El actual ciberataque a Costa Rica (‘B’/Estable) pone de relieve que los riesgos para los fondos soberanos podrían aumentar a medida que estos ataques se vuelvan más comunes, dice Fitch Ratings. El ataque ha interrumpido significativamente algunas funciones del gobierno, pero no la capacidad de Costa Rica para servir su deuda soberana, lo que sugiere que las interrupciones repentinas de los pagos son un riesgo de cola.
El recién estrenado presidente Rodrigo Chaves Robles declaró una emergencia nacional el 8 de mayo en respuesta al ataque continuado de ransomware, cuya responsabilidad ha sido reivindicada por el grupo criminal internacional Conti, emplazado en Rusia. El ataque fue anunciado por primera vez por el Ministerio de Hacienda de Costa Rica el 18 de abril, cuando dijo que los sistemas de recaudación de impuestos y de importación-exportación se habían interrumpido, y que el mecanismo de pago a los empleados del sector público se había suspendido parcialmente durante varias horas. El ataque se extendió luego a otras partes del gobierno.
El ministerio dijo que los atacantes habían accedido a información confidencial de los contribuyentes, como informes de ingresos y pagos de impuestos, pero que las autoridades no habían perdido su acceso a los mismos datos. En respuesta a la negativa de las autoridades a pagar la petición de rescate de Conti, el grupo comenzó a poner a disposición la información robada en la dark web.
El número de ataques de ransomware se duplicó con creces en todo el mundo en 2021, y los delincuentes roban y cifran cada vez más datos personales sensibles. Los gobiernos tienen numerosos departamentos que pueden ser atacados, pero los más críticos desde la perspectiva del crédito soberano son el Ministerio de Hacienda/Finanzas y el banco central. El ataque de Conti a Costa Rica ha tenido como objetivo el Ministerio de Hacienda, pero no ha interrumpido los pagos de las obligaciones de la deuda soberana. Las autoridades afirmaron el 11 de mayo que todos los pagos de la deuda se habían efectuado de conformidad con los calendarios de reembolso.
Fitch no tiene conocimiento de ningún caso en el que un incidente cibernético haya provocado directamente un impago, y no ha tomado ninguna medida de calificación sobre un emisor soberano o no soberano como resultado de un ciberataque o de preocupaciones sobre la preparación cibernética. La experiencia de Costa Rica hasta ahora también sugiere que la gestión del riesgo operacional, por ejemplo, a través de planes de continuidad del negocio, puede reducir el riesgo de que un ciberataque retrase el servicio de la deuda. Fitch evaluaría la falta de pago de un estado soberano debido a un ciberataque de la misma manera que cualquier otro evento potencial de incumplimiento bajo sus criterios de calificación soberana.
Pero la interrupción causada por el ataque de Costa Rica pone de relieve una gama más amplia de riesgos. El Ministerio de Hacienda concedió prórrogas para el pago de algunos impuestos, retrasando la recepción de ingresos hasta que los sistemas de respaldo estén plenamente operativos. La liquidez del gobierno sigue siendo adecuada según los datos de los depósitos del Banco Central de Costa Rica. El cambio a sistemas aduaneros manuales ralentizó el comercio transfronterizo. Además, el temor al fraude podría dañar la confianza en el sistema financiero, y la divulgación de información confidencial podría crear riesgos para la reputación del gobierno. El grado de materialización de estos riesgos más amplios dependerá en parte de la duración del ataque y de la capacidad de Conti para seguir perturbando las funciones gubernamentales y la actividad económica.
Al parecer, Conti ha indicado que podría llevar a cabo más ataques de ransomware contra otros gobiernos, es más, se cree que estos ataques serán cada vez más comunes. Algunas deudas soberanas están más expuestas que otras, ya que las operaciones cibernéticas pueden ser una extensión de la guerra o la intimidación, así como un intento de extorsión. Por ejemplo, Ucrania fue objeto de ciberataques antes y durante la invasión rusa, incluso en su red eléctrica. En la medida en que el riesgo cibernético está vinculado al riesgo geopolítico, puede quedar parcialmente recogido en los indicadores de gobernanza que forman parte de la evaluación del crédito soberano que realiza la firma.
También es probable que algunos mercados emergentes y países en desarrollo con escasa preparación cibernética sean relativamente vulnerables. Fitch evalúa los efectos de un evento cibernético en relación con el margen de maniobra de las calificaciones y los impactos financieros, operativos y de reputación.