Ataques cibernéticos están causando estragos en los sistemas gubernamentales de Costa Rica


SAN JOSÉ, Costa Rica — Casi una semana después de que un ataque de ransomware paralizara los sistemas informáticos del gobierno costarricense, el país se negó a pagar un rescate mientras luchaba por implementar soluciones alternativas y se armó de valor cuando los piratas informáticos comenzaron a publicar información robada.

La pandilla Conti, de habla rusa, se atribuyó la autoría del ataque, pero el gobierno costarricense no había confirmado su origen.

El Ministerio de Hacienda fue el primero en reportar problemas el lunes. Varios de sus sistemas se vieron afectados desde la recaudación de impuestos hasta los procesos de importación y exportación por parte de las autoridades aduaneras. Siguieron ataques contra el departamento de recursos humanos de la Institución de Seguro Social y el Ministerio de Trabajo, entre otras cosas.

El primer ataque obligó al Departamento del Tesoro a cerrar durante varias horas el sistema que paga a gran parte de los empleados públicos del país y que también maneja el pago de pensiones estatales. También tuvo que otorgar prórrogas para el pago de impuestos.

Conti no había publicado un monto de rescate específico, pero el presidente de Costa Rica, Carlos Alvarado, dijo: «El estado costarricense no les pagará nada a estos ciberdelincuentes». Una cifra de $ 10 millones circuló en las plataformas de redes sociales, pero no apareció en el sitio web de Conti.

Las empresas costarricenses estaban preocupadas por la información confidencial proporcionada al gobierno que podría divulgarse y usarse en su contra, mientras que la gente común temía que la información financiera personal pudiera usarse para limpiar sus cuentas bancarias.

Christian Rucavado, director ejecutivo de la Cámara de Exportadores de Costa Rica, dijo que el ataque a la agencia de aduanas había colapsado la logística de importación y exportación del país. Describió una carrera contra el tiempo para los productos perecederos que esperan en el almacenamiento en frío y dijo que aún no tenían una estimación de las pérdidas económicas. El comercio seguía moviéndose, pero mucho más lentamente.

“Algunas fronteras tienen retrasos porque están haciendo el proceso manualmente”, dijo Rucavado. “Hemos pedido al gobierno varias medidas como ampliar el horario de atención para que puedan atender las exportaciones e importaciones”.

Dijo que Costa Rica normalmente exporta un promedio de $ 38 millones en productos por día.

Allan Liska, analista de inteligencia de la firma de seguridad Recorded Future, dijo que Conti siguió una estrategia de extorsión dual: encriptar archivos del gobierno para congelar la capacidad de funcionamiento de las agencias y publicar archivos robados en los sitios de extorsión de la dark web del grupo cuando no se exigió el pago de un rescate.

La primera parte a menudo se puede superar si los sistemas tienen buenas copias de seguridad, pero la segunda parte es más difícil según la sensibilidad de los datos que se roban, dijo.

Por lo general, Conti alquila su infraestructura de ransomware a «socios» que pagan por el servicio. La filial que ataca a Costa Rica podría estar en cualquier parte del mundo, dijo Liska.

Hace un año, un ataque de ransomware Conti obligó al sistema de salud irlandés a cerrar su sistema de tecnología de la información y cancelar citas, tratamientos y cirugías.

El mes pasado, Conti comprometió sus servicios en apoyo de la invasión rusa de Ucrania. La medida enfureció a los ciberdelincuentes pro-Ucrania. También incitó a un investigador de seguridad que había monitoreado a Conti durante mucho tiempo a divulgar un gran tesoro de comunicaciones internas entre algunos operadores de Conti.

Cuando se le preguntó por qué la democracia más estable de América Central, conocida por su vida silvestre tropical y sus playas, sería un objetivo para los piratas informáticos, Liska dijo que la motivación generalmente tiene más que ver con las debilidades. «Están buscando vulnerabilidades específicas», dijo. «Entonces, la explicación más probable es que Costa Rica tenía una serie de vulnerabilidades y uno de los actores del ransomware descubrió esas vulnerabilidades y pudo explotarlas».

Brett Callow, analista de ransomware de Emsisoft, dijo que miró uno de los archivos filtrados del Departamento del Tesoro de Costa Rica y «no parece haber muchas dudas de que los datos son genuinos».

El viernes, el sitio de chantaje de Conti dijo que había liberado el 50% de los datos robados. Contenía más de 850 gigabytes de material del Departamento del Tesoro y otras bases de datos institucionales. “Todo esto es ideal para el phishing, deseamos a nuestros colegas costarricenses la mejor de las suertes en la monetización de estos datos”, dijo.

Eso pareció contradecir la afirmación de Alvarado de que el ataque no fue por dinero.

«En mi opinión, este ataque no es por dinero, sino por una amenaza a la estabilidad del país en un punto de transición», dijo, refiriéndose a su gobierno saliente y la toma de posesión del nuevo presidente de Costa Rica el 8 de mayo. «No lograrán eso».

Alvarado aludió a la posibilidad de que el ataque haya sido motivado por la oposición pública de Costa Rica a la invasión rusa de Ucrania. “Tampoco se puede separar de la compleja situación geopolítica global en un mundo digitalizado”, dijo.

——

El periodista de AP Frank Bajak en Boston contribuyó a este despacho. Sherman informó desde la Ciudad de México.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *