El más reciente reporte de PRITS revela fallas internas y plantea la urgencia de reformar la Ley 40 para garantizar mayor transparencia
Es un experto en el desarrollo de sistemas de software y un profesional en el análisis de política pública. Su enfoque investigativo en la política pública es la innovación ciudadana con relación a tecnología en el Gobierno de Puerto Rico.
La última vez que atendimos el tema del ciberataque del Día de Acción de Gracias, revelamos el contenido de un pedido de acceso a la información que hicimos a PRITS. Este pedido evidenció que la compañía afectada, TrueNorth, no estaba requerida a presentar un informe del incidente de manera pública.
Adicionalmente, propusimos enmiendas a la Ley Núm. 40 de 2024 para asegurar que la información sobre estos incidentes se divulgue rápidamente y otorgar protecciones de crédito a los ciudadanos afectados, entre otras medidas. Para todos los detalles, puede consultar el escrito: “El gobierno sigue sin ofrecer respuestas claras ante los ciberataques”.
A raíz de un nuevo pedido de acceso a la información que realizamos, traemos más detalles sobre el hackeo del Día de Acción de Gracias. En esta ocasión, solicitamos el informe trimestral de ciberseguridad correspondiente al periodo de octubre a diciembre de 2025, el cual debe producir PRITS a través de su Oficina para la Evaluación de Incidentes Cibernéticos. Dicho informe es el primero en hacerse público desde marzo de 2025 y contiene información adicional sobre el incidente.
El documento confirma la versión oficial de que se afectaron tres agencias durante el ataque: el Departamento de Educación, la Administración de Seguros de Salud y el Fondo del Seguro del Estado. Las intrusiones en estos sistemas se atribuyen a una infraestructura de monitoreo que estaba fuera de soporte.
Esto incluye sistemas operativos —por ejemplo, Windows— que ya no recibían actualizaciones o no contaban con las versiones más recientes, así como programas de monitoreo igualmente desactualizados.
El informe también expone que la Universidad de Puerto Rico fue el principal flanco de vulnerabilidad entre octubre y diciembre de 2025, y que la amenaza principal fue la explotación de vulnerabilidades en sistemas operativos y lenguajes de programación de Microsoft.
Esta información proyecta una nueva perspectiva sobre la responsabilidad del ataque. Públicamente, la falla se adscribió al proveedor de servicios tecnológicos de estas agencias, TrueNorth, y no al gobierno —PRITS y su Oficina para la Evaluación de Incidentes Cibernéticos— como parece desprenderse del propio informe. Evidentemente, existe una falla en la comunicación de estos incidentes hacia la ciudadanía.
Adicionalmente, la incapacidad de PRITS para producir varios informes trimestrales consecutivos levanta cuestionamientos sobre el manejo de su carga administrativa y fiscalizadora. El propio director ha expresado su intención de expandir la plantilla, lo que coloca al gobierno en una posición vulnerable hasta el inicio del próximo ciclo presupuestario a mediados de 2026.
El próximo incidente de ciberseguridad no puede esperar más de 60 días calendario para conocerse en detalle. Como sociedad, debemos exigir prontitud tras una emergencia para entender la magnitud del problema y contar con los recursos necesarios para atenderlo.
Por ello, propongo añadir al paquete de enmiendas a la Ley Núm. 40 de 2024 la obligación del gobierno, a través de PRITS y su Oficina para la Evaluación de Incidentes Cibernéticos, de producir un informe post mortem cada vez que ocurra un incidente de ciberseguridad en infraestructura bajo su propiedad o responsabilidad. La producción y publicación de dicho informe no debe exceder los 10 días luego de superada la emergencia inicial.
Otra propuesta sería evaluar el valor público que genera el informe trimestral de ciberseguridad. Aunque en este caso permitió conocer más detalles del hackeo, esa información se divulgó meses después de la emergencia. Un realineamiento de esfuerzos hacia el informe post mortem propuesto podría generar mayor valor público. Combinado con un cambio en la periodicidad del informe trimestral a uno anual, se podría maximizar el impacto con los mismos recursos.
Gracias a la información revelada, pudimos constatar que el gobierno tiene la capacidad de responder con rapidez a incidentes de ciberseguridad. Acompañado del deber de documentar y publicar lo ocurrido de manera oportuna, se abriría un espacio real de rendición de cuentas en una de las áreas gubernamentales más complejas y costosas. Estos cambios, a corto y largo plazo, podrían traducirse en mayor valor público para todos.
