El Gobierno de Costa Rica declaró estado de emergencia el 8 de mayo 2022, tras ataques cibernéticos de la banda rusa de ransomware (programas digitales malignos) Conti “a más de una veintena de instituciones públicas y más de una docena de instituciones privadas de alto perfil”, dijo a Diálogo Esteban Jiménez, jefe de Tecnología de la firma costarricense de ciberseguridad Atticyber.
Los servicios digitales del Ministerio de Hacienda siguen inactivos desde el 18 de abril. Los ataques confirmados por Conti causaron alteraciones en el funcionamiento de los sistemas informáticos de recaudación, trazabilidad y atención a los contribuyentes; generando pérdidas, daños y riesgos mayores futuros para los bienes de la colectividad, así como para el derecho fundamental a la privacidad de las personas, informó el Gobierno costarricense.
“[Seguimos] recibiendo ataques a distintas bases de datos de otras instituciones”, abundó el Gobierno. “Se está ante una situación de desastre, de calamidad pública y conmoción interna”.
Otras de las agencias públicas afectadas son el Ministerio de Trabajo y Seguridad Social; el Instituto Meteorológico Nacional; y el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones.
Los criminales rusos exigieron un rescate de USD 10 millones al Gobierno costarricense para no publicar información robada de Hacienda, reportó el diario Costa Rica Hoy. El Estado tomó la decisión de no pagar el rescate, por lo que Conti publicó los documentos y datos extraídos.
El 20 de mayo, el grupo elevó su amenaza, diciendo que su objetivo ahora es derrocar al Gobierno costarricense, y también aumentó su rescate a USD 20 millones.
Arma militar
“El desarrollo de su software principal proviene de financiamiento del Gobierno ruso. Es un arma militar (…) que (…) utilizan estos grupos”, explicó Jiménez. “Las armas de software utilizadas en los últimos meses en Costa Rica son variantes de muchos de los paquetes de ataque obtenidos y estudiados, de infecciones en Ucrania y los Estados Unidos”.
Conti, con sede en Rusia, tiene piratas informáticos asalariados para violar sitios web gubernamentales o comerciales, robar información o bloquearlos. Si las entidades afectadas pagan rescate para recuperar sus datos robados el dinero se comparte como un bono, muestra el sitio de noticias Central América.
La preparación para el hackeo puede llevar entre seis meses a un año. Una vez dentro del sistema el grupo concibe una serie de objetivos de ataque. En este caso “Costa Rica es un aliado abierto de los EE. UU., del interés del grupo Conti porque es un adversario”, abundó Jiménez. “La infección inició entre finales de enero y principio de febrero”.
En febrero, Conti amenazó atacar a los enemigos del Kremlin si respondían a la invasión de Ucrania, señaló en Internet la revista América Economía. Este grupo se mantiene muy activo en Latinoamérica, modificando sus tecnologías y herramientas para evadir las defensas de las organizaciones y obtener más ingresos.
La recompensa
Según el Informe sobre delitos en internet 2021, del Buró Federal de Investigaciones de los EE. UU. (FBI), el programa maligno de Conti se encontraba entre las tres variantes principales que agredieron la infraestructura crítica estadounidense; atacando los sectores manufacturero, financiero, tecnológico, alimentación y de construcción.
La banda rusa ha sido responsable de cientos de incidentes de ransomware en los últimos dos años. El FBI estima que Conti ha dejado más de 1000 víctimas hasta enero de 2022, con pagos por más de USD 150 millones. Es la cepa de ransomware más costosa jamás documentada, indicó el Departamento de Estado de los EE. UU. el 6 de mayo.
Después del ataque a Costa Rica, los EE. UU. ofrecieron una recompensa de hasta USD 10 millones por información que permita identificar o localizar a los líderes clave del grupo criminal Conti, y hasta USD 5 millones por información que lleve a su detención y/o condena.
“Al ofrecer esta recompensa los Estados Unidos demuestran su compromiso de proteger a las potenciales víctimas en todo el mundo de la explotación de ciberdelincuentes”, abundó el Departamento de Estado estadounidense. “Buscamos asociarnos con naciones dispuestas a hacer justicia para las víctimas afectadas por el ransomware”.
Estrategia de defensa
“En la emergencia nacional Costa Rica debe enfocarse en una estrategia de defensa coordinada”, expresó Jiménez. “En principio, dotar a las instituciones públicas en muy corto plazo de nuevas políticas, procedimientos y controles, para verificar su plataforma tecnológica”.
Para prevenir y responder ante un eventual ataque cibernético en las próximas semanas o meses, según Jiménez las autoridades costarricenses se han enfocado en el apoyo internacional, principalmente en la capacitación de los órganos públicos.
Además, “Costa Rica y sus diferentes órganos de seguridad están recibiendo de países aliados como los EE. UU., Israel y España, indicadores [semanales] de compromiso y prevención, relacionados con ataques o tendencias observadas a nivel regional, para prevenir a sus instituciones”, concluyó Jiménez.
