En los últimos años, el gobierno central y varios municipios de Puerto Rico han sido blanco constante de ciberataques. Desde ransomware hasta filtraciones de datos, estos incidentes no solo afectan la continuidad de los servicios, sino que también exponen la fragilidad de la infraestructura digital gubernamental. Pero surge una pregunta inevitable: ¿Cómo es posible que esto ocurra, cuando existe una agencia como PRITS y cada agencia del gobierno cuenta —al menos en teoría— con sus propios equipos de ciberseguridad?
A continuación, desgloso las principales razones que explican esta preocupante realidad:
1. PRITS: Rol limitado y sin autoridad vinculante
El Puerto Rico Innovation and Technology Service (PRITS) fue creado para estandarizar y asesorar en temas tecnológicos a nivel gubernamental. No obstante, su función es más orientadora que fiscalizadora, lo que significa que sus recomendaciones muchas veces no se aplican, o se implementan parcialmente. Sin mecanismos de auditoría estrictos ni consecuencias claras por el incumplimiento, muchas agencias siguen operando con prácticas tecnológicas obsoletas o inseguras.
2. Falta de implementación real de políticas de seguridad
Aunque en papel muchas agencias cuentan con políticas de ciberseguridad, la ejecución práctica es deficiente. No se aplican controles como la autenticación multifactor, las actualizaciones periódicas de software, el cifrado de datos o la segmentación de redes internas. Esto deja las puertas abiertas a ataques incluso básicos.
3. Escasez de personal capacitado (y mal remunerado)
Uno de los factores más críticos es la dificultad para atraer y retener talento técnico cualificado. En muchas agencias y municipios, los salarios que se ofrecen a personal de tecnología son muy por debajo del promedio del sector privado, lo que provoca una fuga constante de talento hacia empresas mejor pagadas. En ocasiones, un técnico de redes o un especialista en seguridad puede ganar en el sector público menos que un oficinista, a pesar de tener certificaciones, experiencia y gran responsabilidad operativa. Esto contribuye a que los pocos técnicos que quedan estén sobrecargados, mal capacitados o desmotivados.
4. Presupuestos insuficientes
La seguridad digital requiere inversión: licencias de software, firewalls de nueva generación, sistemas de detección de intrusos (IDS), respaldos automatizados, servicios de monitoreo, entre otros. Pero en muchos casos, la ciberseguridad no es una prioridad presupuestaria, especialmente en municipios pequeños, donde los fondos se destinan a otras áreas más visibles políticamente.
5. Dependencia excesiva de contratistas externos
En lugar de fortalecer sus equipos internos, muchas agencias delegan la seguridad digital a contratistas, a veces sin contratos formales o sin una supervisión adecuada. Esto conlleva riesgos importantes de configuración errónea, negligencia o incluso conflictos de interés, si estos contratistas tienen acceso completo a la infraestructura sin rendición de cuentas.
6. Infraestructura tecnológica obsoleta
Es común encontrar servidores sin soporte, redes mal segmentadas, sistemas operativos desactualizados y hardware obsoleto en oficinas gubernamentales. Este tipo de entorno es un campo fértil para los ciberatacantes, que aprovechan vulnerabilidades conocidas y sin parchear.
7. Cultura organizacional ajena a la ciberseguridad
La seguridad informática no solo depende de los sistemas, sino de las personas. En muchas agencias, no existe una cultura de prevención ni protocolos claros frente a amenazas como el phishing o el uso indebido del correo institucional. Sin educación constante y campañas de concienciación, cualquier empleado puede convertirse en el punto de entrada de un ciberataque.
8. Falta de auditorías independientes y pruebas de seguridad
Pocas agencias realizan auditorías de seguridad externas o pruebas de penetración (pentesting). Sin evaluaciones constantes, es imposible saber qué tan expuesta está una red. Esta falta de fiscalización contribuye a una falsa sensación de seguridad que puede tener consecuencias costosas.
9. Corrupción en las contrataciones
En algunos casos, la corrupción influye directamente en la gestión tecnológica. Se contratan empresas de TI o administradores de sistemas por conexiones políticas, no por mérito o experiencia, lo que se traduce en configuraciones deficientes, falta de controles, decisiones técnicas erróneas y uso ineficiente de los recursos públicos. Esta práctica mina la capacidad de respuesta ante ciberamenazas y convierte la infraestructura tecnológica en una bomba de tiempo.
Conclusión
Puerto Rico cuenta con una estructura básica para atender los temas de tecnología y ciberseguridad, pero esa estructura carece de fuerza si no se acompaña de voluntad política, presupuesto, capacitación, sueldos justos y una cultura institucional enfocada en la prevención. Los ciberataques seguirán ocurriendo mientras se sigan tratando como problemas técnicos aislados y no como amenazas estratégicas a la gobernanza, la privacidad y la confianza pública.