A un año de registrarse el ataque de ransomware por los grupos Conti y Hive contra el gobierno de Costa Rica y que logró causar la interrupción más grande de las operaciones financieras del país, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) hizo un balance de la situación actual y reiteró la necesidad de continuar invirtiendo en la seguridad cibernética de Costa Rica.

El gobierno sufrió dos ciberataques masivos durante el primer semestre de 2022, el primero de ellos fue al Ministerio de Hacienda el 18 de abril, y el segundo ataque fue el 31 de mayo, a la Caja Costarricense de Seguro Social (CCSS). 

Sin embargo, otras de las instituciones gubernamentales que se vieron afectadas fueron el Micitt, el Instituto Meteorológico Nacional (IMN), Radiográfica Costarricense S. A. (RACSA), el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC), la Sede Interuniversitaria de Alajuela, SIUA.

Debes leer: ¡Alerta! América Latina se encuentra bajo ataque de ransomware

Paula Bogantes, ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones, dijo que Costa Rica fue víctima del ciberterrorismo. Los ataques del grupo Conti amenazaron la economía, la seguridad y la estabilidad del país.

“Hoy somos conscientes de las vulnerabilidades que teníamos, pero también de la enorme responsabilidad que tenemos para gestionar recursos y acciones contundentes para la protección y la seguridad en el ciberespacio.

“Nos hemos formado en herramientas para detectar, responder y corregir las ciberintrusiones; para construir protocolos de respuesta más veloces y robustos, para entrenarnos en la detección hábil de amenazas en el espacio digital y para ser más eficaces para evitar que se materialicen los riesgos”, comentó.

El Micitt informó que se estableció el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) que cuenta con un software especializado, recursos humanos y procesos que brindan soporte las 24 horas, los siete días de la semana. Además, se han establecido alianzas con actores estratégicos que vienen a robustecer el trabajo en beneficio del país.

También se ha incorporado el perfil de ciberseguridad como parte de los procesos ejecutados por la Dirección General de Servicio Civil. Asimismo, y por parte del gobierno de Estados Unidos, el país recibió una ayuda económica por 25 millones de dólares para robustecer los esfuerzos para la protección digital y defensa de los ciberataques en el país, además de la apertura de un Centro de Operaciones de Seguridad (SOC).

De acuerdo con el Ministerio, se han establecido procesos de articulación con los equipos técnicos de Tecnologías de Información de las instituciones, para atender las alertas técnicas, con el fin de fortalecer la ciberseguridad. Igualmente se implementan protocolos de ciberseguridad que permiten alertar a las instituciones a tiempo ante un evento de ciberseguridad, gracias al soporte y monitoreo constante por parte del CSIRT.

CRHOY Erick Murillo

El ciberataque del que fue objeto Costa Rica fue el quinto mayor a nivel mundial.

Así lo dio a conocer la firma de tecnología y la seguridad de la información Sistemas Aplicativos SISAP que evaluó los 6 incidentes que consideran tuvieron mayor relevancia en temas de ciberseguridad en el 2022.

“El ataque coordinado a Costa Rica ha fijado un antes y un después en la ciberseguridad de la región; además de ser el primer reto que asumió el presidente Rodrigo Chaves en su mandato, también le mostró a los gobiernos y organizaciones privadas de la región centroamericana que los ciberataques eran una realidad latente y cercana.

Todo inició el 18 de abril de 2022, día en el que empezó el ataque a 30 instituciones costarricenses; tales como el Ministerio de Hacienda, Ministerio de Trabajo, Ministerio de Ciencia, Tecnología y Telecomunicaciones, Seguro Social, entre otros”, recordó SISAP sobre el conjunto de ataques que le ha costado al país hasta ahora 13 mil millones de colones a la atención de emergencia calificada de seguridad nacional.

Conti, una organización de origen ruso, se autoproclamó autor de estos ataques de los cuales, uno de los que más daño causó fue el incidente al Ministerio de Hacienda, ya que los ciberdelincuentes entraron a los servidores y secuestraron información relacionada al sistema de declaración de impuestos.

Para recuperarlo, Conti le exigió al gobierno el pago de $10 millones, para luego duplicar el rescate a $20 millones, pagos que nunca se dieron, pero pusieron a Conti en el mapa.

Según José Amado, Cybersecurity Outsourcing Director de SISAP, este podría ser un primer ataque masivo de este grupo en la región, con la visión de continuar replicando ciberataques coordinados.

“Como expertos consideremos que este tipo de ataque por parte de Conti se seguirán replicando en distintos países de la región, y posiblemente a niveles mayores, los mismos tienen fines económicos, pero no se descartan motivaciones políticas. Lo cierto es que las organizaciones públicas y privadas deben poner mayor atención a la ciberseguridad de su información”, agregó.

Según el FBI (Oficina Federal de Investigaciones de EE.UU.), se estima que, hasta enero del 2022, el grupo ruso había extorsionado a más de mil víctimas. consiguiendo pagos en rescate que ascienden a $150 millones.

Los otros 5

Según el estudio, estos son los otros 5 principales ciberataques del año pasado.

1.-Guacamaya Group

De acuerdo con Alberto Higuera, Gerente de Arquitectura de Soluciones de SISAP en Colombia, por lo general las bandas de ciberdelincuentes provenían de Europa, Asia y África. Sin embargo, Latinoamérica vio el surgimiento de Guacamaya Group, organización de hacktivistas cuya motivación inicial era “ecologista y antiimperialista”, sin embargo, en el trascurso de sus ataques han tenido como objetivos a distintas empresas privadas e instituciones de gobierno, como en el caso del Perú, en donde atacaron al Comando Conjunto de las Fuerzas Armadas; también en México atacaron a la Secretaría de la Defensa Nacional; y en Chile, el blanco fue el Estado Mayor Conjunto.

A diferencia de otros grupos criminales, Guacamaya Group no ha exigido ningún soborno a sus víctimas; por el contrario, ha filtrado la información a medios de comunicación y público en general. De acuerdo con Higuera, esta forma de accionar es igual de peligrosa, ya que no se tiene conocimiento exacto de quiénes podrían tener acceso a dicha información, la cual al caer en manos incorrectas podrían poner en riesgo la seguridad de todo un país o de la misma región.

2.-Guerra Rusia-Ucrania

A diferencia de las guerras convencionales, las ciberguerras no se anuncian de manera oficial, pero se tiene conocimiento que previo a la actual guerra entre Rusia y Ucrania, ya se habían suscitado una serie de ataques cibernéticos entre ambas naciones por medio de ciber ejércitos.

Entre estos se pueden destacar una serie de ataques de tipo ransomware, campañas de phishing, spamware, denegaciones de servicio y ataques de malware destructivos conocidos también como “wiper”.

Los ataques de tipo “wiper” se conocieron desde enero 2022 luego de la invasión rusa a Ucrania, y justamente tenían como objetivo atacar distintas entidades ucranianas. A diferencia de otros tipos de ataques que buscan obtener información, los ataques “wipers” destruyen por completo la información y se van propagando como un virus entre distintos servidores y computadoras.

3.-LastPass

Este es un gestor de contraseñas bastante popular en el mundo de la informática, una alternativa segura para evitar caer en ataques de phishing y robo de credenciales. Sin embargo, en agosto del 2022 dio a conocer que fue víctima de un ciberataque.

Luego de un análisis forense, la compañía concluyó que los atacantes habían logrado acceder a los sistemas, utilizando el punto final comprometido de un desarrollador; mediante dicha investigación el CEO de LastPass aseguró que, aunque el actor de amenazas pudo acceder al entorno de desarrollo y diseño, los controles del sistema impidieron que el actor de amenazas accediera a los datos de los clientes o a las bóvedas de contraseñas cifradas.

Los atacantes lograron acceder a copias de seguridad que guardaban en el entorno de desarrollo durante 4 días, la compañía aseguró que los datos más sensibles como usuarios y contraseñas se encontraban cifrados, por lo que los atacantes no habrían podido acceder a dicha información. Sin embargo, alertaban a sus clientes para estar atentos ante posibles campañas de phishing en los que ciberdelincuentes podrían pretender robar credenciales haciéndose pasar por el propio Lastpass.

4.-Scams en las instituciones bancarias

El término anglosajón “scam” se refiere a todo tipo de estafa o ataque fraudulento en Internet. En el año 2022, se identificó un aumento significativo de “scams” en las instituciones bancarias de la región centroamericana. Con sitios web que suplantaban la identidad de bancos del sistema con el fin de obtener por medio de engaños los usuarios y contraseñas de cuentahabientes, para luego realizar transferencias bancarias que en muchas ocasiones se vuelven irrastreables y por lo tanto difícilmente recuperables.

Los ataques “scam” que se han visto en los últimos meses en la región, son ataques bien organizados y planificados, muy similares a los que se vieron en Países Bajos en el año 2021, en donde se logró identificar que las estructuras criminales contaban con una red de más de 750 dominios conectados, para alojar páginas de phishing que se hacían pasar por bancos, transporte, logística, gobierno, etc.

A medida en que los Equipos de Atención y Respuesta a Incidentes (CERT) atacan a las organizaciones cibercriminales, estas van ideando nuevos mecanismos para evadir los controles, tal y como lo comenta Amado: “hemos identificado como los ciberdelincuentes colocan a las páginas de phishing controles antibots que evitan ser rastreado, o bien dan acceso solo a dispositivos móviles lo cual dificulta su localización por parte de los equipos de Atención y Respuesta a Incidentes.”

5.-Grupo Conti

6.-Ataques al sistema de salud y su impacto al usuario

Los sistemas de salud también son sectores vulnerables a ciberataques, pero lo más preocupante en estos incidentes es que no se habla únicamente de pérdida de información o dinero; se trata de vidas humanas que pueden perderse a la hora de sufrir un ciberataque.

A finales de 2022, RansomHouse hackeó la información de la empresa Keralty, un proveedor de salud colombiano que opera una red de 12 hospitales y 371 centros médicos en Latinoamérica, España, Estados Unidos y Asia; gestionando la salud de alrededor 6 millones de personas.

Ransomhouse surge en marzo de 2022 y sus miembros se autodenominan “soldados de la libertad”, pero en su modelo de operar manejan técnicas extorsionistas; es decir roban datos privados para pedir a cambio un pago.

“La especialización y consolidación de la economía del cibercrimen ha impulsado el ransomware como servicio (RaaS) para convertirse en un modelo comercial dominante”, así lo advierte Microsoft en su más reciente informe Cyber Signals, sobre ciberamenazas y tendencias de seguridad.

En este informe, Microsoft señala que la economía del ransomware como servicio ha copiado el modelo de la economía compartida, permitiendo a los ciberdelincuentes alquilar o vender el acceso a sus herramientas como cargas útiles, fuga de datos e infraestructura de pago. Estos prefieren llevarse solo una parte de las ganancias en lugar de tomarse la molestia de realizar los ataques por sí mismos.

Como resultado, los programas RaaS como Conti o REvil ahora son utilizados por muchos actores diferentes que cambian entre programas y cargas útiles, independientemente de su experiencia técnica.

Relacionado: Costos por filtraciones de datos incrementaron 9% en América Latina: IBM

La economía RaaS ha permitido que cualquier persona con una computadora y una tarjeta de crédito dispuesta a buscar en lo más recóndito de Internet, pueda acceder a este tipo de herramientas listas para usarse. Algunos programas tienen más de 50 “afiliados”.

La facilidad con la que se pueden ejecutar los programas RaaS ha permitido el aumento tanto en volumen como en sofisticación de los ataques. La Unidad de Crímenes Digitales de Microsoft reportó haber eliminado más de 531 mil URLs de phishing únicas y 5 mil 400 kits de phishing entre julio de 2021 y junio de 2022, lo que llevó a la identificación y cierre de más de mil 400 cuentas de correo electrónico maliciosas utilizadas para recopilar las contraseñas robadas de sus clientes a través de ransomware.

Microsoft dice que el tiempo promedio en que los ciberdelincuentes tardan en acceder a los datos personales de un usuario a través de phishing es de una hora y 12 minutos. Mientras que el tiempo promedio que un atacante tarda en entrar a una red corporativa a través de dispositivos remotos endpoints es de una hora y 42 minutos.

DPL Cloud Digital Series | Microsoft Azure: colaboración y soluciones integrales para industrias y gobiernos

La empresa tecnológica señala que para reforzar la seguridad de las organizaciones ante el auge del ransomware es importante crear un protocolo de higiene de credenciales desarrollando “una segmentación de red lógica basada en privilegios” que permita limitar movimientos laterales.

También invita a los equipos de seguridad de TI  y los Centros de Operaciones de Seguridad (SOC) a colaborar para realizar auditorías de exposición de credenciales para reducir los privilegios y tener más control de las contraseñas.Reducir la superficie de ataque de ransomware es otro de los consejos de Microsoft para que las organizaciones establezcan reglas definidas que les permitan mitigar los ataques en las etapas iniciales.

CRHOY Erick Murillo

El Buró Federal de Investigaciones (FBI, por sus siglas en inglés), también se unió a la ayuda internacional tras el ciberataque de ransomware perpetrado por el Gupo Conti contra instituciones públicas.

La información la confirmó Marcos Mandojana, ministro consejero de la embajada de Estados Unidos en el país.

“El gobierno costarricense recibió apoyo del FBI que viajó al país para asistir en la investigación“, confirmó Mandojana durante el evento “Recuperación de Costa Rica de ataques cibernéticos: Un camino a seguir”.

El diplomático agregó que la embajada estadounidense también colaboró a enfrentar la amenaza cibernética y 5 investigadores del Organismo de Investigación Judicial (OIJ) estuvieron la semana pasada en Panamá recibiendo una capacitación en análisis forense digital impartida por el Departamento de Justicia, para ayudar con la investigación de ciberdelitos.

“Estamos organizando una capacitación en setiembre para funcionarios costarricenses dirigida por expertos cibernéticos del Instituto de ingeniería de software Carnegie Mellon sobre cómo coordinar y responder a incidentes cibernéticos.

El equipo de la embajada continuará trabajando con Micitt y otras instituciones junto con países aliados como España e Israel y con el sector privado en la búsqueda de una Costa Rica más segura”, añadió el representante de la misión extranjera.

El pasado mes de mayo, el Departamento de Estado de Estados Unidos anunció que ofrecía una recompensa de hasta 10 millones de dólares por información que permita identificar o ubicar a cualquier persona con una posición de liderazgo clave en el grupo de crimen organizado Conti, responsable de los ciberataques a sitios gubernamentales costarricenses.

También dijo que ofrece una recompensa de hasta 5 millones de dólares por información que conduzca al arresto o condena de cualquier persona, en cualquier país, que conspire para participar o tratar de participar en un incidente de Conti.

“Estados Unidos está comprometido a ayudar a nuestros amigos costarricenses ante los ciberataques por parte del grupo Conti que sufrió en las últimas semanas. Esta asistencia reafirma y refuerza nuestra cooperación cercana con Costa Rica desde hace mucho tiempo”, señaló en ese oportunidad,  Cynthia Telles, la embajadora de Estados Unidos

CRHOY Erick Murillo

La atención de los recientes ciberataques perpetrados por los grupos Conti y Hive le cuestan al país la suma de más de 13 mil millones de colones.

Así se desprende del Plan General de la Emergencia por Ciberataques, que fue dado a conocer durante la comparecencia del pasado 28 de julio en la Comisión de Seguridad y Narcotráfico de la Asamblea, por Natalia Díaz, ministra de la Presidencia.

En la actividad en la que también participaron Carlos Alvarado Briceño, ministro de Ciencia y Tecnología, Nogui Acosta, jerarca de Hacienda y Alejandro Picado, presidente de la Comisión Nacional de Emergencias (CNE), coincidieron en que la afectación económica “fue alta”.

Díaz Quintana confirmó que el 21 de julio pasado en sesión de Junta Directiva de la CNE se aprobó el plan general sobre los ataques informáticos contra instituciones públicas.

“Mediante los reportes de las instituciones involucradas en esta emergencia, se logra determinar que el costo de atención directa de esta emergencia es de ₡13.418.907.369,59, tanto con recursos propios de las instituciones como del Fondo Nacional de Emergencias (FNE), en todas las fases de atención de la emergencia“, indica el reporte.

Las instituciones que más dinero han invertido solo en la fase de rehabilitación son la Caja Costarricense del Seguro Social (CCSS) con 10 mil millones de colones y el Ministerio de Hacienda, con ₡1.123.625.974, ambos con fondos propios para enfrentar la emergencia.

Mientras que para la fase de reconstrucción, Hacienda tiene presupuestado ₡1.049.388.494, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) ₡641.475.400, Ministerio de Trabajo y Seguridad Social (MTSS) ₡345 millones, la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC) ₡130 millones, todos con dinero del FNE. JASEC además dispondrá de ₡34 millones adicionales propios.

De acuerdo con Madrigal, los datos se basan en insumos que dieron las mismas instituciones a través del ente rector Micitt y ahora le compete a la CNE la fiscalización de los fondos para su ejecución.

Ante la consulta de los legisladores sobre cuál era el costo más allá del daño a los sistemas, como la afectación, por ejemplo, a asegurados que perdieron citas o cirugías, los comparecientes no pudieron brindar el dato.

La Nación José Andrés Céspedes

A los criminales detrás del grupo Conti, responsables de dejar en jaque al Ministerio de Hacienda y a la Caja Costarricense de Seguro Social (CCSS) con repercusiones que todavía persisten, no les importó dejar sin salario o sin citas urgentes a miles de costarricenses, ni tampoco no recibir un solo dólar por su ataque al país, porque, aparentemente, su plan era otro y les resultó.

La seguidilla de amenazas cibernéticas que realizó esta pandilla de delincuentes internacionales en las instituciones públicas del país no fue más que su estrategia para concretar un proceso de reestructuración interno, de acuerdo con informes de los portales de ciberseguridad de mayor renombre en el mundo y entrevistas a expertos nacionales en esta área.

Aunque desde su aparición en 2019, Conti logró posicionarse como una de las organizaciones de hackeo más peligrosas, mediáticas y exitosas del planeta, después de mostrar su apoyo a Rusia en la invasión a Ucrania, varios miembros discreparon e incluso intentaron sabotear al grupo filtrando información sensible. Luego de estas diferencias, los cabecillas de la banda decidieron eliminar la marca “Conti” para seguir operando bajo otro alias.

Esta es una práctica común de las bandas cibernéticas cuando son muy acechadas por las autoridades o enfrentan problema internos, pero como señala una reciente investigación de AdvIntel, un grupo tan notorio y prolífico como Conti no podía simplemente apagar sus servidores para aparecer la semana siguiente con un nuevo nombre y otro logo, porque otros colectivos ya lo habían intentado y fracasaron en el intento.

Los experimentados analistas informáticos Yelisey Bogusalvskiy y Vitali Kremez determinaron que los líderes de Conti decidieron implementar un elemento de “performatividad” en su estrategia de rebranding, para hacer parecer que estaban más activos y fuertes que nunca, cuando en realidad estaban creando silenciosamente fraccionamientos que comenzaron a operar antes del inicio del proceso de cierre.

Estos subgrupos criminales utilizaron alter egos de Conti que ya existían anteriormente y se aliaron con otros colectivos que empezaron a tomar notoriedad, como el que atacó a la CCSS, llamado Hive. De esta forma, los delincuentes podían controlar la narrativa en torno a su disolución, al tiempo que complicaban significativamente cualquier futura atribución de amenazas (aunque al final siempre se descubrió su plan).

Aquí fue donde entró Costa Rica, ya que para ocultar el hecho de que Conti ahora estaba disperso y operaba a través de marcas más pequeñas y novedosas, los dirigentes del grupo criminal decidieron aprovecharse del país y de su poca o casi nula estrategia de ciberseguridad, al hackear las instituciones más importantes para la sociedad y tener notoriedad en medios de comunicación y redes sociales.

“Para llevar a cabo su última maniobra táctica, los agentes que se quedaron atrás para operar desde el enorme caparazón vacío de Conti tuvieron que asegurarse de que sus payasadas desviaran con éxito la atención de sus camaradas que escapaban. Para hacer esto, tenían que asegurarse de dejar un cebo lo suficientemente grande como para satisfacer a sus fuerzas opuestas. Conti tendría que realizar un gran final, uno lo suficientemente grande como para estar a la altura del nombre del grupo”, explica AdvIntel.

Así fue como el 17 de abril comenzó su ataque a Costa Rica y todos los portales tecnológicos del mundo informaron que Conti estaba más activo que nunca: justo lo que el grupo quería. Incluso, el 8 de mayo el recién juramentado presidente Rodrigo Chaves emitió un anuncio de emergencia nacional que otorgó todavía más notoriedad a la banda.

Importantes sitios de ciberseguridad como We Live Security, Malwarebytes, Bleeping Computer y reportes del referente en cibercrimen y periodista de investigación Brian Krebs, confirmaron que el plan de Conti solo era tomar a Costa Rica como señuelo y no precisamente obtener dinero con la extorsión. Sin embargo, la operación de la pandilla también desencadenó un caos nacional en términos de servicios públicos que afectó a millones de ciudadanos y a la economía regional.

“El único objetivo que Conti quería con este ataque final era usar la plataforma como una herramienta de publicidad, realizando su propia muerte y posterior renacimiento de la manera más plausible que podría haber sido concebida. De hecho, el ataque a Costa Rica puso a Conti en el centro de atención y les ayudó a mantener la ilusión de vida por más tiempo, mientras se llevaba a cabo la reestructuración”, apuntó AdvIntel.

Una nueva red

Ahora, al distribuir a sus miembros entre varios grupos, Conti evita que toda su operación sea eliminada si se detiene a una sola célula, a pesar de que todos los fraccionamientos sean administrados por un liderazgo central, conocido como “reshaev”. También, cambió de una estructura organizativa jerárquica a una en red, más horizontal y descentralizada, y modificó su estrategia de cifrado de datos por la técnica de exfiltración.

¿Pero por qué utilizar a un pequeño país de Centroamérica para su plan maestro?, se podrían preguntar algunos. El abogado especialista en derecho informático y capacitador en ciberdelincuencia Adalid Medrano explicó a La Nación que precisamente el hecho de que sea un país tan minúsculo iba a generar que la situación tuviera amplia cobertura de medios de comunicación nacionales y trascendiera las fronteras.

“Eso por supuesto que les ayudaba, ya no como sería normal para hacer presión para ganar dinero con la extorsión, sino para tener notoriedad a nivel mundial, porque inclusive las decisiones de los presidentes, por ejemplo en el caso de Rodrigo Chaves de hacer una declaratoria de emergencia nacional, eso los hace lucir muy bien a ellos porque a nivel mundial no se comprende bien cuál es el fin de la emergencia nacional”, dijo.

Por su parte, el experto en ciberseguridad y fundador de la primera firma de ciberdefensa en Costa Rica, Esteban Jiménez, comentó a este diario que aunque Conti como marca está completamente muerto, el software dañino que crearon sus integrantes para vulnerar todo tipo de sistemas se continúa utilizando en todo el mundo y es la principal herramienta que utilizan las nuevas subsidiarias de la organización criminal.

“La operación aquí en el país definitivamente apoyó al grupo en fama y reputación, le dio más credibilidad sin importar si desde antes tuviera problemas a lo interno. El grupo Conti fue, sin duda alguna, el más exitoso de los últimos años y la herramienta que utilizan es de muy alta tecnología y de un cifrado de grado militar, bastante potente. Esa herramienta no desapareció, se sigue utilizando y puede ser alquilada”, dijo.

Una reciente investigación de Trend Micro Inc., multinacional japonesa de software de ciberseguridad, arrojó que Conti comparte con la firma LockBit el liderato como los grupos de ransomware más destacados de los últimos años. La empresa rescató que “si bien algunos informes indican que la marca Conti ahora está fuera de línea, su escala continúa convirtiéndola en un excelente caso de estudio para estos enfoques”.

Al clasificar las 10 principales pandillas de ransomware en términos de la cantidad de organizaciones a las que se les filtraron sus datos (de noviembre de 2019 a marzo de 2022), Conti y Lockbit se posicionan como las bandas más efectivas. De hecho, entre ellas representan casi el 45% de todos los incidentes analizados.

“LockBit se ha puesto al día rápidamente en términos de la cantidad total de organizaciones víctimas y, a partir de marzo de 2022, predijimos que superará a Conti alrededor de agosto de 2022 para convertirse en el grupo de ransomware más grande en términos de la cantidad total de organizaciones victimizadas. Sin embargo, dado que es probable que Conti haya cerrado en mayo de 2022, o al menos haya cambiado de marca, es casi seguro que LockBit superará a Conti antes de lo esperado”, indicaron los analistas japoneses.

Finalmente, la única duda que queda es que todo apunta a que Conti obtuvo ayuda de agentes internos en Costa Rica para realizar sus ataques a las instituciones públicas, incluso el presidente Rodrigo Chaves y su gabinete afirmaron que tenían información sobre estas personas que colaboraron con la banda criminal. Sin embargo, hasta la fecha no han dado cuenta de ello y parece que el tema quedará en un simple señalamiento.

Mientras tanto, millones de costarricenses continúan enfrentando las consecuencias del hackeo, algunos sin siquiera entender qué fue lo que sucedió o por qué pasados casi cuatro meses todavía no se ha resuelto. Trabajadores sin pago de incapacidades, pacientes con problemas de citas o medicamentos y empleados públicos con salarios retenidos solo piden una cosa: soluciones.

La República Andrei Siles

Las amenazas cibernéticas en contra de sistemas informáticos estatales y empresariales en diversos países a través del modo ransomware o secuestro de información sensible ha llegado a cifras impensadas años atrás.

Solo en el año anterior los intentos de ataque bajo esta modalidad contra los gobiernos aumentaron hasta tres veces el punto más alto del año anterior.

Según Cybersecurity Ventures, la organización Conti fue la variante de ransomware más activa del mercado en 2021 con un 15%, asimismo fue la que recibió la mayor cantidad de pagos por rescates, unos $13 millones.

Si la tendencia continúa a este ritmo, para el 2031 se registrarán ataques cada dos segundos a organizaciones públicas y privadas, al tiempo que se estima que el costo global por estos delitos ascenderá a más de $157 billones para el 2028, con respecto a los $20 billones invertidos respecto del año anterior, según datos proporcionados por GBM.

Por esta razón, es recomendable que las organizaciones destinen mayores recursos al análisis de inteligencia estructurado para contrarrestar mejor las amenazas avanzadas, en muchos casos sigilosas, en pro de tomar las mejores decisiones para mitigar riesgos sobre amenazas emergentes y sus nuevas formas de vulnerar los perímetros.

“Las tácticas avanzadas adquiridas por adversarios de primer nivel tienden a convertirse en productos básicos entre los grupos criminales menos capacitados cuando la información se hace pública. Los ataques que requieren mayores recursos, como la ingeniería social, se volverán más comunes a medida que continúen las infracciones”, comentó Alonso Ramírez, Gerente de Ciberseguridad de GBM.

Contrariamente a la creencia popular, los controles de seguridad simples como inventario y control de activos empresariales y software, así como una adecuada gestión de vulnerabilidades son formas sumamente efectivas de disuadir a la mayoría de amenazantes.

Los actores cibernéticos malintencionados tienen recursos limitados y, como cualquier otra persona, dirigirán los activos hacia lo que tenga el mayor retorno de la inversión, ya que es probable que las organizaciones con controles de seguridad reforzados sean ignoradas para atacar objetivos más fáciles, según el experto.

Asimismo, es importante que las organizaciones construyan los procesos de conexión entre los equipos de seguridad, los analistas cibernéticos y los investigadores de amenazas externas. En este sentido, los profesionales de la seguridad informática pueden compartir lo que ven cuando ocurre un ataque y distribuir indicadores de compromiso y compararlos con las vulnerabilidades dentro de una plataforma de análisis cibernético.

“Cuando ocurre un ataque avanzado contra una organización, es vital comprender por qué la infiltración fue exitosa porque puede haber múltiples dimensiones que llevaron al suceso, desde una falla en el control de políticas hasta la falta de capacidad de detección técnica, por lo que es necesaria una evaluación exhaustiva de la vulneración para comprender la decisión humana que condujo al problema”, concluye el experto.

Para más información sobre los servicios y soluciones de GBM en el área de ciberseguridad, puede visitar la página: gbm.net/es/ciberseguridad

¿Qué es el ransomware?
Modalidad de ataque cibernético para cifrar archivos en dispositivos, haciéndolos inservibles, así como los sistemas que dependen de ellos.

¿Cómo proceden los ciberdelincuentes luego de ejecutado el delito?
Tras cometer estos actos, los criminales demandan un rescate a cambio de un descifrado. Este rescate es, en la mayoría de los casos, una petición de dinero.

¿Cuáles son las consecuencias para los afectados?
El ransomware es actualmente una actividad criminal extensiva y constante, que provoca muchas pérdidas económicas para las empresas y las personas.

Costa Rica no es el primer país afectado gravemente por el ciberdelito, sin embargo, sus servicios gubernamentales permanecen paralizados. El presidente de Costa Rica, Rodrigo Chaves Robles, declaró la guerra a los piratas informáticos diciendo que quieren derrocar al gobierno.

Desde hace dos meses, el país ha sufrido ataques de ransomware que han interrumpido la vida cotidiana en la nación: los maestros no han cobrado y las autoridades de salud no acceden a los registros médicos, informó la agencia de noticias Associated Press (AP).

Belisario Contreras, exgerente del programa de seguridad cibernética de la Organización de los Estados Americanos (OEA), dijo “Hoy es Costa Rica. Mañana podría ser el Canal de Panamá”, refiriéndose a una importante vía marítima centroamericana que transporta una gran cantidad de tráfico de importación y exportación de Estados Unidos.

Debes leer: ¡Alerta! América Latina se encuentra bajo ataque de ransomware

El primer ataque de ransomware Conti contra el gobierno de Costa Rica se registró en abril y exigió un pago de 20 millones de dólares, a lo que el presidente Chaves Robles declaró estado de emergencia, ya que las oficinas gubernamentales fueron dañadas: “Estamos en guerra y esto no es una exageración”, aseguró.

Posteriormente, se registró un segundo ataque, atribuido a Hive Ramsonware Group, que dejó sin servicio a la Caja Costarricense de Seguro Social (CCSS) y otros sistemas.

Conti también atacó a la agencia de inteligencia de Perú; publicó en su sitio de la Dark Web documentos clasificados como secretos que detalla los esfuerzos de erradicación de la cocaína.

Expertos mencionaron a AP que los países en desarrollo como Costa Rica y Perú seguirán siendo objetivos de la ciberdelincuencia, y aunque han invertido en la digitalización de su economía y sus sistemas, no cuentan con defensas tan sofisticadas como las naciones más ricas.

Paul Rosenzweig, consultor cibernético, dijo a la Agencia que Costa Rica presenta un caso de prueba de lo que el gobierno de los Estados Unidos les debe a sus gobiernos amigos: “Si bien es posible que un ataque a un país extranjero no tenga un impacto directo en los intereses de Estados Unidos, el gobierno federal tiene un gran interés en limitar las formas en que los ciberdelincuentes pueden alterar la economía digital global”.

“Costa Rica es un buen ejemplo porque es el primero. Nadie ha visto antes un gobierno atacado”, señaló Rosenzweig.

Relacionado: Estados Unidos ofrece recompensa por ciberatacantes del ransomware Conti

Hasta ahora, la administración del presidente estadounidense Joe Biden ha dicho poco sobre la situación, pero ha brindado asistencia técnica a través de su Agencia de Seguridad de Infraestructura y Ciberseguridad, y el Departamento de Estado ha ofrecido una recompensa por el arresto de miembros de Conti.

Estimaciones del FBI señalan que actualmente Conti es una de las pandillas de ransomware más prolíficas que operan, ha atacado a más de mil objetivos y ha recibido más de 150 millones de dólares en pagos en los últimos dos años.

CRHOY Erick Murillo

Costa Rica suscribió el Segundo Protocolo Adicional al Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido también como Convenio de Budapest.

El anuncio se da tras los ciberataques de ransomware por parte del grupo Conti, que empezaron desde el 18 de abril.

El protocolo, que fue adoptado por el Comité de Ministros del Consejo de Europa el 17 de noviembre de 2021, es considerado como un instrumento que permitirá a los estados acelerar los procesos de cooperación internacional entre sus autoridades y obtener la colaboración directa de los proveedores en otros estados ante la proliferación de la ciberdelincuencia y de la complejidad creciente de la obtención de pruebas electrónicas que pueden ser almacenadas en jurisdicciones extranjeras.

El acuerdo fue firmado en la sede del Consejo de Europa, en Estrasburgo, por Sergio Vinocour, Encargado de Negocios a.i. de la Embajada de Costa Rica en Francia y el ministro de Relaciones Exteriores y Culto, Arnoldo André Tinoco.

Costa Rica se suma así a 23 países que han firmado este Protocolo del Convenio de Budapest, el cual entrará en vigencia una vez que un mínimo de 5 estados lo ratifiquen.

La República Esteban Arrieta

A un mes de que el grupo Conti, iniciara ciberataques a diferentes sistemas del Estado, esto es todo lo que usted debe saber:

¿Qué pasó?

La organización cibercriminal Conti, tomó el control de dos plataformas del Ministerio de Hacienda, conocidas como TIC@ y ATV, el pasado 18 de abril.

¿Para qué sirven esas plataformas?

Las plataformas son utilizadas por importadores y exportadores nacionales, las agencias aduanales y grandes y pequeños contribuyentes para presentar sus declaraciones de impuestos de la renta, de ventas y otras obligaciones.

¿Cómo afectan los hackers la labor del Ministerio de Hacienda?

Los cibercriminales bloquean el acceso a la información y sustraen los datos.

¿Están en peligro los datos de las empresas y otros contribuyentes?

Sí.

El peligro de un chantaje por parte de cibercriminales, pérdida de información valiosa y la exposición de datos frente a otros competidores y ante la opinión pública, son amenazas latentes.

Los hackers aseveran tener 1 terabyte de información de contribuyentes.

¿Qué otras entidades fueron hackeadas o se vieron afectadas?

20 instituciones públicas se vieron debilitadas por la violación a sus servidores informáticos, algunas de ellas son:

• Instituto Meteorológico Nacional
• Radiográfica Costarricense S. A. (RACSA),
• Caja Costarricense de Seguro Social
• Ministerio de Trabajo y Seguridad Social
• Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF)
• Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC)
• Fanal
• Municipalidad de Alajuelita, Garabito

¿Cuáles otras afectaciones se derivan de la sustracción de datos?

Exportadores, importadores y comerciantes alertaron de “posibles pérdidas millonarias”, por la imposibilidad de realizar sus actividades normalmente, ya que las empresas están siendo altamente afectadas por la inhabilitación del sistema aduanero TICA, lo que ha significado la paralización del comercio internacional, a la vez que hay un colapso en fronteras, puertos y aeropuertos.

Por otro lado, los contribuyentes se han visto forzados a presentar sus declaraciones a mano y hacer los pagos de manera presencial, en vez de hacerlo por la vía digital.

De igual forma, más de 3 mil funcionarios del MEP tuvieron retrasos en el pago de su salario, debido al ciberataque que deshabilitó el sistema Integra 2, el cual contiene el historial de los 88 mil docentes y administrativos que conforman la planilla ministerial.

¿Está en peligro el pago de los salarios en el sector estatal?

Ante el ataque de los ciberdelincuentes, se anunció por parte del Gobierno que se desactivó de manera preventiva el sistema Integra que gestiona el pago de planillas de funcionarios del Gobierno Central.

¿Qué quieren los criminales?

Inicialmente pidieron un rescate de $10 millones para liberar los datos al Ministerio de Hacienda, al no ver respuesta del Gobierno aumentaron el monto a $20 millones y este fin de semana lanzaron un nuevo últimátum por $15 millones.

¿Qué información han liberado?

Al 21 de abril habían liberado casi 46 Gigabytes de información de Hacienda, Fodesaf y el Ministerio de Trabajo.

¿Cuándo es la fecha límite para pagar la recompensa?

¿Qué se sabe de Grupo Conti?

Se considera la organización de ransomware más grande del mundo y se especializa en objetivos de alto valor de los que podrían obtener altas cifras como recompensa según expertos en ciberseguridad, quienes estiman que la organización lanzó 500 ataques el año pasado.

¿A quiénes han atacado?

Un caso reciente es el fabricante estadounidense Parker Hannifin, así como redes médicas y de primera respuesta de Estados Unidos, el sistema de salud irlandés, Panasonic y la agencia de inteligencia de Perú.

El grupo también ha amenazado con atacar a las organizaciones que se oponen a Rusia en medio de su guerra en Ucrania.

Más de mil organizaciones pagaron más de $150 millones de rescate a Conti, según datos del FBI en enero de este año.

¿Por qué los hackers atacaron Costa Rica?

Las bandas criminales hacen un monitoreo mundial, evaluando qué países han mostrado ser más vulnerables y Costa Rica se ganó la rifa.

¿De qué forma cobran los hackers el rescate?

Criptomonedas porque es un método que no se puede rastrear.

¿Qué está haciendo el gobierno para resolver el problema?

Días antes de terminar su mandato, Carlos Alvarado instruyó la conformación de un equipo de crisis para la atención y monitoreo del riesgo actual de ciberseguridad que afecta a varias instituciones públicas.

Tras jurar como presidente de Costa Rica, Rodrigo Chaves declaró emergencia nacional por el hackeo.

¿Cómo puedo proteger la red de mi hogar o empresa?

EXPERTOS EN CIBERSEGURIDAD RECOMIENDAN LO SIGUIENTE

• Mantenga sus dispositivos y aplicaciones actualizados para asegurar que tengan los últimos parches de errores
• Utilice la autenticación de dos factores para aumentar la seguridad de su cuenta
• Evite enlaces sospechosos y archivos adjuntos de correo electrónico, especialmente de personas que no conoce
• Elimine aplicaciones innecesarias de sus dispositivos. Los atacantes buscan vulnerabilidades y cuantas más aplicaciones utilice, más probable es que encuentren una
• Para usuarios más avanzados, analice los archivos recibidos en un entorno de “caja de arena”, un área aislada que no afectará al sistema principal