En cuestión de dos meses el Archivo Nacional, el Ministerio de Relaciones Exteriores y la Asamblea Legislativa sufrieron vulnerabilidades en sus sistemas informáticos.
Ataques con ransomware –un tipo de malware que impide a los usuarios acceder al sistema mediante el bloqueo de la pantalla o el cifrado de archivos– y fuga de información en bases datos fueron las incidencias reportadas en las instituciones afectadas.
En el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) aseguran que no hubo pérdida de información, no obstante en dos instituciones vulneradas afirman que sí detectaron archivos comprometidos.
Las entidades no especificaron qué tipo de datos se extraviaron o dañaron por razones de seguridad. Lo que sí aseguran es que los servidores ya fueron restaurados y que ahora están en un proceso de robustecer sus sistemas informáticos.
Estas incidencias responden a una serie de vulnerabilidades que se han presentado recientemente en la región latinoamericana según estudios de firmas de ciberseguridad como ATTI CyberLabs y Fire Eye.
LEA MÁS: Las tres principales amenazas cibernéticas de Costa Rica
Seguidilla de incidentes
Los servidores de la Asamblea Legislativa fueron atacados el 25 de marzo anterior por un ransomware llamado GandCrab 5.2.
Este código malicioso es conocido por encriptar archivos tipo *.ini, *.doc, *.docx, *.xls, *.xlsx, *.ppt y *.ppts.
Cuando el ransomware es activado, atrapa los archivos y luego no se pueden recuperar.
Se intentó contactar a Roxana Murillo, jefa del área de soporte técnico de la Asamblea Legislativa, sin embargo no se obtuvo respuesta.
Días atrás Murillo declaró a La Nación que “no hemos hecho un análisis forense, estamos recaudando eventos para poder llegar a una conclusión. Tenemos evidencias aisladas”.
En el Congreso, que guarda documentos como actas, votaciones y proyectos en trámite, estaban intentando restaurar algunos archivos. "No fue que todo se perdiera, pero por razones de precaución se aíslan los servidores y demás, para que no haya una propagación”, continuó Murillo.
En el caso de Archivo Nacional los sistemas sufrieron un incidente de tipo ransomware el 20 de febrero, en el cual algunos de los servidores internos se vieron afectados, afirmó Alexander Barquero, director general de la institución.
“La causa fue una vulnerabilidad de una de las herramientas tecnológicas con las que contamos en la institución”, agregó Barquero.
La información que se vio comprometida fueron documentos de trabajo e imágenes digitalizadas que fueron capturadas por el tipo de ransomware. Esta es información, que según admitió Barquero, afecta la manera en que la institución desarrolla sus tareas. Actualmente trabajan para que la información se vuelva a elaborar, se recupere de otras fuentes o se digitalice nuevamente.
“Hemos estado trabajando en una estrategia de recuperación, que básicamente ha sido un trabajo de determinar con precisión cuál es la afectación y establecer los mecanismos para ir recuperando progresivamente todos los documentos necesarios para la operación de la institución”, acotó el director.
El Archivo Nacional señala que le dieron respuesta al incidente inmediatamente y esto permitió recabar evidencias para detener la afectación.
Los trabajos se hicieron en coordinación con el Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT) en el Micitt la del Instituto Costarricense de Electricidad (ICE).
El incidente que se reportó en marzo en el Ministerio de Relaciones Exteriores fue que se intentó ingresar a las bases de datos a través de la página web, pero no les fue posible lograrlo, explicó Ginette Cháves, directora del centro de tecnologías de comunicación e información de la entidad.
“No hubo pérdida de información, porque no lograron ingresar a las bases de datos”, enfatizó Cháves.
La información con la que amenazaron es información que está publicada en el Sitio Web. Los sistemas no sufrieron ninguna vulnerabilidad.
Como parte de las acciones del ministerio está la instalación de equipos de seguridad que detienen e identifican los ataques: de qué tipo es y de dónde proviene.
“Nos movemos en una digitalización cada vez más profunda, nos vamos a ver más expuestos a incidentes informáticos y una de las cosas que se necesita es tener un protocolo de atención de incidentes para poder repelerlos. En los últimos meses hemos tenido en Archivo Nacional, Cancillería, Asamblea Legislativa, y todos han tenido diferentes connotaciones”, explicó Luis Adrián Salazar, ministro del Micitt.
Por su naturaleza en el CSIRT tienen que estar informados de todo lo relevante en ciberseguridad.
Propagación de códigos maliciosos
Estas vulnerabilidades responden a una serie de ataques que se envían en toda Latinoamérica.
Así lo determinaron investigaciones de la empresa estadounidense especializada en análisis y prevención de vulnerabilidades, FireEye y la firma costarricense ATTI CyberLabs.
“Desde agosto pasado tenemos una oleada en ransomware para secuestrar información, la mayoría son de origen ruso. Están probando la fortaleza de nuestras instituciones y esto no es una buena señal, porque podría venir un ataque mayor”, señaló Esteban Jiménez, fundador de ATTI CyberLabs.
Este es un patrón de pruebas que se hace en redes nacionales y de toda la región para concretar ataques mayores.
“Para los distintos grupos de hackers suele ser mucho más ‘prestigioso’ lograr una intrusión a un sitio gubernamental que a una empresa privada. Dicho esto, crece la necesidad en las instituciones públicas de aumentar su nivel de seguridad en infraestructura informática”, señaló Cecilia Pastorino, experta en seguridad informática de ESET.
Es relevante que el país tome con seriedad el tema de ciberseguridad, ya que según el informe Tendencias 2019 de Fire Eye y corroborado tanto por Jiménez como por Pastorino, Costa Rica fue blanco en el 2018 del North Korean Cyber Army.
Esto quiere decir que en el país se detectó la presencia de infecciones como APT37 (Reaper) y APT38 los cuales atacan a los sectores financiero y gobierno principalmente. Un APT es un software de ataque sofisticado que por un periodo filtra gran cantidad de información sensible y confidencial de una organización.
“Nunca antes se había encontrado este tipo de malware en el país. Costa Rica cobra mayor relevancia ya que contamos cada vez más con servicios digitales y eso nos hace más atractivos”, acotó Jiménez.
Para los expertos en ciberseguridad es necesario que el país invierta más en sus departamentos de TI, en capacitar a su personal en temas de ciberseguridad y no solo en soporte técnico. Así como la creación de protocolos eficientes de respuestas inmediatas y coordinación en las diferentes entidades públicas.
“Yo los catalago de incidentes informáticos, no ataques, pero el tema final es que son vulnerabilidades que hay que tapar, cuando detectamos algo corroboramos y vemos posibilidades de corregir los errores”, indicó Salazar.
Luego de un ciberataque es necesario realizar un análisis de daños, revisar qué información o infraestructura fue afectada, verificar que no se hayan realizado filtraciones de datos sensibles.
En caso de corroborar una filtración de datos, se deberá informar a los sectores o personas expuestas para que se pueda actuar en consecuencia, recomendó Pastorino.
Estas vulnerabilidades han sido señales para que las entidades tomen las cartas y vean la ciberseguridad no como un gasto, sino como una inversión para el país en general.