Por La Nación (Costa Rica) / EL Observador (Costa Rica) / E&N
Al menos cinco instituciones han sido blanco de los hackers que desde la noche del domingo atacan sistemas del Estado. En la lista están el Ministerio de Hacienda, Ministerio de Ciencia, Innovación y Tecnología (Micitt), Instituto Meteorológico Nacional (IMN), Radiográfica Costarricense (Racsa) y un portal de la CCSS.
Jorge Mora, director de Gobernanza Digital, del Micitt, precisó que en el Instituto Meteorológico se vulneró un servidor de correo electrónico, mientras que en Racsa fue un “servidor de correo menor”. También, dijo que con la Caja han estado en comunicación y ya la situación está bajo control.
Lea más: Hackeo en Hacienda provoca pérdidas comerciales por US$125 millones en Costa Rica
“Como en todo tipo de situación relacionada con ciberseguridad, es importante mantener la ecuanimidad, la comunicación y la información entre equipos técnicos y jerarcas. Por esta razón, se dedicó ayer (martes), el Consejo de Gobierno a analizar la situación y a contestar las orientaciones que pudieran requerir jerarcas; nos encontramos en un proceso de debida atención con la seriedad que implica, los equipos técnicos deben tener espacio para realizar los análisis correspondientes”, manifestó la ministra Vega para explicar el silencio en el que el Gobierno se había mantenido hasta este momento.
Aseguró que aparte del análisis, se desarrollan procesos de prevención y medidas de mitigación. Asimismo, se han emitido alertas para que otras instituciones estén preparadas para estos eventos. “Nos encontramos en proceso de identificación de riesgos en otras instituciones para que los equipos puedan atenderlos de manera preventiva”, aseguró.
Lea más: Costa Rica: ‘Hackeo’ a Hacienda afecta a importadores y frena exportaciones vía terrestre
El Gobierno aún no precisa cuál es la afectación por ataque informático de Conti
Desde el domingo en la tarde, al Ministerio de Hacienda se le alertó de una posible vulneración de sus sistemas y el lunes ya se encontraban deshabilitadas las plataformas de adminstración tributación y aduanas. El supuesto ataque se lo atribuyó un grupo internacional denominado Conti, en el que habría robado un terabyte de información.
Mora reiteró que se dieron alianzas con otros países, empresas y con el clúster de ciberseguridad creado en Costa Rica. “Hemos estado coordinando para atender esta situación de la manera más oportuna, efectiva y rápida posible”, afirmó. Sobre el cobro de US$10 millones por parte de los ciberdelincuentes, el director de Gobernanza Digital explicó que no han recibido una nota específica, pero sí se menciona en la “dark web”. “En la ‘dark web’, donde se realizó la publicación, se menciona una suma de US$10 millones. Con respecto a la organización que supuestamente está detrás de esto, aparentemente es The Conti Group y bajo esa página es que ha hecho la publicación”, confirmó.
Hasta el momento, Hacienda asegura que la única información en poder de los atacantes corresponde a archivos históricos y de soporte. Estos no comprometen los planes de riesgo que lleva adelante la Dirección General de Aduanas.
La entidad asegura que pondrá a funcionar los sistemas una vez que compruebe que es totalmente seguro hacerlo. La fecha prevista para rehabilitarlos, según ha dicho el ministro de Hacienda, Elian Villegas, sería entre este miércoles y e jueves. No obstante, los atacantes aseguraron que penetraron “infraestructura relevante” que les dio acceso a 800 servidores. Mencionan tener cuentas de correo electrónico, nombres y apellidos de los contribuyentes, informó El Observador.
Otros sitios deshabilitados
Además del sitio del Ministerio de Hacienda, también quedó bloqueada la página web del Ministerio de Ciencia y Tecnología (Micitt). Esta institución fue la primera que lanzó la alerta del posible ataque de Conti.
El martes, la cuenta de Twitter de la Caja Costarricense del Seguro Social (CCSS) habría sido “secuestrada”. Poco después, el administrador aseguró que logró recuperarla. Este miércoles, la CCSS anunció que detectó un ataque cibernético a su portal de Recursos Humanos. La institución agregó que activó una serie de mecanismos de prevención así como la revisión integral de sus plataformas para determinar el alcance de lo sucedido.
Mientras tanto, un grupo de ciberdelincuentes habría vulnerado también el servidor de correos electrónicos del Instituto Meterológico Nacional (IMN). Ante la alerta, la institución procedió a apagarlo y trabaja para solucionar el problema.
El Instituto Mixto de Ayuda Social (Imas) también desactivó su página de “forma preventiva y temporal” ante el posible ataque.
La Dirección de Migración anunció que su página estará fuera de servicio a partir de las 7 p.m. de este miércoles y hasta las 7 a.m. del jueves, también por prevención.
Acerca del ransomware Conti
Conti es un ransomware que opera bajo el modelo de ransomware as a service y que ha sido entre los distintos grupos de ransomware el que más actividad tuvo en 2021, sumando a un mes de finalizar el 2021 unas 599 víctimas. Esta actividad se enmarca en un contexto en el cual la actividad de los grupos de ransomware comenzó a crecer significativamente en 2020 desde el inicio de la pandemia, causando gran preocupación a nivel mundial por el elevado costo de los rescates, la interrupción de las operaciones que provoca esta amenaza en las organizaciones, y por los daños a la reputación, publicó ESET.
Este grupo está en actividad desde el año 2019 y en América Latina afectó a organizaciones de Argentina, Colombia, Honduras, Brasil y República Dominicana.
En cuando a la forma de operar de este grupo, desde ESET hemos analizado alguna de sus muestras para ver cuáles son sus principales características de este ransomware. De acuerdo a ESET, esta amenaza suele distribuirse a través de correos de phishing que incluyen adjuntos maliciosos que descargan un malware que en instancias posteriores termina en la descarga de Conti en el equipo de la víctima. Otros mecanismos de acceso inicial utilizados por Conti son la explotación de vulnerabilidades o los ataques a servicios RDP expuestos y débilmente configurados.
