- Detalles
- Tecnología
Ciberseguridad avanza en Costa Rica, pero persisten brechas
La tendencia muestra mejoras en lo declarativo (políticas, reglamentos, protocolos) y en ciertos controles específicos, sin que ello se traduzca en un cierre robusto del ciclo de gestión del riesgo.
La ciberseguridad en Costa Rica se consolida de forma progresiva como un componente clave en la gestión institucional, con una creciente integración en áreas de gobernanza, cumplimiento y gestión de riesgos. A la vez, se confirma una evolución sostenida en sectores regulados como el financiero y el público, donde se observa un fortalecimiento de políticas internas, protocolos de respuesta y acciones de sensibilización, aunque presentan asimetrías y brechas entre sectores.
Así se desprende del tercer informe del Estado de la Ciberseguridad en Costa Rica 2025, elaborado por el Laboratorio de Investigación, Desarrollo e Innovación en Ciberseguridad (LabCIBE) de la Universidad Nacional (UNA), en colaboración con la Vicerrectoría de Investigación de la UNA.
Edgar Vega, coordinador de LabCIBE-UNA, explicó que la investigación aborda la situación anual de la ciberseguridad en el país, la cual se enfoca en tres ejes principales: marco jurídico y normativo, investigación y desarrollo (I+D), así como un diagnóstico situacional basado en una encuesta ampliada en la que participaron 143 instituciones públicas y privadas.
El objetivo central del estudio es ofrecer una herramienta útil para la formulación de políticas públicas, la planificación estratégica institucional y la implementación de medidas efectivas de prevención y respuesta ante incidentes cibernéticos. Sus resultados están dirigidos a autoridades del sector público y privado, organismos de seguridad nacional, empresas tecnológicas, académicos, investigadores y la sociedad civil.
Estructura y metodología
El levantamiento de información correspondiente a la edición 2025 se realizó mediante una encuesta nacional dirigida a organizaciones del sector público y privado, a través de órganos representativos, cámaras empresariales, asociaciones profesionales, entes reguladores y redes institucionales vinculadas al ámbito tecnológico y de la ciberseguridad.
Dicha encuesta registra el nombre de la organización participante con el objetivo de prevenir duplicidades, validar la consistencia de la información y fortalecer la calidad del análisis. Sin embargo, esta información no se publica ni divulga, en cumplimiento de principios de confidencialidad y protección de datos, y dado que el análisis se realiza exclusivamente de forma agregada y estadística.
En consecuencia, los resultados del estudio deben interpretarse como un diagnóstico descriptivo robusto de las organizaciones participantes, que permite identificar patrones, brechas y tendencias relevantes en materia de ciberseguridad, sin que ello implique una inferencia probabilística estricta sobre la totalidad del país.
Avances normativos en 2025
El estudio destaca avances significativos en el marco jurídico durante 2025. En junio se publicó el Decreto Ejecutivo N.º 45061-MICITT, que crea la Dirección de Ciberseguridad, formaliza el CSIRT-CR y el SOC-CR, adopta el marco NIST CSF 2.0 y establece el reporte obligatorio de incidentes en 24 horas para las instituciones gubernamentales.
En octubre, la Ley N.º 10778 aprobó el Segundo Protocolo del Convenio de Budapest sobre Ciberdelincuencia, fortaleciendo los mecanismos de cooperación internacional para la obtención de pruebas digitales. Este instrumento permite a Costa Rica solicitar y proveer asistencia transfronteriza con salvaguardas reforzadas de derechos fundamentales.
Además, el Gobierno de los Estados Unidos formalizó una donación de 25 millones de dólares destinada a fortalecer las capacidades de monitoreo, detección y respuesta en instituciones públicas costarricenses, mediante la implementación de SOC, MDR y servicios de monitoreo continuo.
En conjunto, el informe analiza 10 leyes, 13 instrumentos reglamentarios y 3 estrategias nacionales, de Ciberseguridad, Transformación Digital e Inteligencia Artificial, vigentes en materia de ciberseguridad. A la vez, se gestiona una donación de $25 millones del gobierno de Estados Unidos para fortalecer capacidades de monitoreo y respuesta en instituciones públicas.
Brecha crítica en ciberseguridad
La escasez de personal calificado se posiciona como la barrera más crítica para el avance en investigación y desarrollo en ciberseguridad, señalada por el 94,1% de las instituciones participantes.
El financiamiento se mantiene como otra de las barreras más relevantes, reportado por el 82,4% de las instituciones. Si bien este porcentaje es menor al de 2024, cuando el 100% lo identificó como impedimento principal, continúa representando un factor crítico que afecta la continuidad de las actividades de I+D en ciberseguridad.
En este contexto, el informe señala que Costa Rica invierte apenas el 0,34% del PIB en investigación y desarrollo, cifra constante desde 2020. En contraste, el promedio de los países de la OCDE es del 2,67%, lo que representa una brecha de casi ocho veces respecto al estándar internacional.
Otras barreras identificadas incluyen el acceso a datos e infraestructura (47,1%) y la colaboración público-privada o público-público (35,3%).
En cuanto a la oferta formativa, los resultados muestran un panorama heterogéneo. Solo el 5,56% de las instituciones educativas encuestadas declara contar con una oferta formal, vigente y con catálogo estable en ciberseguridad. Un 38,89% ofrece formación de manera ocasional o ad hoc, un 22,22% se encuentra en proceso de diseño o planificación, y un 27,78% no dispone de ningún programa específico en el área.
Como respuesta a esta brecha, el informe destaca que la UNA, a través del LabCIBE, impulsa la creación de la nueva Maestría Profesional en Ciberseguridad Industrial en la Sede Regional Chorotega, que se suma a la oferta del Tecnológico de Costa Rica y de universidades privadas como Cenfotec.
Presupuesto y transparencia
Los datos sobre asignación presupuestaria revelan un problema que trasciende la insuficiencia de recursos: el 39% de las instituciones desconoce cuánto invierte en ciberseguridad. Esta es la categoría más numerosa del gráfico de distribución presupuestaria, mayor que cualquier rango de inversión reportado.
Entre las instituciones que sí conocen su inversión, el 33,6% asigna menos del 10% del presupuesto de TI a ciberseguridad. El problema no es únicamente de recursos: es de gobernanza financiera. La ciberseguridad continúa siendo, en muchos casos, un componente difuso del presupuesto institucional y no una línea de inversión explícita y trazable.
Estado de gobernanza institucional
Los hallazgos en gobernanza de ciberseguridad revelan un contraste entre avances declarativos y brechas de ejecución:
- 76% de las instituciones tienen la política como instrumento normativo más adoptado sobre el uso de equipos de TI.
- 77% dispone de protocolos de actuación ante incidentes de seguridad.
- 80% cuenta con la alta dirección al menos moderadamente involucrada en decisiones de ciberseguridad.
- 62% no tiene un mecanismo formal de evaluación de riesgos cibernéticos en plena operación.
- 29% no tiene normativa para el uso y administración de redes sociales institucionales o desconoce si existe.
- 35% no realiza ningún tipo de simulacro de phishing o ingeniería social.
Líneas de acción
Ante este panorama, el informe propone las siguientes líneas de acción:
- Fortalecer la formación e investigación mediante la ampliación de la oferta académica y las líneas de I+D.
- Establecer transparencia presupuestaria con líneas de inversión explícitas en ciberseguridad.
- Cerrar las brechas del ciclo de gestión de riesgos.
- Desarrollar mecanismos efectivos de coordinación y reporte entre sectores público y privado.
