Si el hackeo al Ministerio de Hacienda, desde mediados de abril, había preocupado a los contribuyentes y empresarios exportadores e importadores, el de la Caja Costarricense del Seguro Social desde el martes anterior alcanzó a la población en uno de los servicios públicos más importantes y reconocidos, donde se vienen realizando esfuerzos sostenidos para la digitalización, en particular de la salud.
En el primer caso, el destino de los datos extraídos a Hacienda y el impacto económico en el cumplimiento de las obligaciones tributarias y en el comercio exterior, deberá ser cuantificado. En el segundo caso, la afectación es masiva o, al menos, alcanza a una mayor cantidad de personas independientemente de su nivel de digitalización y de su conocimiento sobre los riesgos cibernéticos.
La Caja tuvo que pedir a las personas con enfermedades crónicas que necesitan medicamentos acudan al centro de salud y que llevaran las medicinas, las cajas, las etiquetas, las fotos con la información o cualquier documentación que hiciera constar el tratamiento de manera clara. La institución informó que se les atendería sin cita y que el médico les haría la receta a mano para que la pudieran llevar a la farmacia. Como en los tiempos antiguos.
A las pacientes del Hospital de Mujeres se les pidió llegar 15 minutos antes de la cita, llevar el carné, la nota de referencia o el papel donde se indica la cita y la lista de medicamentos que toma, fotos o cajas e incluso los medicamentos, y “de ser posible” los resultados de los últimos exámenes realizados”.
Al 1.° de junio pasado se registraban 12.5260 pacientes con procedimientos y citas reprogramadas “por falta de información” al no disponer de los sistemas.
La Caja también realizó ajustes para el pago de obligaciones de los patronos y trabajadores independientes (se extendió el plazo al 10 de junio para la presentación de las planillas de mayo anterior), implementó un procedimiento físico para pagar a sus proveedores y tuvo que iniciar “una nueva campaña de producción de los 10 formularios de más frecuente uso”, tales como el informe diario de pacientes internados o las recetas de consulta externa y la de inyectables.
Según la institución, más de 1.080 establecimientos de salud operaban con el plan de contingencia y procedimientos físicos, a pesar que calificó la afectación como “parcial”: la totalidad de los servicios de emergencia y el 96% de los servicios hospitalarios funcionan normalmente y que solo el 18% de la consulta externa, el 19% de radiología e imágenes médicas, el 37% de farmacia y el 48% de los laboratorios fueron impactados.
Las autoridades, basadas en el decreto de emergencia del Poder Ejecutivo ante los ataques de ciberdelincuentes a Hacienda y otras entidades públicas, declararon también el estado de emergencia institucional debido a estos ataques atribuidos al grupo HiveLeaks, que habría infiltrado un ransomware desde febrero pasado. El ransomware exfiltra o extrae y encripta los datos con fines extorsivos.
Los expertos, más allá del decreto gubernamental del 8 de mayo anterior ante los ataques de los hackers del grupo Conti que infiltró los sistemas de Hacienda y otras entidades, califican la situación de una verdadera emergencia para instituciones y empresas, donde se han registrado el aumento de los intentos de hackeo.
“La gente no tiene ni idea de lo que puede pasar. Falta cultura digital. Estamos en un mundo muy conectado y recibimos información, pero no estamos conscientes de su valor”, advirtió Yenory Rojas, presidente del Colegio de Profesionales de Informática y Computación (CPIC).
Antes de este segundo ataque a la Caja, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) reportó que hay casi 30 instituciones atacadas o donde se detectó algún código malicioso en los sistemas. De esos entes, casi una decena fueron las más afectadas. Se esperaba que la semana anterior se conocieran los resultados de la revisión a cargo del Instituto Costarricense de Electricidad (ICE) sobre la situación de ciberseguridad en unas 310 instituciones públicas.
Ataque sigiloso y violento
El 31 de mayo la Caja anunció que había sufrido un hackeo y que la situación había sido detectada desde las 2 a.m. Posteriormente, el presidente ejecutivo, Alvaro Ramos, dijo que el ransomware pudo haber sido incubado desde cuatro meses atrás y calificó el ataque como “violento”.
La institución implementó el plan de contingencia, consistente en recurrir a trámites y expedientes físicos, incluyendo la solicitud a los asegurados de disponer de la información personal cuando acudieran a los servicios médicos e incluso “hacer un buen uso de los servicios de emergencia” en las clínicas y hospitales.
Para atender la emergencia, la Caja empezó a coordinar con el Micitt y la Comisión Nacional de Emergencias, así como puso a sus 300 informáticos a atender la situación en todo el país y en conjunto con expertos externos en ciberseguridad.
La institución inicialmente aseguró que los sistemas de información y sus bases de datos se encontraban resguardados sin datos perdidos, pero hay asegurados que indicaron que en su aplicación del expediente digital habían aparecido información que no les correspondía.
Desde el ataque a Hacienda, las firmas y especialistas de tecnología de información y ciberseguridad llamaron la atención sobre la necesidad de que tanto las entidades y empresas como los colaboradores y usuarios extremen las medidas de protección informática. En este último caso, tanto porque se incrementan las denuncias de fraudes de ciberdelincuentes a clientes bancarios como porque los hackers aprovechan los hábitos de los usuarios para introducirse en los sistemas corporativos.
Ariel Ramos, experto en ciberseguridad y profesor de ingeniería de sistemas de la Universidad Fidélitas, advirtió que algunas entidades y empresas toman muy a la ligera las ciberamenazas existentes o no quieren “gastar” en esta área, sin pensar que si son afectadas deberán asumir un costo más alto en la recuperación.
Un estudio de la Promotora de Comercio Exterior (Procomer) mostró que el 30% de las empresas y entidades no invierte en seguridad de la información y el 8% desconoce qué es ciberseguridad.
“Las organizaciones de todo el mundo se enfrentan a ransomware sofisticados, ataques a la cadena de suministro digital y vulnerabilidades profundamente arraigadas”, dijo Peter Firstbrook, vicepresidente de investigación de Gartner.
LEA MÁS: Hackeo deja a la Caja trabajando con expedientes físicos. ¿Qué hacer en su empresa para evitar esto?
Gartner emitió un reporte global que alerta sobre la sofisticación de los ataques y sus objetivos de extorsión, la extensión de la superficie de ataque, la necesidad de replantear las prácticas de prevención y respuesta, y la urgencia de una actualización tecnológica.
Los hackers están detectando y aprovechando vulnerabilidades en sistemas de control de accesos físicos a instalaciones, Internet de las cosas, servicios en la nube, redes sociales y correos electrónicos, entre otros, así como los vacíos en procedimientos y herramientas de seguridad informática en trabajo remoto y teletrabajo.
Esta firma de investigación de mercados tecnológicos estima que la inversión global en seguridad de la información y gestión de riesgos ascenderá a los $172.000 millones de dólares durante el 2022, frente a los $155.000 millones de 2021 y los $137.000 millones de 2020.
Para el CPIC urge un cambio de mentalidad, educación cibernética desde primaria, mayor conciencia de las personas y las organizaciones, capacitación para identificar riesgos y para desarrollar mejores hábitos informáticos, pues hasta el momento ha existido lo que califican como una falsa sensación de seguridad. Además, a nivel corporativo, aparte de las soluciones de protección de información también es necesario avanzar en estrategias, ya que las herramientas tecnológicas son insuficientes.
Otra tarea pendiente es incrementar la cantidad de especialistas en ciberseguridad, pues a nivel mundial hacen faltan más de 3 millones de profesionales y técnicos en el área. A nivel local, se estima que se requieren 15.000 personas en ciberseguridad. Tampoco será suficiente.
“Hay que transformar al profesional de tecnologías de información y que incorporen el conocimiento de ciberseguridad, para que se pueda implementar medidas de seguridad desde el desarrollo de sistemas, la adopción de servicios y el desarrollo de las redes”, dijo Marvin Jiménez, de la comisión de ciberseguridad del CPIC.