Pidieron US$10 millones en abril a cambio de cesar el ataque y devolver la información robada. El gobierno de Costa Rica se negó a pagar.
Ahora le exigen 20 millones y siguen las amenazas.
«Estamos en guerra y eso no es una exageración», dijo esta semana el nuevo presidente del país, Rodrigo Chaves, que ordenó un estado de emergencia nacional tras un mes de ciberataques contra los sistemas de las instituciones del país.
Los autores son un grupo de delincuentes cibernéticos con base en Rusia a los que se conoce como Conti, el nombre de la plataforma informática con la que realizan sus ataques.
Su negocio consiste en penetrar en los sistemas informáticos de corporaciones, instituciones y gobiernos para extorsionarlos.
Recientemente atacaron al servicio de inteligencia de Perú, pero donde realmente han sembrado el caos es en Costa Rica.
Desde NetView, te ponemos al día de lo que sucedió en estos paises:
1. Qué ocurrió
El 18 de abril Conti dirigió a organismos e instituciones de Costa Rica su ciberataque masivo en forma de ransomware, fusión de los términos en inglés ransom (rescate) y software.
Un ransomware es un software malicioso que secuestra la información de un sistema (como datos, archivos o claves) para pedir un rescate.
El grupo atacó a 30 instituciones costarricenses como el Ministerio de Trabajo, el de Ciencia, Tecnología y Telecomunicaciones, el Seguro Social o el Instituto Meteorológico Nacional.
Pero el más afectado fue el Ministerio de Hacienda, donde los ciberdelincuentes entraron a los servidores y usurparon todo tipo de información.
«Puede que hubiera un interno que conocían, o estaban escaneando puertos, o alguien en Hacienda entró en un enlace que no debía», el abogado costarricense José Adalid Medrano, especialista en Derecho informático y Ciberdelincuencia.
Los hackers de Conti secuestraron los sistemas de declaración de impuestos y de comercio exterior del país pertenecientes al Ministerio de Hacienda.
Así, las aduanas dejaron de procesar los impuestos de las importaciones y exportaciones, se paralizaron los sistemas de recaudación y se suspendieron pagos de salarios de empleados del sector público.
Un mes después del mayor ataque, parte de los servicios aún no han podido ser restaurados.
«Al día de hoy los sistemas no se han restablecido. Sin embargo, el Ministerio de Hacienda mantiene sus servicios, entre ellos el cobro de impuestos para mantener la recaudación; la atención de exportaciones, importaciones y tránsito de mercancías para no afectar el comercio internacional», dijo en un comunicado Nogui Acosta Jaén, ministro de Hacienda de Costa Rica.
Expertos calculan las pérdidas en decenas de millones de dólares.
2. Quién está detrás
Si bien Conti es una plataforma rusa, el origen del ataque podría estar mucho más cerca.
«Hay indicios muy claros que gente dentro del país está colaborando con el grupo cibercriminal Conti», dijo el presidente Chaves.
El informático y empresario Esteban Jiménez, que fue uno de los artífices de la estrategia de ciberseguridad de Costa Rica, avala esta hipótesis.
«El grupo madre se encuentra en Rusia, tiene la herramienta y el financiamiento principal, pero hay células afiliadas a Conti en otros países», afirma.
Explica que, por lo general, estas células pasan a formar parte de Conti a través de contactos en la red profunda o simplemente rentan su plataforma de ataque: «Pagan con criptomonedas entre US$5.000 y US$20.000 por usarla un mes».
Y menciona algunos indicios que apuntan al origen del ataque en la región o incluso en la propia Costa Rica, como «el tipo de redacción» de los extorsionadores.
Los ciberdelincuentes también «citan particularidades muy específicas el país, son personas que tienen conocimiento del ambiente local», conocen «los procesos internos del gobierno y el estado de la tecnología y los sistemas que usa el país» y aseguran tener contactos en la administración pública.
«Esto no es normal en un ataque internacional, que suele ser más genérico», asegura Jiménez.
3. Por qué Costa Rica
Llama la atención que este Estado centroamericano de poco más de cinco millones de habitantes haya sido el objetivo de uno de los mayores ciberataques dirigidos a un país en los últimos años.
Para Esteban Jiménez, la clave está en el desarrollo tecnológico que ha experimentado Costa Rica, superior al de sus vecinos centroamericanos pero sin la madurez de los países europeos o Estados Unidos.
Para estos últimos, asegura el experto, amenazas como la de Conti «son el pan de cada día» y por tanto están preparados para responder.
Le preguntamos qué pasaría si el grupo dirigiera por ejemplo a Alemania un ataque como el sufrido por Costa Rica.
«Probablemente hubieran tenido cierta afectación, pero los mecanismos de recuperación habrían sido mucho más maduros y el proceso de respuesta más coordinado».
Costa Rica, explica, «se ha perfilado en los últimos años para desarrollarse como una de las grandes economías de la región; al digitalizar un país se amplía la superficie de entrada y esto es una motivación para Conti, que la ve vulnerable».
José Adalid Medrano, por su parte, cree que es la escasa seguridad de los sistemas costarricenses lo que invitó a los hackers a atacar.
«Recordemos que, según los informes locales, nos encontramos ante servidores y sistemas débilmente protegidos«, afirma el abogado.
En el caso de Hacienda, considera que «no es posible que un Ministerio que brinda tantos servicios a la sociedad y tiene información sensible de los costarricenses no tenga un plan de contingencia«.
Un informe de la Contraloría en 2019 ya señaló 250 vulnerabilidades críticas y alertó de la ausencia de este plan de contingencia que, de existir, habría facilitado recuperar la continuidad de los servicios tras el ataque.
4. Cuáles son los motivos
Los objetivos de los ransomware suelen ser empresas privadas, ya que es muy difícil que un gobierno -y más en un país democrático- acceda a pagar un rescate a un grupo de ciberdelincuentes.
¿Realmente es el dinero lo que motivó a Conti a atacar a Costa Rica o podría haber razones políticas o de otra índole?
El ataque se produjo en un momento significativo: la transición de la presidencia de Carlos Alvarado a Rodrigo Chaves, cuya reciente mención a una «guerra» ha sido interpretada por algunos como una alusión a posibles motivaciones políticas de los atacantes.
«Aunque haya indicios de colaboración dentro del país, no quiere decir que haya una motivación política», asegura Medrano.
El abogado cree que los ciberdelincuentes tienen objetivos más ambiciosos.
«Una empresa privada es una víctima más ideal pero, si la víctima que cae es un Estado, te da propaganda, hace parecer que es un ataque más planificado, más grande, y Conti se fortalece en imagen como grupo criminal».
«Aunque el ataque a Costa Rica no sea rentable a nivel económico, sin lugar a dudas pone al grupo en el mapa, lo ayuda a agrandar su nombre y apresionar a otros para que no les pase lo mismoque al gobierno de Costa Rica», explica el abogado.
Y advierte: «Las naciones latinoamericanas tienen que prestar atención porque Costa Rica está siendo parte de un experimento que van a tratar de aplicar en otros países y puede contar con la ayuda de personas locales».
En esta línea, Esteban Jiménez considera el ataque «una demostración, un despliegue de poder, una intimidación completa», por lo que anticipa la apertura de «un nuevo capítulo a nivel latinoamericano» en el que se intensificarían este tipo de ataques en la región.
5. Cómo ha respondido Costa Rica y quién le ayuda
Emitida casi un mes después del primer ataque, la declaración del estado de emergencia sirvió para agilizar las medidas encaminadas a recuperar la normalidad y fortalecer la protección ante próximas acometidas cibernéticas, informó esta semana el gobierno.
Aseguró que, para ello, cuenta con asistencia técnica de países como España e Israel, y empresas como Microsoft y GBM.
Mientras, el departamento de Estado de Estados Unidos ha ofrecido una recompensa de US$10 millones a quien aporte información que permita identificar o ubicar a los integrantes de Conti.
También pagará hasta US$5 millones a cambio de «información que conduzca al arresto o condena de cualquier persona, en cualquier país, que conspire para participar o intentar participar en un incidente de Conti».
El FBI (Oficina Federal de Investigaciones de EE.UU.) estima que hasta enero de este año el grupo ruso ha extorsionado a más de 1.000 víctimas que han pagado más de US$150 millones en rescates, lo que convierte a Conti en el grupo de ransomware «más dañino jamás documentado».
Por otra parte, las autoridades de Costa Rica han iniciado una investigación para dar con los responsables del ciberataque que, como hackers expertos, se han preocupado de limpiar cualquier rastro incriminatorio.
«Cuatro semanas después muchas de las trazas, de las bitácoras del sistema, ya no existen», afirma Esteban Jiménez.
Por tanto, explica, «va a ser muy complicado utilizar la ciencia digital forense para poder dar con algún tipo de evidencia, por lo que tendrá que ser una investigación formal o clásica» la que permita, al menos, averiguar si hubo algún ciudadano costarricense implicado.
Desde el departamento de ciberseguridad de NetView, os recordamos ser cautelosos con todas las comunicaciones que recibís.