El Ministerio de Hacienda concluirá el proceso de rehabilitación de todos sus sistemas informáticos a principios del próximo mes de noviembre tras el hackeo sufrido hace cinco meses y que le costó a la institución unos ¢330 millones solo en planillas hasta el momento.
En la actualidad, los sistemas críticos de cara a los contribuyentes, empresas e instituciones para trámites tributarios, aduaneros, de pago de salarios y presupuestarios están habilitados y operando sin problemas, más allá de las pulgas “normales” o situaciones a nivel de usuarios. Lo que queda es terminar de levantar varios sistemas internos.
José Willy Cortés, director de tecnologías de información y comunicación del Ministerio de Hacienda, dijo que más del 50% de los sistemas informáticos internos están rehabilitados. En las próximas siete semanas se restablecerán los restantes, incluyendo CompraRed que fue sustituido por el Sistema de Compras Públicas (Sicop) pero aún es necesario para consultas de información histórica.
El hackeo mediante un ransomware (un sistema que encripta y secuestra datos) fue revelado el primer lunes después de Semana Santa, en abril anterior. De inmediato se accionó el protocolo con acciones que abarcan la deshabilitación de todos los sistemas y aplicaciones.
A la situación de Hacienda se sumaron otros ataques de grupos de ciberdelincuentes, entre ellos Conti, a diferentes entidades públicas como la Caja Costarricense de Seguro Social.
La entidad inició un proceso de revisión, limpieza y rehabilitación de las plataformas y servicios, en el cual estuvo dedicado el 95% del personal de TIC de Hacienda y especialistas de firmas como GBM y Microsoft, con apoyo del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Dos meses después de operar con mecanismos y herramientas de contingencia, se restablecieron los sistemas de la Administración Tributaria Virtual (ATV), Tecnología de Información para el Control Aduanero (Tica) y Exonet.
El hackeo se inició con un ransomware que ingresó a los servidores dedicados a acceso remoto vía redes virtuales privadas y otras funcionalidades con un usuario muy poderoso aplicando lo que se denomina como un ataque de fuerza.
El ataque de fuerza es un intento de descifrar una contraseña o nombre de usuario, una página web oculta o de descubrir una clave para cifrar un mensaje, que consiste en aplicar el método de prueba y error para obtener la combinación correcta.
Respecto al proyecto de Hacienda Digital se separaron las responsabilidades dado que, por su dimensión e importancia, requiere una dirección exclusiva y dedicada completamente. En este momento, mientras se designa una persona, la responsabilidad la tiene la viceministra de Ingresos, Priscila Zamora.
LEA MÁS: ¿En qué etapa está el proyecto de Hacienda Digital?
El proyecto estaba en la etapa de licitaciones y en este momento se estaría revisando las ofertas, así como preparando carteles para nuevos concursos sobre servicios en la nube, seguridad e interoperabilidad.
El único impacto aquí fue que el personal técnico asignado a Hacienda Digital también estuvo en la atención de la emergencia causada por el hackeo.
Lo restablecido
Hacienda procedió en dos etapas para la rehabilitación de sistemas de información. En la primera fase se enfocó las aplicaciones críticas y de apoyo de ATV, Tica, Exonet (exoneraciones) y Trámites Virtuales (Travi).
Se suma Integra, que incluye funcionalidades de recursos humanos y planillas de Tesorería Nacional para pago de salarios a los funcionarios de ministerios y pensiones a funcionarios jubilados, así como del Ministerio de Educación. También está el Sistema Integrado de Administración Financiera (Sigaf) que también está en operación desde finales de junio.
En el caso de Integra se debía actualizar la información de las operaciones y acciones realizadas por cada ministerio durante los meses en los cuales estuvo fuera de servicio y se funcionó con mecanismos de contingencia. Esta tarea, a cargo de cada ministerio, acaba de finalizar y en esta semana se estaría pagando salarios quincenales a través de Integra.
Con Sigaf también se trabajó con un sistema de contingencia y quedaría totalmente actualizado en este mes de setiembre.
Los sistemas críticos de cara a contribuyentes, empresas e instituciones están al 100%. Cortés agregó que en su levantamiento se trabajó en garantizar que reiniciaran su funcionamiento con una seguridad que sea razonablemente superior.
Se incluye aquí el sistema del facturador, donde las situaciones que se presentan se originan en vencimientos u olvido de contraseñas por parte de los contribuyentes, aparte de ajustes de configuración normales.
El sistema de validación de facturas electrónicas, por la conclusión del contrato de la Empresa de Servicios Públicos de Heredia (ESPH), desde el 6 de junio pasado es provisto por el consorcio de las firmas PC Central e IT Tera.
El caso de Sicop, un servicio en la nube brindado por Radiográfica Costarricense S. A. (Racsa), presentó falencias en las últimas semanas y se trabaja para asegurarse que el proveedor cumpla con la situación de su disponibilidad.
Hacienda está levantando un reporte de cuándo estuvo fuera de servicio, de degradación (que viene ocurriendo posteriormente) y de la posibilidad de multas a Racsa.
Racsa respondió que no existe ningún problema con Sicop, pero que lo sucedido los días 5 y 6 de septiembre pasados obedece a una mejora que se realizó en la plataforma, ya que se actualizaron los sistemas de seguridad del firewall de los equipos, lo que provocó una intermitencia del servicio que fue atendido inmediatamente.
“La situación ya fue resuelta. Sicop ha estado funcionando con normalidad”, aseguró Radiográfica. “Disponemos de equipo técnico altamente calificado por parte de Racsa y el ICE (Instituto Costarricense de Electricidad) que da soporte al aplicativo y a la infraestructura. Adicional tenemos a una empresa contratada que da soporte y monitorea la plataforma las 24 horas del día por siete días de la semana”.
Lo que falta
La segunda etapa, que se inició a finales de junio pasado, implicó la revisión de casi 60 softwares pendientes —catalogados como “no críticos”— y para los cuales se diseñó un plan de trabajo y un cronograma.
Se incluyen casi una decena de sistemas estadísticos que se agrupan bajo la denominación de “herramientas para la toma de decisiones”.
A la fecha, ya se restablecieron 29 softwares de esta categoría de “no críticos”. Con los sistemas que siguen fuera de servicio los departamentos de Hacienda que los utilizan están operando de forma manual, en algunos casos, o con un sistema de contingencia, en los que se determinó que tienen algún grado de urgencia y prioridad.
Para establecer esas prioridades se realizó una sesión, junto con el Despacho del Ministro, donde se vieron los sistemas que faltaba por restablecer, cada dirección indicó su requerimiento (por el impacto en otras aplicaciones y su funcionamiento), y según la capacidad de operación. Así se definió el cronograma al que se le da un seguimiento pormenorizado.
Pueden darse casos donde la base de datos está restablecida, no así el sistema. Asimismo, algunas operaciones no podrían estarse realizando, aunque no hay un recuento de lo que está operativo o no.
Daños del hackeo
Aparte de la salida de operación de los sistemas y servicios, así como el secuestro de información, no hubo necesidad de volver a rediseñar o desarrollar alguno de los software o aplicaciones desde cero pues se contaba con los respectivos respaldos.
Desde que los sistemas fueron “apagados”, se procedió a revisarlos para determinar si contenían algún software maligno, limpiarlos y actualizarlos. De forma complementaria, se reconfiguraron los equipos (lo que incluía actualización de los sistemas operativos y aplicaciones).
Cortés reiteró lo ya indicado oficialmente de que “sí hubo afectación de información pero no hubo robo de identidad”, por lo que los datos no pudieron ser asociados a ninguna identificación de persona física o jurídica.
Tampoco hubo destrucción o desaparición de ningún sistema, código de programación o datos, pues se cuenta con los respectivos respaldos. “El hecho de que hoy tengamos Tica o ATV operando es porque logramos restablecer la información con los respaldo que teníamos”, afirmó Cortés.
En el trabajo de restablecimiento se realizaron pruebas de vulnerabilidad y de penetración para levantar sistemas más seguros, lo que implicó identificar debilidades y resolverlas a través del equipo de desarrollo y programación.
La inversión fue de 55.160 horas, entre horario ordinario y extras, lo que en dinero son aproximadamente ¢330 millones solamente de planilla, pues el personal se dedicó entre 95% y 99% en el restablecimiento de los servicios y la atención de la emergencia.
Actualmente se está trabajando incluso en desarrollo de requerimientos solicitados antes del hackeo en los sistemas y en el restablecimiento total de los sistemas para concluir en la primera semana de noviembre.
Incluyen sistemas no prioritarios, como CompraRed, que fue sustituido por Sicop y actualmente se utiliza para consultas de información histórica de contratos realizados por medio de ese sistema que operó desde inicios de la década del 2000.