EscucharEste 18 de abril se cumple un año del ataque del grupo Conti contra el Ministerio de Hacienda de Costa Rica. La irrupción cibernética dio inicio a una seguidilla de hackeos contra varias entidades durante aquellas jornadas, que detuvieron o reconfiguraron trámites y servicios digitales en no pocas áreas, empezando por los tributarios y de aduanas, y más tarde los de la Caja Costarricense del Seguro Social (CCSS).
El ataque inició en el momento menos oportuno. Parecía elegido a propósito. El 12 y 13 de ese abril correspondieron a martes y miércoles de Semana Santa, con los funcionarios de vacaciones. Entre esos días, como parte de un monitoreo de rutina, se detectó un incremento inusual de actividad en un servidor. El Ministerio reaccionó con pocos recursos disponibles.
El domingo 17, la Dirección de Gobernanza Digital —adscrita al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt)— recibió una alerta de una red internacional de agencias y centros de ciberseguridad.
Conti había publicado que realizó la extracción de 1 TB de datos del sistema de Administración Tributaria Virtual (ATV). En ese momento se activó el protocolo de comunicación con Hacienda, con la ministra del Micitt en ese momento, Paola Vega, y con Casa Presidencial.
El lunes 18, entre las 2:30 y las 5:00 a.m., los funcionarios de ciberseguridad de Hacienda contactaron a los encargados de infraestructura y detectaron que había una expansión del malware a otros componentes de la plataforma tecnológica, abarcando 10 servidores y 154 computadores, como se constataría luego.
Hasta ese momento se registraron 1.500 alertas de seguridad. “Todavía no teníamos la certeza de qué era”, afirmó Jeffrey Taylor Bermúdez, subdirector de tecnologías de información y comunicaciones (TICs) de Hacienda. No eran las únicas malas noticias que recibirían.
A las 8:00 a.m. se empezaron a recibir reportes de funcionarios de diferentes dependencias de no tener acceso a ciertos archivos, y que les aparecía un mensaje de Conti. Los hackers pedían $10 millones.
Así comenzó una cadena de días y noches con apenas cuatro horas de sueño para los responsables de enmendar la situación. Estaban al frente del peor ataque cibernético contra Costa Rica. O hasta donde se sabe.
LEA MÁS: Las tres acciones de Hacienda para reforzar su ciberseguridad tras el ataque de abril de 2022
Víctima propicia
Hacienda parecía una víctima propicia por su importancia a nivel de gobierno (pago de salarios, pensiones y gestión presupuestaria) y para varios sectores, como comercio exterior y contribuyentes.
El Ministerio tiene, además, 39 oficinas en todo el país. Su infraestructura tecnológica era un rompecabezas: más de 3.000 computadoras, de 800 a 1.000 servidores —actualmente quedan 610 por la optimización que se realizó en la reconstrucción— y, en especial, 59 sistemas informáticos con 19 años en promedio y muchos con tecnologías descontinuadas por sus fabricantes.
La situación se reconocía desde una década atrás, localmente y por entidades como el Fondo Monetario Internacional (FMI), que advertían de la desintegración de las plataformas, la alta rotación del personal y la ausencia de un plan y de cultura de ciberseguridad.
En 2020 se realizó un diagnóstico en el que Hacienda obtuvo una calificación de 2,73 puntos de 5 en total. Hasta se descubrió, además, que sus servidores eran usados desde el exterior para operaciones de criptomonedas.
Con el apoyo del Banco Mundial se diseñó el proyecto de Hacienda Digital. Esta iniciativa era —y sigue siendo— una carrera contrarreloj.
Dada la crónica tardanza para que se aprobara en la Asamblea Legislativa el financiamiento del Banco Mundial y en su implementación, el Ministerio creó un equipo de nueve funcionarios de ciberseguridad y se adoptaron políticas, controles de acceso y acciones de monitoreo, entre otras, que además no se tenían.
Se formuló también un plan de contingencia y continuidad de operaciones durante 2020, a raíz de la pandemia, con apoyo del Banco Interamericano de Desarrollo (BID), y a principios de 2022 se firmó un contrato con el Security Operation Center (SOC) de GBM. Pero el peligro era inminente.
Solo en enero de 2022 se recibieron 332 alertas de intentos de ataques contra el Ministerio. Hasta ese momento se podía esperar un ataque con virus informáticos o una denegación de servicios.
Un secuestro de datos con fines extorsivos (un ransomware) estaba lejos del horizonte, aunque la industria tecnológica ya advertía sobre estructuras y la importancia que adquirían (operan como empresas de desarrollo de los malware, de diseminación y de comercialización), capaces de convertirse en la tercera economía del mundo después de EE. UU. y China para el 2025.
Y lo que nadie quería que ocurriera sucedió en Semana Santa del 2022.
Acciones inmediatas
Con la situación encontrada ese 18 de abril, en Hacienda se implementan de inmediato diferentes acciones, apoyándose en el plan de contingencia y los protocolos definidos en 2020, así como en el soporte de Microsoft, GBM, Dell y Cisco, entre otras firmas.
“Hacienda no hubiera salido si no se hubiera hecho esa unión con el sector privado”, recalcó Alicia Avendaño, quien fue la directora de TI del Ministerio entre 2019 y mayo de 2022, cuando regresó inicialmente a Racsa.
Se forma un comité de crisis, encabezado por el ministro y los equipos encargados de contención, revisión, sanitización, monitoreo, análisis de amenazas, remediación, recuperación o restauración, continuidad de la operación, desarrollo de nuevos sistemas (como Tesorería), contingencia (para aduanas o planillas estatales) y reforzamiento de la seguridad.
Lo primero fue apagar los equipos de servidores ubicados en el centro de datos de Guatuso, Cartago, pertenecientes al Instituto Costarricense de Electricidad (ICE) para detener la expansión, y se revisan nuevamente las vulnerabilidades para actualizar parches y cifrar información.
LEA MÁS: Micitt informa a Hacienda de publicación de posible ataque
Otras medidas incluyen: monitoreo del tráfico, cambio de contraseñas y habilitación del doble factor de autenticación y, para no detener la operación, uso de servicios en la nube básicos (correo, ofimática, videoconferencias y almacenamiento de archivos) que se venían utilizando en el teletrabajo desde el confinamiento por la pandemia de la covid-19 en 2020.
Se revisan los equipos. Si una computadora aparecía afectada por Conti, se inutilizaba y se parqueaba en las instalaciones de TI. En este caso, cada persona podía usar sus equipos personales temporalmente para continuar sus labores.
Más víctimas
Los hackers, como popularmente se conoce a los ciberdelincuentes, extendieron sus acciones contra otras instituciones.
Fueron víctimas también, con diferentes grados de afectación, Radiográfica Costarricense S. A. (Racsa), el Instituto Meteorológico Nacional (IMN), varias municipalidades y los ministerios de Trabajo y Seguridad Social (MTSS), de Salud, de Obras Públicas y Transportes (MOPT) y al Micitt.
Al Micitt, que fue la segunda entidad hackeada después de Hacienda, están adscritas las entidades a cargo de la ciberseguridad del Estado: la División de Gobernanza Digital y el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR).
El grupo Hive también se atribuyó el asalto informático a la Caja Costarricense del Seguro Social el 31 de mayo de 2022.
LEA MÁS: ¿Qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?
La seguidilla de incidentes demostró el costo de gestionar debilidades, que solamente en Hacienda alcanzó los ¢2.760 millones. La emergencia marcó al país, en ese momento el 72 en el índice de ciberseguridad global.
“Esto no es un problema solo de una institución”, dijo José Willy Cortés, director de TICs de Hacienda. “Es un problema país, donde todos los sectores debemos unirnos”.
La situación a nivel de las instituciones públicas es caótica en términos de seguridad informática, como revelaron luego diferentes informes de la Contraloría General de la República y del mismo Micitt.
La emergencia dejó ver que Costa Rica requiere un ecosistema preparado e integrado, especialistas, una estrategia nacional y a nivel de las entidades y empresas, mayor entendimiento e involucramiento de los altos mandos, capacidades, protocolos, soporte, capacitación, inversión y capacidad de ejecución. Incluso, se recomienda realizar simulaciones como las que se hacen para eventuales sismos (se han realizado dos ejercicios, pero limitados).
Conti, que luego se desmembró, pidió un rescate de $10 millones que las autoridades niegan haber pagado por diversos motivos: los datos no podían relacionarse, para no financiar a esa organización ni convertirse en sus cómplices, y por falta de certeza de si devolverían la información y en cuál estado, aparte de que luego podrían volver a realizar extorsiones.
Aunque son organizaciones que se mueven por motivos económicos, también se atribuye que había motivaciones políticas por la posición de la Administración de Carlos Alvarado (2018-2022) sobre la guerra en Ucrania (aunque el grupo se dividió posteriormente entre sus integrantes de origen ruso y ucraniano), o simplemente porque querían obtener relevancia.
La imagen de Costa Rica estaría entre los atractivos que ubicaron al país como una víctima ideal para una especie de prueba de futuros ataques más relevantes a nivel internacional. Los hackeos al país, por su impacto, fueron los cuartos más importantes en el 2022 y superados por los ciberataques a Ucrania.
“Desde febrero, por la situación de Ucrania, había una alerta sobre un posible ataque al sistema financiero”, dijo Jorge Mora, quien era el director de Gobernanza Digital.
Los ataques a las otras entidades ocurrieron pese a que el Micitt emitió la alerta a una red local conformada por encargados de informática y ciberseguridad de instituciones públicas. La entidad recurrió también al apoyo de agencias de EE. UU., España e Israel, incluyendo soporte de inteligencia.
El 19 de abril, a primera hora, se realiza un Consejo de Gobierno ampliado y se constituye un equipo conformado por Presidencia, Hacienda, Micitt, Ministerio de Comunicación, Gobernanza Digital y la Dirección de Investigación y Seguridad (DIS).
Se crea también un equipo técnico que incluye al ICE, Banco de Costa Rica, Caja, DIS, Poder Judicial, CSIRT-CR y el Clúster de Ciberseguridad para prevenir incidentes en más instituciones. Algunos no lograron pasar las barreras y en otros casos la afectación fue minimizada.
Una de las debilidades que se identificó fue que las instituciones no estaban obligadas a informar sobre incidentes, para que otras entidades revisen si sus sistemas tienen la misma falla y realicen el parcheo respectivo. La Presidencia emitió una directriz para exigirlo al menos a nivel de Gobierno Central.
La nueva Administración de Rodrigo Chaves inició su gestión con la emisión de un decreto de emergencia, con lo que la tarea a nivel del gobierno quedó a cargo de la Comisión Nacional de Emergencias.
LEA MÁS: Así enfrentó y resolvió un hackeo la Sociedad de Seguros de Vida del Magisterio Nacional
Refuerzo
En Hacienda en el resto del mes de abril se detectaron nuevos y múltiples ataques. El trabajo en el Ministerio fue continuo y extenuante.
Ayudó que se estuviera en teletrabajo, pues las jornadas iniciaban antes de las 5:00 o 6:00 a.m. y terminaban a la 1:00 o 2:00 a.m. del día siguiente para 125 de los 180 funcionarios de TI desde el 18 de abril al mes de junio.
“Era de domingo a domingo”, contó Taylor. “Era duro. Mis dos hijos de 10 y 5 años de edad —en ese momento— demandaban tiempo y preguntaban por qué estaba en la computadora siempre. Independientemente de casados o solteros, hubo un impacto en el bienestar social y familiar. No hubo chance para nada”.
“El teletrabajo facilitó mucho, porque la familia por lo menos lo veía a uno ahí”, dijo Christian Barquero Alvarez, director del proyecto de Hacienda Digital y quien también debió incorporarse al equipo de emergencia. “Las jornadas eran largas, con mucho que revisar durante el día y reporte al Ministro (en ese momento Elian Villegas y desde mayo de 2022 a Nogui Acosta) cada noche de cada etapa que se avanzaba cada semana”.
Las cinco personas del CSIRT-CR en el Micitt también se organizaron para mantener la vigilancia, hasta que en la nueva Administración la labor quedó a cargo del CNE. “Dormimos cuatro horas por día”, dijo Mora.
Algunos técnicos de TI de Hacienda sí tuvieron que desplazarse hasta el centro de datos en Guatuso de Cartago para realizar labores que lo requerían, como la configuración e instalación de nuevos equipos, la segmentación de las redes y otras acciones de logística.
En esas semana se estableció que solamente los grandes contribuyentes realizaran la declaración del Impuesto al Valor Agregado (IVA), se pagó pensiones antes de lo previsto para dar tranquilidad y se avanzó en otras medidas contingentes para pago de salarios (no sin errores), aduanas y los demás contribuyentes.
A principios de mayo ya había avances en el restablecimiento de los sistemas y el 13 junio se empezó a comunicar la habilitación de las plataformas de aduanas (TICA) y de tributación (ATV). La labor era más detallada.
LEA MÁS: Estos son los pasos que ejecutan los grupos de ‘hackers’ como Conti para atacar
Aunque los hackers habían afectado algunos repositorios de archivos y 154 máquinas, se realizó un formateo de todos los equipos, se estandarizó la versión del sistema operativo y se implementaron políticas más restrictivas de seguridad.
En paralelo, se realizó la evaluación forense para determinar qué había pasado. Un grupo técnico de Microsoft (apodado Los Magníficos, aunque era más parecido a una unidad policial tipo SWAT, dice Cortés) revisaron los equipos sospechosos de ser el Paciente Cero, el primero en ser infiltrado.
Al parecer se halló un comportamiento sospechoso en un servidor donde unos funcionarios estaban probando la seguridad y eficiencia de los sistemas virtuales de escritorio, paradójicamente, en teletrabajo. Aunque no contaban con la autorización, era una iniciativa “de innovación de cara a los clientes internos”. “Estaba en producción, en su etapa de madurar la tecnología”, explicó Cortés, director de TI de Hacienda.
El análisis forense también arrojó que Conti usó fuerza bruta (con la que se busca el acceso por todos los medios) y que, aparentemente, no hubo extracción de datos sensibles, tanto por el volumen de la información como por las diferentes barreras con la que se encontraron los hackers. Los respaldos, por ejemplo, no tenían problemas.
Los ataques “exitosos” mermaron posteriormente, pese a los constantes intentos que realizan los hackers. Que no hubiera más ataques fue atribuido por las autoridades a las medidas adoptadas en esos meses.
Se sabe, empero, que contra ellos no hay barreras que impidan que encuentren nuevas formas para tener acceso a los datos. Solo se puede tener fe en las medidas adoptadas y su actualización constante. Y en esperar un poco de suerte o que no te tengan en la mira.
| Bajo ataque |
|---|
| Incidencias reportadas por entidades de 2022 en el mes de abril: |
| 18 de abril: se hace público el ataque al Ministerio de Hacienda y la publicación de Conti pidiendo $10 millones para el rescate. Ese mismo día, Conti ataca al sitio web del Micitt. |
| 19 de abril: hackeo a la cuenta de Twitter de la Caja Costarricense del Seguro Social, que ningún grupo o hacker se atribuido públicamente, y a sistemas de correo electrónico de correos del Instituto Meteorológico Nacional (IMN) y Radiográfica Costarricense S.A. (Racsa). |
| 20 de abril: ataque cibernético al portal web de recursos humanos de la Caja. |
| 23 de abril: Conti hackea página web, los servicios en línea y correo electrónico de la Junta Administrativa del Servicio Eléctrico de Cartago (Jasec). |
| 26 de abril: Conti atacó dos nuevas instituciones, la Sede Interuniversitaria de Alajuela y el Instituto de Desarrollo Rural (Inder). |
| 28 de abril: se detecta un intento de ataque al Ministerio de Economía, Industria y Comercio (MEIC), pero se descarta acceso y extracción de datos. |
| 9 de mayo: Estados Unidos ofrece recompensa de $10 millones por información sobre el grupo de hackers Conti. |
| 31 de mayo: el grupo Hive ataca el sistema de recursos humanos de la Caja. |
| Fuente: Archivo EF |
