Al TrueNorth dar servicios de infraestructura a tantas agencias, se convierte en su espina dorsal y, si no hay más proveedores en la agencia, en un punto central de fallo.
Adicionalmente, PRITS no ha publicado el informe trimestral de ciberseguridad desde marzo de 2025, según su propia página oficial. Lo cual deja desprovistos a la ciudadanía y a la legislatura de información crucial sobre el estado de su información personal en las agencias. Parte del atraso es la incapacidad de llenar la silla del Director de PRITS con un nominado que cumpla con la política de la Gobernadora y, a la misma vez, con la política del Presidente del Senado. Esa pelea interna puede explicar por qué el nominado a la directoría de PRITS, Poincaré Díaz Peña, antiguo Principal Oficial de Seguridad Cibernética, no ha podido producir esos informes.
Propuesta para fortalecer el cumplimiento
Sugiero que se enmiende la Ley Núm. 40 de 2024 para incluir que las compañías contratadas por el gobierno para rendir servicios de infraestructura tecnológica, usando su propio equipo corporativo o manejando un proveedor de Cloud Computing (Amazon, Google, Azure, etc.), preparen y hagan público un informe post incidente (postmortem) a más tardar 30 días luego de la emergencia de un incidente de ciberseguridad. En el informe detallarán:
- el incidente en general;
- una línea de tiempo de los sucesos;
- análisis de impacto;
- las causas técnicas específicas que llevaron al incidente, si es posible atándolo a incidentes previos registrados en las bases de datos de incidentes globales (CVE’s);
- la respuesta y recuperación del incidente;
- lecciones aprendidas;
- plan de acción;
- y, de conocerse, incluir los posibles autores del incidente.
Se puede ir más allá y ordenar la creación de una base de datos de nuestros incidentes para compartirla abiertamente y aportar a la red de conocimiento de ciberseguridad.
Adicionalmente, se le debe requerir al proveedor de servicios que obtenga una póliza de seguros para proteger la identidad y crédito de los ciudadanos afectados luego del incidente.
Cuando ocurren estos incidentes, los ciudadanos están buscando respuestas ante las preguntas que surgen frente a la complejidad de estos sistemas. Entiendo que el tipo de solución que presentamos sería un paso de avance para atender esas preguntas y que luego se puede utilizar para comunicar lo que sucedió de manera sencilla.
Recuerden que la Ley Núm. 40 salió del incidente masivo de ciberseguridad de AutoExpreso, el cual dejó al sistema inoperable por meses largos. Al día de hoy se desconoce lo que realmente pasó. Logremos que estos y futuros incidentes salgan a la luz del día y podamos aprender de ellos.
