Ciberataque provoca caos en sistemas de gobierno en Costa Rica

SAN JOSÉ, Costa Rica — Casi una semana después ataque de ransomware que paralizó los sistemas informáticos del gobierno de Costa Rica, el país se negó a pagar un rescate mientras luchaba por implementar soluciones alternativas y se preparó cuando los piratas informáticos comenzaron a liberar información robada.

La pandilla Conti, de habla rusa, se atribuyó la autoría del ataque, pero el gobierno costarricense no ha confirmado su origen.

El Ministerio de Hacienda fue el primero en reportar problemas el lunes. Varios de sus sistemas se han visto afectados, desde la recaudación de impuestos hasta los procesos de importación y exportación a través de la agencia aduanera. Siguieron ataques al sistema de recursos humanos de la agencia de seguridad social y al Ministerio del Trabajo, entre otros.

El ataque inicial obligó al Ministerio de Hacienda a cerrar durante varias horas el sistema encargado de pagar a buena parte de los empleados públicos del país, que también gestiona el pago de las pensiones estatales. También tuvo que otorgar prórrogas para el pago de impuestos.

Conti no había publicado un monto específico de rescate, pero el presidente de Costa Rica, Carlos Alvarado, dijo: «El Estado costarricense no pagará nada a estos ciberdelincuentes». Una cifra de 10 millones de dólares circuló en las plataformas de redes sociales, pero no apareció en el sitio de Conti.

Las empresas costarricenses se preocuparon por la información confidencial proporcionada al gobierno que podría ser publicada y utilizada en su contra, mientras que el ciudadano medio temía que información financiera personal podrían usarse para limpiar sus cuentas bancarias.

Lee mas: El enfoque de nuestro gobierno hacia la ciberseguridad es un desastre costoso. Esto es lo que solucionaría el problema.

Christian Rucavado, director ejecutivo de la Cámara de Exportadores de Costa Rica, dijo que el ataque a la agencia de aduanas había colapsado la logística de importación y exportación del país. Describió una carrera contra el tiempo para los productos perecederos que esperan en el almacenamiento en frío y dijo que aún no tenían una estimación de las pérdidas económicas. El comercio seguía moviéndose, pero mucho más lento.

“Algunas fronteras tienen retrasos porque están haciendo el proceso manualmente”, dijo Rucavado. “Hemos pedido al gobierno varias acciones como ampliar los horarios de apertura para que puedan atender exportaciones e importaciones”.

Dijo que normalmente Costa Rica exporta un promedio diario de $38 millones en productos.

Allan Liska, analista de inteligencia de una empresa de seguridad. Futuro guardadodijo que Conti buscaba una doble extorsión: encriptar archivos del gobierno para congelar la capacidad de las agencias para operar y publicar archivos robados en los sitios de extorsión de la web oscura del grupo si no se pagaba un rescate.

La primera parte a menudo se puede superar si los sistemas tienen buenas copias de seguridad, pero la segunda es más complicada dependiendo de la sensibilidad de los datos robados, dijo.

Por lo general, Conti alquila su infraestructura de ransomware a «afiliados» que pagan por el servicio. El afiliado atacante Costa Rica podría estar en cualquier parte del mundo, dijo Liska.

Hace un año, un ataque de ransomware Conti obligó al sistema de salud irlandés a cerrar su sistema de TI, cancelando citas, tratamientos y cirugías.

El mes pasado, Conti prometió sus servicios para apoyar la invasión rusa de Ucrania. Esta decisión ha enojado a los ciberdelincuentes que simpatizan con Ucrania. También provocó que un investigador de seguridad que había estado monitoreando a Conti durante mucho tiempo filtrara un enorme tesoro de comunicaciones internas entre ciertos operadores de Conti.

Cuando se le preguntó por qué la democracia más estable de América Central, conocida por su vida silvestre tropical y sus playas, sería un objetivo para los piratas informáticos, Liska dijo que la motivación suele ser más sobre las debilidades. «Están buscando vulnerabilidades específicas», dijo. «Entonces, la explicación más probable es que Costa Rica tenía una serie de vulnerabilidades y uno de los actores del ransomware descubrió esas vulnerabilidades y pudo explotarlas».

Brett Callow, analista de ransomware en emsisoftdijo que revisó uno de los archivos filtrados del Ministerio de Hacienda de Costa Rica y «no parece haber muchas dudas de que los datos son legítimos».

El viernes, el sitio de extorsión de Conti dijo que liberó el 50% de los datos robados. Dijo que incluía más de 850 gigabytes de datos de las bases de datos del Ministerio de Hacienda y otras instituciones. “Todo esto es ideal para el phishing, deseamos mucha suerte a nuestros compañeros de Costa Rica en la monetización de estos datos”, dijo.

Esto parecía contradecir la afirmación de Alvarado de que el ataque no fue por el dinero.

“Mi opinión es que este ataque no es por dinero, sino que busca atentar contra la estabilidad del país en un punto de transición”, dijo en referencia a su gestión saliente y al desempeño de la juramentación del nuevo presidente de Costa Rica. el 8 de mayo no lograrlo. »

Alvarado insinuó la posibilidad de que el ataque haya sido motivado por el rechazo público de Costa Rica a la invasión rusa a Ucrania. “Tampoco puedes separarlo de la compleja situación geopolítica global en un mundo digitalizado”, dijo.

__

El periodista de AP Frank Bajak en Boston contribuyó a este despacho. Sherman informó desde México.

Contáctenos para [email protected].