¡El país bajo ataque!

A las 2 de la madrugada, una oficial de seguridad del ministerio toma conciencia. Las llamadas a sus colegas empiezan. La incredulidad de lo que está sucediendo hacía más difícil de aceptar que el riesgo del ataque informático se había materializado y venía a gran escala. El objeto del ataque no fue un servidor, no fueron los sistemas de la administración tributaria, no fue ni siquiera la capacidad de gestión del ministerio. Literalmente, era el país el que estaba siendo atacado.

Entre las consecuencias directas del ataque para la administración tributaria vino inmediatamente la necesidad de analizar otras posibles intromisiones o intervenciones, los sistemas transaccionales fueron suspendidos. Esto significaba que no era posible, por ejemplo, inscribir contribuyentes, recibir y procesar declaraciones o recibir pagos. También que no se podía utilizar los sistemas para realizar pagos, incluyendo los pagos a proveedores. El almuerzo diario de los niños en las escuelas públicas era solo uno de los servicios que podrían haber sido interrumpidos, pero uno que nos ayuda a entender la enorme amenaza.

Sin embargo, el almuerzo diario de los niños en las escuelas, y los otros servicios y funciones del Estado no se detuvieron. La administración tributaria estableció que los 1000 grandes contribuyentes debían pagar sus impuestos aún sin los sistemas transaccionales operativos, utilizando para ello el formulario D-110, que no se usaba desde cuando las declaraciones de impuestos se hacían de forma manual. Se buscaba así asegurar la recaudación de la mayor parte de los ingresos, y para que funcione, se requería el apoyo decidido de los grandes contribuyentes, la banca y, por supuesto, los funcionarios de la administración. La medida funcionó. Fue una respuesta extraordinaria con un resultado extraordinario. Un enfoque distinto del cumplimiento cooperativo, que es bueno compartir…. y la razón de este post.

Un par de años antes, una sentencia judicial había obligado a la administración tributaria a publicar ciertos datos sobre los grandes contribuyentes. Con independencia de lo que el lector piense —si prima el secreto fiscal y la responsabilidad de resguardar la información de los contribuyentes, o el interés público por conocer los detalles de la contribución de los grandes contribuyentes, o el monitoreo de las actuaciones de la administración incluyendo los elementos que determinaron la selección de contribuyentes—, se estableció un cambio que afectaría probablemente el relacionamiento entre la administración y ese grupo de contribuyentes. Un reto o una oportunidad según se mire. Para la administración tributaria fue claramente una oportunidad, con un enfoque cooperativo y de servicios, permitiendo que las relaciones con los grandes contribuyentes mejoraran a partir de esta etapa de diálogo, lo que demostró ser determinante para lo que vendría después.

El fin de semana siguiente a la publicación del decreto que habilitaba el formulario D-110 fue, como es fácil imaginar, agitado. Se contactaron individualmente a los contribuyentes, se instruyó sobre el formulario, se interactuó con los bancos donde estos serían recibidos en ventanilla, algo que no ocurría hace años, algo que probablemente los nuevos cajeros no habían nunca visto y encontrarían anacrónico y raro. Se contactaron a auditores y gremios de contadores. Los funcionarios de la administración tributaria con la memoria histórica sobre los procesos y procedimientos manuales, junto a los de informática con la memoria de los antiguos desarrollos, se sumaron a la operación, entrenando a los nuevos. Se crearon hojas electrónicas, se habilitaron cuentas, se restauraron respaldos, se intercambiaron colectivamente seguramente cientos de llamadas y miles de mensajes. Se entregaron y recibieron los formularios y; se hicieron y recibieron los pagos de esos contribuyentes. El control vendrá después.

La experiencia nos recuerda la necesidad de escribir con buena letra en todo lo relacionado a la seguridad, al gobierno de datos y a los procesos de gestión de esos datos. No solo hay que tener una política de respaldos, ejecutarla y probarla. Hay que tener un plan de continuidad de negocio que, como ya nos lo había confirmado los últimos dos años, debe ir más allá de los sistemas de información e incluir los procesos y el rol de las personas. Pero, fundamentalmente, es bueno asimilar la idea que ver a la administración y a los administrados como dos partes enfrentadas en una confrontación permanente es una visión limitada y limitante.

Tal vez lo vivido y muy brevemente descrito en estas líneas nos ayuda, como nos lo decía en San José el Director General de Tributación de Costa Rica, a cimentar la importancia de desarrollar y consolidar una cultura de servicios que inicia por conocer a los contribuyentes y establecer una plataforma diferenciada de relacionamiento con los distintos contribuyentes. Hoy, pasada la mayor parte de la tempestad, podemos comentar la historia con una sonrisa, similar a la que tenía una funcionaria de la administración, responsable del registro de contribuyentes, cuanto nos contaba la alegría que sintieron en su área cuando regresaron a ver las pantallas de los sistemas de información operativas y en sus máquinas.

Un ejemplo más de ciudadanía que nos llega desde Costa Rica. ¡Pura vida!

Saludos y suerte

4,085 total views, 2 views today

Aclaración. Se informa a los lectores que los puntos de vista, pensamientos y opiniones expresados en el texto pertenecen únicamente al autor, y no necesariamente a su empleador ni a ninguna organización, comité u otro grupo al que el autor pertenezca, ni a la Secretaría Ejecutiva del CIAT. De igual manera, el autor es responsable por la precisión y veracidad de los datos y fuentes.

12 comentarios

  1. Darío González Respuesta

    Raúl la experiencia de Costa Rica le puede pasar a cualquier administración tributaria, los ataques informáticos son una realidad. De lo ocurrido se pueden extraer «prima facie» dos enseñanzas: tener planes de contingencia actualizados y un marco colaborativo con los contribuyentes. Cada vez resulta más necesario la segmentización de los contribuyentes y no solo por su capacidad económica sino también por su comportamiento fiscal. Generar políticas de gestión colaborativas pueden resultar de mucho beneficio tanto para los contribuyentes como para la administración tributaria.

  2. Carla Dal Ponte Respuesta

    Que clareza de escrita! A reflexão sempre se faz necessária sobre o quanto processos e pessoas serão fundamentalmente necessários nas grandes crises dos sistemas e digo mais, sentindo-se úteis, pertencendo a algo e felizes! Parabéns Raul Zambrano

  3. Manuel García Respuesta

    Interesante artículo, y mucho más aleccionador cuando ha sido escrito por un amante de la ciencia y la tecnología.
    Lamentable experiencia para la AT costarricense, pero que deja muchas enseñanzas, talvez la más importante, que no debemos deshumanizar las AT y dejarlas en manos de los sistemas de información, los robots y las Bases de datos.
    Como bien dice el autor “hay que tener una política de respaldos, ejecutarla y probarla. Hay que tener un plan de continuidad de negocio que, como ya nos lo había confirmado los últimos dos años, debe ir más allá de los sistemas de información e incluir los procesos y el rol de las personas. Pero, fundamentalmente, es bueno asimilar la idea que ver a la administración y a los administrados como dos partes enfrentadas en una confrontación permanente es una visión limitada y limitante….”

  4. Vielman Respuesta

    Mucho ánimo a Costa Rica, sin duda una noticia que yo no creí a la primera vez que la leí, pero que era cierta, el artículo sirve de mucho y será referencia para los salones de clases y para generar conciencia de la importancia de muchos elementos, entre ellos la infraestructura en seguridad cibernética.

  5. Anónimo Respuesta

    Excelente artículo!!

  6. Xavier Rosero Respuesta

    Formidable ejemplo de ciudadanía fiscal. Ejemplo para Am Lat.

  7. João Carlos Loebens Respuesta

    Seguro que es cada vez más importante invertir en la seguridad informática, incluso para proteger la administración de los sofisticados programas de espionaje internacional, incluyendo el espionaje internacional «gubernamental» de otros países, evidenciado por las revelaciones que hizo Edward Snowden.
    En lo relacionado a la sentencia judicial costarricense que obligó a la administración tributaria a publicar ciertos datos sobre los grandes contribuyentes, diría que es correcto, así debería ser en todos los países. El secreto fiscal es largamente usado para proteger a los no contribuyentes, para proteger a la evasión fiscal (desvío privado de los recursos públicos/impuestos).

  8. Décio Carretta Respuesta

    Excelente Zambrano!!!
    El tema seguridad se tumba al según plan, tercer plan porque nada pasa sé la seguridad funciona perfectamente
    Y nadie percibe nada de la seguridad queda fuerte
    Hasta qué bajan las inversiones, las pruebas, los respaldos, actualizaciones y cuando pasan años sin problemas, nuevas puertas están abiertas otra vez llega un ataque mortal
    Felicitaciones por las excelentes publicaciones!!!

  9. Miguel González Respuesta

    Este articulo nos hace ver la realidad; debemos estar alertas en todo momento, ya que siempre surgirán inconvenientes a los cuales debemos de afrontar con entereza, recordando que la seguridad es de todos, manteniendo siempre equipos y software que representen esa seguridad. El ejemplo de nuestro hermano país es claro, bien por ellos que afrontaron inmediatamente la situación. Saludos.

  10. José Rafael Monsalve Respuesta

    ¡Gracias Raúl por compartir esta historia de éxito! Este tipo de ataques hace un gran daño a los países en vías de desarrollo, para quienes el camino, ya bastante cuesta arriba, del intercambio de información es imprescindible para obtenerse beneficios de la multilateralidad.

  11. José Luis García Ríos Respuesta

    Hola Raúl, como siempre atento a los avatares de los procesos de recaudación, has puesto el “dedo en la llaga”, Costa Rica acusa uno de los índices más bajos de confianza en el gobierno (Latinobarómetro 2020) incluso bajo el promedio de ALC.
    Con relación al empleo informal, OCDE explica que el bello país supera el nivel regional de vulnerabilidad y pobreza.
    Señalas que una sentencia judicial “obligó a la administración tributaria” a publicar ciertos datos sobre los grandes contribuyentes” estableciendo un cambio del relacionamiento entre la administración y ese grupo de contribuyentes.
    Se presenta así a mi juicio un escenario sociopolítico en el que la administración – cuya estructura organizacional depende de otras funciones de gobierno (CIAT ISORA) – aparece vulnerable a la seguridad de servicios estratégicos de la información a su cargo.
    Creo Raúl que tu exposición del esfuerzo realizado por la administración de Costa Rica, descubre un escenario en el cual una institución que opera en la nube y aplica ciencia de datos, dispone interfases de programación y sistemas de identificación gubernamental y administra tecnologías de identificación digital y asistentes virtuales, (CIAT ISORA ) poco puede hacer en la circunstancia.
    Aun comprendiendo la fuerza y complejidad del ataque informático, infiero que las limitaciones por falta de autonomía no facilitan a la administración o al menos justifican la sensibilidad de la seguridad de sus servicios y sistemas de información independientemente de la energía del ataque.
    Tampoco veo solución a los problemas enunciados en el anclaje de los procesos en el pasado ni en la buena predisposición de los grandes contribuyentes que la administración consiguió.
    A mi juicio Costa Rica debiera resolver primero los conflictos que resultan de su gestión política y blindar o liberar a su administración de las ataduras que la hacen dependiente de facultades que evidentemente carece.

  12. jorge cosulich ayala Respuesta

    Gracias, querido Raulito por tu excelente artículo y las muchas reflexiones prácticas que nos obligas a plantearnos y que van desde la importancia y prioridad que deben tener los sistemas de contingencia y de seguridad del acceso no autorizado a las bases de datos y procesos informáticos, no solo de las administraciones tributarias sino de todos los sistemas informáticos del Gobierno y del sector privado, ya que, como bien dices, todo el país, Costa Rica, estuvo bajo ataque, y donde la colaboración y confianza fisco / contribuyente debe ser unos de los objetivos siempre presentes en la práctica diaria de la gestión impositiva, y qué verificamos con tu artículo, que gracias al tejido desarrollado y cimentado en una relación sana de colaboración entre el fisco y los grandes contribuyentes en Costa Rica fue el factor clave de éxito para enfrentar y superar este gran ataque informático al que están expuestas todas las administraciones tributarias y los países demócratas del mundo.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Suscripciones CIAT

Navega en el sitio sin restricciones. Consulta y descarga los contenidos.

Suscríbete a nuestros boletines electrónicos:

  • Blog
  • Oferta Académica
  • Informativo
  • Publicaciones
  • Alerta de Noticias

Activar suscripción

Miembros CIAT

Representantes, Corresponsales y Personas autorizadas (AT)