Identidad Digital Costarricense: Avance Histórico… pero ¿Estamos Realmente Blindados?

Por: JGutierrez Auditores Consultores S.A.
Observación técnica en ciberseguridad: Jorge Gutiérrez Guillén, CPA

El próximo 9 de septiembre de 2025 marcará un antes y un después en los sistemas de identificación en Costa Rica. El Tribunal Supremo de Elecciones (TSE) dará inicio a la emisión de la nueva Identidad Digital Costarricense, un proyecto ambicioso que busca transformar la forma en que los costarricenses se identifican y realizan trámites tanto en el ámbito público como privado.

Sin embargo, como todo proceso de transformación digital, además de los beneficios evidentes, este avance también plantea importantes desafíos en materia de ciberseguridad y protección de la identidad de los ciudadanos, los cuales es necesario abordar de manera transparente, técnica y preventiva.

Este análisis integra tanto los elementos oficiales del proyecto como observaciones profesionales de riesgo detectadas por JGutierrez Auditores Consultores S.A., firma costarricense especializada en consultoría, auditoría y gestión de riesgos.

¿En qué consiste el proyecto de Identidad Digital?

El sistema de identidad digital costarricense es un modelo voluntario, que coexistirá con la cédula física tradicional, la cual continuará vigente y gratuita.

Los principales objetivos del proyecto son:

  • Facilitar trámites gubernamentales y bancarios.
  • Agilizar servicios de salud (por ejemplo, en la CCSS).
  • Eventualmente, permitir el voto electrónico.
  • Reducir la dependencia de documentos físicos.
  • Incorporar autenticación biométrica y mecanismos modernos de validación.
  • Modernizar integralmente los sistemas públicos y privados.

Proceso para obtener la cédula digital:

  1. Poseer una cédula física vigente.
  2. Ingresar a la plataforma oficial digital del TSE.
  3. Verificar los datos personales solicitados.
  4. Cancelar un monto de ₡2.600.
  5. Descargar la cédula digital mediante la aplicación oficial.

Una vez obtenida, la cédula digital tendrá una vigencia periódica y deberá renovarse para actualizar fotografía y datos.

Posibles métodos de pago para personas sin tarjeta ni SINPE

  1. Pago presencial en ventanilla bancaria o caja autorizada
    • Pago en efectivo de los ₡2.600 en bancos o cajas convenidas.
    • Entrega de comprobante de pago con código de referencia para uso en la plataforma digital.
  2. Códigos de prepago o vouchers físicos
    • Venta de vouchers (similares a recargas telefónicas) en puntos de venta físicos como supermercados, farmacias o Correos de Costa Rica.
    • El usuario ingresa el código del voucher en la plataforma del TSE para activar la descarga.
  3. Gestión asistida presencial en sedes del TSE
    • El ciudadano acude al TSE, paga en efectivo, recibe asistencia para el enrolamiento y activa la cédula digital en el mismo lugar.
  4. Pago mediante plataforma de corresponsales no bancarios
    • Alianzas con comercios o microempresas autorizadas que procesen pagos en efectivo por el trámite y proporcionen un código similar al de los bancos.
  5. Pagos a través de cooperativas o asociaciones comunitarias
    • Utilización de redes de cooperativas rurales o locales que recolecten el monto y gestionen los códigos de activación en nombre de sus miembros.

¿Está esto previsto oficialmente?

Hasta hoy (junio 2025), el TSE no ha publicado con claridad los mecanismos alternos de pago, pero es muy probable que se vean forzados a habilitar varias de estas opciones, especialmente por:

  • Inclusión digital
  • Brecha de bancarización (todavía significativa en Costa Rica)
  • Adultos mayores y población vulnerable

El lado brillante del proyecto: Modernización e innovación

Desde el punto de vista institucional, la iniciativa representa un avance esperado dentro de la transformación digital costarricense, colocándonos en línea con modelos internacionales de identidad digital como:

  • Estonia (modelo e-Residency).
  • Unión Europea (eIDAS).
  • Uruguay y Colombia, en América Latina.

Entre los principales beneficios destacan:

  • Reducción de tiempos de trámites.
  • Mejora en la autenticación de identidad.
  • Ahorro administrativo.
  • Eliminación de duplicidades documentales.
  • Facilidad de uso para los ciudadanos.
  • Respaldo de validez legal nacional.

El TSE ha manifestado que el desarrollo ha contado con el acompañamiento de entidades financieras, empresas privadas y organismos públicos, buscando blindar la plataforma.

El lado sensible: La seguridad del enrolamiento inicial

Es precisamente en este punto donde JGutierrez Auditores Consultores S.A. desea llamar la atención profesional sobre un aspecto neurálgico en los sistemas de identidad digital a nivel global:
el proceso de enrolamiento inicial (registro y activación de la cédula digital).

Según la descripción oficial, los pasos para activar la cédula digital son relativamente simples: basta con contar con la cédula física, acceder a la plataforma, validar datos y descargar el documento digital.

¿Dónde surge la vulnerabilidad potencial?

El riesgo emerge cuando consideramos el siguiente escenario:

  • Si un tercero (sea un delincuente, familiar malintencionado o colaborador) obtiene físicamente la cédula física de una persona, podría intentar realizar el enrolamiento digital suplantando al verdadero titular.
  • Si el sistema no exige mecanismos biométricos presenciales o validación de identidad reforzada en el primer enrolamiento, esta fase inicial puede convertirse en un eslabón débil.
  • Esta debilidad es reconocida internacionalmente como el fenómeno de “captura de identidad”, una de las formas más graves de fraude digital.

No es un riesgo teórico:

  • El robo de identidad es actualmente uno de los delitos económicos de mayor crecimiento en el mundo.
  • En sistemas de identidad electrónica, la fase de enrolamiento es crítica porque define el “origen de confianza” del sistema.
  • Si se contamina el enrolamiento, todo el ecosistema queda comprometido.

Casos internacionales como referencia

Estonia: exige validación biométrica presencial inicial y mantiene auditorías cruzadas de identidad.

Unión Europea (eIDAS 2.0): incorpora fuertes requisitos de autenticación multifactor y validación presencial o remota certificada.

Colombia y Uruguay: tienen procesos presenciales o validados por agentes autorizados en la primera activación.

Estados Unidos (Real ID / Mobile ID): combina validación presencial inicial con capas digitales posteriores.

Escenarios de fraude posibles en Costa Rica si no se controla el enrolamiento

  • Robo o extravío de cédula física: el delincuente inscribe la cédula digital a su nombre.
  • Empleados de terceros servicios con acceso físico a documentos de identidad.
  • Accesos no autorizados por familiares o personas cercanas.
  • Intercepción de códigos de verificación vía ingeniería social (phishing o suplantación de canales de verificación).
  • Venta clandestina de identidades digitales activadas (mercado negro digital).

¿Cómo se podría blindar el sistema?

Desde el punto de vista de mejores prácticas internacionales, el sistema de identidad digital costarricense debería implementar controles robustos de seguridad como:

  1. Validación biométrica obligatoria presencial o remota verificada al momento de enrolamiento inicial.
  2. Autenticación multifactor continua (MFA) para accesos posteriores.
  3. Notificaciones automáticas inmediatas al correo y teléfono oficial del ciudadano sobre cualquier intento de enrolamiento.
  4. Restricciones por geolocalización, horario o patrones anómalos de activación.
  5. Bloqueo temporal y revisión manual en caso de intentos fallidos o inusuales de activación.
  6. Auditoría permanente independiente sobre la seguridad del sistema.

Reflexión final: La transformación digital requiere transformación cultural en seguridad

Desde JGutierrez Auditores Consultores S.A., apoyamos plenamente los esfuerzos de modernización digital del Estado costarricense, pero insistimos técnicamente en que:

La confianza digital no nace de la tecnología per se, sino de los controles y auditorías implementados para proteger al ciudadano.

El riesgo de suplantación de identidad no debe ser subestimado, especialmente cuando se trata de sistemas que podrán utilizarse para:

  • Firmas electrónicas.
  • Trámites bancarios.
  • Crédito.
  • Servicios de salud.
  • Voto electrónico.

Una debilidad en la fase de enrolamiento inicial podría tener consecuencias muy graves tanto para el ciudadano como para el propio Estado costarricense.

Como firma especializada en auditoría, consultoría financiera y gestión de riesgos, JGutierrez Auditores Consultores S.A. reafirma su compromiso de poner al servicio de la sociedad su experiencia técnica, ofreciendo aportes que contribuyan a que el proyecto de Identidad Digital Costarricense sea un referente no solo de modernización, sino también de seguridad, transparencia y protección para todos los ciudadanos.

Jorge Gutiérrez Guillén, CPA
JGutierrez Auditores Consultores S.A.
www.consultoresjg.com

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.