Este 18 de abril de 2023 es el primer año del ataque del grupo Conti contra el Ministerio de Hacienda de Costa Rica. Los hackers, como popularmente se conoce a los ciberdelincuentes, extendieron sus acciones contra otras instituciones. No fueron los únicos.
El grupo Hive fue el responsable del asalto informático a la Caja Costarricense del Seguro Social el 31 de mayo de 2022.
Fueron víctimas también, con diferentes grados de afectación, Radiográfica Costarricense S. A. (Racsa), el Instituto Meteorológico Nacional (IMN), varias municipalidades y los ministerios de Trabajo y Seguridad Social (MTSS), de Salud, de Obras Públicas y Transportes (MOPT) y de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Al Micitt están adscritas las entidades a cargo de la ciberseguridad del Estado: la División de Gobernanza Digital y el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR).
La seguidilla de incidentes demostró el costo de gestionar debilidades, que en Hacienda alcanzó los ¢2.760 millones. La emergencia marcó al país, en ese momento el 72 en el índice de ciberseguridad global.
“Esto no es un problema solo de una institución”, dijo José Willy Cortés, director de tecnologías de información y comunicaciones (TIC) de Hacienda. “Es un problema país, donde todos los sectores debemos unirnos”.
La emergencia dejó ver que Costa Rica requiere un ecosistema preparado e integrado, especialistas, una estrategia nacional y a nivel de las entidades y empresas, mayor entendimiento e involucramiento de los altos mandos, capacidades, protocolos, soporte, capacitación e inversión. Incluso, se recomienda realizar simulaciones como las que se hacen para eventuales sismos (se han realizado dos ejercicios, pero limitados).
Conti, que luego se desmembró, pidió un rescate de $10 millones que las autoridades niegan haber pagado por diversos motivos: los datos no podían relacionarse, para no financiar a esa organización ni convertirse en cómplices, y por falta de certeza de si devolverían la información y en cuál estado, aparte de que luego podrían volver a realizar extorsiones.
Aunque son organizaciones que se mueven por motivos económicos, también se atribuye que había motivaciones políticas por la posición de la Administración de Carlos Alvarado (2018-2022) sobre la guerra en Ucrania (aunque el grupo se desmembró posteriormente entre sus integrantes de origen ruso y ucraniano), o simplemente porque querían obtener relevancia.
La imagen de Costa Rica estaría entre los atractivos que ubicaron al país como una víctima ideal para una especie de prueba de futuros ataques más relevantes a nivel internacional. Los hackeos al país, por su impacto, fueron los cuartos más importantes en el 2022 y superados por los ciberataques a Ucrania.
“Desde febrero, por la situación de Ucrania, había una alerta sobre un posible ataque al sistema financiero”, dijo Jorge Mora, quien era el director de Gobernanza Digital.
Víctima propicia
Hacienda parecía una víctima propicia por su importancia a nivel de gobierno (pago de salarios, pensiones y gestión presupuestaria) y para varios sectores, como comercio exterior y contribuyentes. Además es el espacio donde los contribuyentes —personas físicas y jurídicas— dejan ver sus niveles de ingresos y egresos.
El Ministerio tiene, además, 39 oficinas en todo el país. Su infraestructura tecnológica era un rompecabezas: más de 3.000 computadoras, de 800 a 1.000 servidores —actualmente quedan 610 por la optimización que se realizó en la reconstrucción— y, en especial, 59 sistemas informáticos con 19 años en promedio y muchos con tecnologías descontinuadas por sus fabricantes.
La situación se reconocía desde una década atrás, localmente y por entidades como el Fondo Monetario Internacional (FMI), que advertían de la desintegración de las plataformas, la alta rotación del personal y la ausencia de un plan y de cultura de ciberseguridad.
En 2020 se realizó un diagnóstico en el que Hacienda obtuvo una calificación de 2,73 puntos de 5 en total. Se descubrió, además, que sus servidores eran usados desde el exterior para operaciones de criptomonedas.
Con el apoyo del Banco Mundial se diseñó el proyecto de Hacienda Digital. Este era —y sigue siendo— una carrera contrarreloj y la iniciativa que tardaría, por lo que el Ministerio creó un equipo de nueve funcionarios de ciberseguridad y se adoptaron políticas, controles de acceso y acciones de monitoreo, entre otras.
Se formuló también un plan de contingencia y continuidad de operaciones durante 2020, a raíz de la pandemia, con apoyo del Banco Interamericano de Desarrollo (BID), y a principios de 2022 se firmó un contrato con el Security Operation Center (SOC) de GBM. Pero el peligro era inminente.
Solo en enero de 2022 se recibieron 332 alertas del CICR de intentos de ataques contra el Ministerio. y lo que nadie quería que ocurriera sucedió en Semana Santa del 2022.
Conti ataca
Entre el 12 y 13 de abril de ese año, que correspondieron al martes y miércoles, Hacienda detectó, como parte del monitoreo de rutina, un incremento inusual de actividad en un servidor. El momento no era el mejor.
El domingo 17, la Dirección de Gobernanza Digital recibe una alerta de una red internacional de agencias y centros de ciberseguridad, pues Conti anunció la extracción de 1 TB de datos del sistema de Administración Tributaria Virtual (ATV). En ese momento se activa el protocolo de comunicación con Hacienda, con la ministra del Micitt, Paola Vega, y Casa Presidencial.
El lunes 18, entre 2:30 y 5:00 a.m., los funcionarios de ciberseguridad de Hacienda contactan a los encargados de infraestructura y detectan que hay una expansión (mediante un movimiento lateral) a otros componentes de la plataforma tecnológica, abarcando 10 servidores y 150 computadores, como se constatará luego.
Hay 1.500 alertas de seguridad. “Todavía no teníamos la certeza de qué era”, afirmó Jeffrey Taylor Bermúdez, subdirector de TICs de Hacienda. No eran las únicas malas noticias que recibirían.
A las 8:00 a.m. se empiezan a recibir reportes de funcionarios de diferentes dependencias de no tener acceso a ciertos archivos y que les aparece un mensaje de Conti. Los hackers piden $10 millones.
Hasta ese momento se podía esperar un ataque con virus informáticos o una denegación de servicios. Un secuestro de datos con fines extorsivos (un ransomware) estaba lejos del horizonte, aunque la industria tecnológica ya advertía sobre estructuras y la importancia que adquirían —operan como empresas de desarrollo de los malware, de diseminación y de comercialización—, capaces de convertirse en la tercera economía del mundo después de EE. UU. y China para el 2025.
¿Qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?
En Hacienda se implementan de inmediato diferentes acciones, apoyándose en el plan de contingencia y los protocolos definidos en 2020, así como en el soporte de Microsoft, GBM, Dell y Cisco, entre otras firmas. “Hacienda no hubiera salido si no se hubiera hecho esa unión con el sector privado”, recalcó Alicia Avendaño, quien fue la directora de TI del Ministerio entre 2019 y mayo de 2022, cuando regresó inicialmente a Racsa.
Se forma un comité de crisis, encabezado por el ministro y los equipos encargados de contención, revisión, sanitización, monitoreo, análisis de amenazas, remediación, recuperación o restauración, continuidad de la operación, desarrollo de nuevos sistemas (como Tesorería), contingencia (para aduanas o planillas estatales) y reforzamiento de la seguridad.
Acciones inmediatas
Lo primero fue apagar los equipos de servidores ubicados en el centro de datos de Guatuso, Cartago, pertenecientes al Instituto Costarricense de Electricidad (ICE) para detener la expansión, y se revisan nuevamente las vulnerabilidades para actualizar parches y cifrar información.
Otras medidas incluyen: monitoreo del tráfico, cambio de contraseñas y habilitación del doble factor de autenticación y, para no detener la operación, uso de servicios en la nube básicos (correo, ofimática, videoconferencias y almacenamiento de archivos) que se venían utilizando en el teletrabajo desde el confinamiento por la pandemia de la covid-19 en 2020.
Se revisan los equipos. Si una computadora aparecía afectada por Conti, se inutilizaba y se parqueaba en las instalaciones de TI. En este caso, cada persona podía usar sus equipos personales temporalmente para continuar sus labores.
En el Micitt se emitió la alerta a una red local conformada por encargados de informática y ciberseguridad de instituciones públicas, y se solicitó apoyo a agencias de EE. UU., España e Israel, incluyendo soporte de inteligencia.
El 19 de abril, a primera hora, se realiza un Consejo de Gobierno ampliado y se constituye un equipo conformado por Presidencia, Hacienda, Micitt, Ministerio de Comunicación, Gobernanza Digital y la Dirección de Investigación y Seguridad (DIS).
Se crea también un equipo técnico que incluye al ICE, Banco de Costa Rica, Caja, DIS, Poder Judicial, CSIRT-CR y el Clúster de Ciberseguridad para prevenir incidentes en más instituciones. Algunos no lograron pasar las barreras y en otros casos la afectación fue minimizada.
Una de las debilidades que se identificó fue que las instituciones no estaban obligadas a informar sobre incidentes. La Presidencia emitió una directriz para exigirlo al menos a nivel de Gobierno Central.
Refuerzo
En Hacienda, entre tanto, en el resto del mes de abril se detectaron nuevos y múltiples ataques. El trabajo en el Ministerio fue continuo y extenuante.
Ayudó que se estuviera en teletrabajo, pues las jornadas iniciaban antes de las 5:00 o 6:00 a.m. y terminaban a la 1:00 o 2:00 a.m. del día siguiente para 125 de los 180 funcionarios de TI desde el 18 de abril al mes de junio.
“Era de domingo a domingo”, contó Taylor. “Era duro. Mis dos hijos de 10 y 5 años de edad —en ese momento— demandaban tiempo y preguntaban por qué estaba en la computadora siempre. Independientemente de casados o solteros, hubo un impacto en el bienestar social y familiar. No hubo chance para nada”.
Estos son los pasos que ejecutan los grupos de ‘hackers’ como Conti para atacar
“El teletrabajo facilitó mucho, porque la familia por lo menos lo veía a uno ahí”, dijo Christian Barquero Alvarez, director del proyecto de Hacienda Digital y quien también debió incorporarse al equipo de emergencia. “Las jornadas eran largas, con mucho que revisar durante el día y reporte al Ministro (en ese momento Elian Villegas y desde mayo de 2022 a Nogui Acosta) cada noche de cada etapa que se avanzaba cada semana”.
Las cinco personas del CSIRT-CR en el Micitt también se organizaron para mantener la vigilancia, hasta que en la nueva Administración la labor quedó a cargo del CNE. “Dormimos cuatro horas por día”, dijo Mora.
Algunos técnicos de TI de Hacienda sí tuvieron que desplazarse hasta el centro de datos en Guatuso de Cartago para realizar labores que lo requerían, como la configuración e instalación de nuevos equipos, la segmentación de las redes y otras acciones de logística.
En esas semana se estableció que solamente los grandes contribuyentes realizaran la declaración del Impuesto al Valor Agregado (IVA), se pagó pensiones antes de lo previsto para dar tranquilidad y se avanzó en otras medidas contingentes para pago de salarios, aduanas y los demás contribuyentes.
A principios de mayo ya había avances en el restablecimiento de los sistemas y el 13 junio se empezó a comunicar la habilitación de las plataformas de aduanas (TICA) y de tributación (ATV). La labor era más detallada.
Aunque los hackers habían afectado algunos repositorios de archivos y 150 máquinas, se realizó un formateo de los equipos, se estandarizó la versión del sistema operativo y se implementaron políticas más restrictivas de seguridad.
En paralelo se realizó la evaluación forense para determinar qué había pasado. Un grupo técnico de Microsoft (apodado Los Magníficos, aunque era más parecido a una unidad policial tipo SWAT, dice Cortés) revisaron los equipos sospechosos de ser el Paciente Cero, el primero en ser infiltrado.
Al parecer se halló un comportamiento sospechoso en un servidor donde unos funcionarios estaban probando la seguridad y eficiencia de los sistemas virtuales de escritorio, paradójicamente, en teletrabajo. Aunque no contaban con la autorización, era una iniciativa “de innovación de cara a los clientes internos”. “Estaba en producción, en su etapa de madurar la tecnología”, explicó Cortés, director de TI de Hacienda.
El análisis forense también arrojó que Conti usó fuerza bruta (con la que se busca el acceso por todos los medios) y que, aparentemente, no hubo extracción de datos sensibles, tanto por el volumen de la información como por las diferentes barreras con la que se encontraron los hackers. Los respaldos, por ejemplo, no tenían problemas.
| Bajo ataque |
|---|
| Incidencias reportadas por entidades de 2022 en el mes de abril: |
| 18 de abril: se hace público el ataque al Ministerio de Hacienda y la publicación de Conti pidiendo $10 millones para el rescate. Ese mismo día, Conti ataca al sitio web del Micitt. |
| 19 de abril: hackeo a la cuenta de Twitter de la Caja Costarricense del Seguro Social, que ningún grupo o hacker se atribuido públicamente, y a sistemas de correo electrónico de correos del Instituto Meteorológico Nacional (IMN) y Radiográfica Costarricense S.A. (Racsa). |
| 20 de abril: ataque cibernético al portal web de recursos humanos de la Caja. |
| 23 de abril: Conti hackea página web, los servicios en línea y correo electrónico de la Junta Administrativa del Servicio Eléctrico de Cartago (Jasec). |
| 26 de abril: Conti atacó dos nuevas instituciones, la Sede Interuniversitaria de Alajuela y el Instituto de Desarrollo Rural (Inder). |
| 28 de abril: se detecta un intento de ataque al Ministerio de Economía, Industria y Comercio (MEIC), pero se descarta acceso y extracción de datos. |
| 9 de mayo: Estados Unidos ofrece recompensa de $10 millones por información sobre el grupo de hackers Conti. |
| 31 de mayo: el grupo Hive ataca el sistema de recursos humanos de la Caja. |
| Fuente: Archivo EF |
Hacienda parecía la víctima perfecta. Su infraestructura tecnológica era un rompecabezas: 59 sistemas informáticos con 19 años en promedio, 3.000 computadoras y 1.000 servidores. Esta es la crónica del ataque que puso en pausa a Costa Rica. 
Read More El Financiero – Servicio de noticias RRS proporcionado por Invierte en Dólares Corp. La mejor opción para invertir en dólares.
