‘Volvimos al papel’: ministra Paula Bogantes narra el peor ciberataque de Costa Rica
Bogantes narró a detalle cómo ha sido la recuperación del gobierno de Costa Rica tras el devastador ciberataque.
Paula Bogantes, titular del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) de Costa Rica, fue parte de los especialistas de alto nivel asistentes al LATAM CISO Summit 2023, organizado por Digi Americas Alliance en Madrid, España, desde donde contó algunos detalles sobre lo que se considera el peor ciberataque ocurrido en Costa Rica, ocurrido en abril de 2022.
A continuación la narración de la Ministra costarricense en primera persona.
Durante el ataque estaban dormidos
Yo creo que lo que decía, previo al ataque de ciberseguridad, era un tema que hablaba el Ministerio, pero no se atendía con seriedad, puedo decirlo.
Y para pruebas del ciberataque, el MICITT no tenía el personal para atender operaciones 24-7. Entonces, cuando se iban a dormir a las 4 de la tarde, los funcionarios y los hackers a esa hora también iban a dormir.
El incidente ocurrió a las 2 de la mañana. Es decir, no estaba siendo atendido a las 2 de la mañana. Aquí no solamente era un tema de presupuestos, de falta de personal, de ciberseguridad; no había protocolos, no se habían compartido protocolos con otras instituciones, de qué hacer en caso de un incidente, no había playbooks, no había lineamientos.
Creo que sería incorrecto decir que previo al incidente, el MICITT tenía una política seria de atención de ciberseguridad, por las razones muy simples.
Relacionado: Esta es la visión de procuradores de justicia internacionales sobre el cibercrimen
No se atendía la ciberseguridad como se debía
Pero se podían hacer esfuerzos paralelos, mover la ley de ciberseguridad para darle entonces al Ministerio el presupuesto, la gobernanza, el personal que requería. Nada de eso se había hecho. Entonces, se hablaba de ciberseguridad, pero no se atendía la ciberseguridad como tenía que atenderse.
Es la realidad, y el ataque vino a poner todos estos temas en la superficie. El ataque afectó a dos instituciones.
“Volvimos al papel”
El primer impacto fueron las dos más grandes, el Ministerio de Hacienda y la Caja Costarricense del Seguro Social, que es la institución del Estado que supervisa los hospitales públicos del país. Se sabe que Costa Rica tiene un sistema de salud universal. Es decir, todo ciudadano en Costa Rica está cubierto por el servicio de salud del gobierno o estatal.
Más de 70 mil citas tuvieron que ser reprogramadas. Nosotros volvimos al papel cuatro meses después de estar programando citas. Ya teníamos un problema de listas de espera.
Eso, al día de hoy, las estamos atendiendo. Y más allá de los 25 millones (de dólares) que nos costó recuperar la información y subir los servicios de Hacienda y de la Caja Costarricense del Seguro Social, la pérdida más importante fue la falta de continuidad del servicio a la ciudadanía.
Las pérdidas
Hubo que parar cirugías de personas que llevaban años esperando ser atendidas. La Caja nos informa cómo hubo estudios en oncología que se llevaban meses atendiendo a pacientes para poder definir patologías y demás. Se perdía toda esa información.
¿Qué valor le podemos poner a esa información? En Hacienda tenemos un sistema que se llama TICA (Tecnología de Información para el Control Aduanero), que es lo que usan los exportadores e importadores para el paso de bienes. Se cayó el sistema y hubo que ir (presencialmente). Los importadores tienen que ir a las aduanas a presentar. Eso sólo a un sector le significan 35 millones de dólares en pérdidas.
También lee: Alquiler de direcciones IP, ¿una solución para el agotamiento de IPv4?
Costa Rica declarado en estado de emergencia
Una de las primeras acciones que hizo el presidente Rodrigo Chaves cuando entró en gobierno fue declarar al país en estado de emergencia.
Eso nunca se había dicho en la historia de Costa Rica, no por un ciberataque.
Eso, nuevamente, refuerza el hecho que la seguridad nacional del país estaba comprometida. Entonces, el presidente hace eso. ¿Para qué lo hace? Entre otras razones, porque la industria privada viene a nuestro rescate, así como gobiernos.
Al declarar estado de emergencia, muchos de los protocolos que había que seguir para llegar a la raíz del problema se eliminaron, y las empresas y las agencias de gobierno de Estados Unidos y España, por ejemplo, pudieron tratar de identificar al paciente cero.
Entonces, sí que hubo mucha pérdida.
Lección aprendida
Para mí, la lección aprendida era eso, lograr tener un mapeo de cuáles habían sido todas estas medidas que se debieron de haber implementado y que no lo estábamos haciendo.
Ha sido un trabajo arduo de meses en donde hemos estado levantando protocolos. Muchos países nos han ayudado, Chile nos ha ayudado enormemente.
Pero aquí volvemos a lo mismo, compartamos información, no tenemos que empezar de cero. La industria privada ha sido fenomenal en esto, nos han ayudado muchísimo.
Costa Rica no estaba preparada y lamentablemente, por conversaciones que hemos tenido con otros países vecinos de la región y acuerdos de cooperación que hemos firmado, otros países están en la misma situación en la que estaba Costa Rica previo al ataque.