Todas las empresas, organizaciones y personas están sometidas a intentos de ataques de parte de los llamados hackers, quienes buscan pacientemente cualquier resquicio. Estar preparados, responder con rapidez y ajustar las acciones a partir de las lecciones aprendidas es el muro de fuego que se puede levantar para defender los datos.
“El tema de fondo es el valor que tiene la información que está en los equipos”, dijo Dennis Córdoba López, director de Tecnologías de Información (TI) de la Sociedad de Seguros de Vida del Magisterio Nacional.
La Sociedad administra la póliza de vida de los educadores del sector público y privado desde 1920 y actualmente cuenta con 180.000 personas asociadas. Hace tres años enfrentó un ataque de los hackers.
Al regresar de las vacaciones de la Semana Santa del año 2019, uno de los oficiales encargados de la seguridad del ingreso en el sótano del edificio de la sede central, ubicada en el centro de San José, reportó que en la computadora le aparecían íconos e información en chino. El equipo estaba encriptado.
Alguien conectó un teléfono móvil a la computadora para descargar unas fotografías familiares y el dispositivo venía infectado con un ransomware llamado Kolet@Tuta.IO que se propagó a otros equipos y servidores. Este ransomware es reconocido por infectar sistemas mediante mecanismos de ingeniería social (engaño a usuarios). Solo esperaron que el usuario conectara su móvil a una computadora empresarial o institucional.
El reporte del incidente o ticket fue recibido por el equipo de soporte de TI como un problema de esa computadora. Era una situación mayor. Casi de inmediato llegan otros cinco nuevos tickets de usuarios de la plataforma de servicios, por lo que se escala la incidencia, se califica como una avería general y se activa el protocolo definido.
Al revisar los equipos, incluyendo servidores, se determina que están encriptados con el ransomware, un software maligno (malware) que bloquea los archivos o dispositivos del usuario y luego reclama un pago en línea anónimo para restaurar el acceso.
Nada de esto es casual o esporádico. Un informe presentado por la Promotora de Comercio Exterior (Procomer) estima que en 2020 en Costa Rica hubo 201 millones de ciberataques, especialmente de phishing. Desde hace un mes, a partir de los hackeos anunciados el 18 de abril anterior al Ministerio de Hacienda y otras 27 instituciones públicas, se reporta un incremento de intentos de ataques en el país.
Los reportes de Soluciones Seguras indican que se pasó de 819 ataques semanales en abril del 2021 a 1.468 entre el primero y el el 21 de abril de 2022. Otra firma, Kaspersky, reportó que Costa Rica pasó, desde el pasado 18 de abril, de 2.000 a 4.500 embates cibernéticos diarios.
¿Qué pedían los hackers?
A la Sociedad de Seguros de Vida del Magisterio los ciberdelincuentes le pedían comunicarse a una dirección de correo electrónico, negociar un pago para desencriptar los datos de los servidores y computadoras, y realizar un deposito en criptomonedas en una billetera digital. “Claramente no íbamos a pagar”, indicó Córdoba. “Era una situación bastante nueva para nosotros. Nunca nos habíamos enfrentado a eso”
La dirección de TI asumió la emergencia. Lo primero que se hizo fue identificar los equipos afectados y apagar toda la infraestructura para impedir una mayor propagación del ransomware. El inventario mostró que eran computadoras con Windows 7 (que todavía recibía soporte de Microsoft), que los que tenían Windows 10 no fueron infectados y que 16 de los 54 servidores estaban encriptados, incluyendo el que contenía los servicios de autenticación de todas las estaciones de trabajo de la institución.
La buena noticia es que no hubo extracción de información de la Sociedad ni de sus asociados. La explicación es que esos datos que están alojados en un sistema muy protegido, que usa el sistema operativo Linux, al que los hackers no lograron acceder.
El siguiente paso fue la recuperación, para lo cual la Sociedad ya tenía tres ventajas.
La primera es que desde 2018 migró el 95% de sus sistemas a la nube de Microsoft Azure. La segunda fue tener políticas de respaldo, desde 1982, de alta disponibilidad en función de la criticidad del servicio y de los cambios de información que ocurren en la operativa de cada día. La tercera ventaja es que la entidad siempre invirtió en equipos y enlaces a los servicios de Azure y al datacenter de Codisa, en Llorente de Tibás, que aseguraran el tráfico de datos y la disponibilidad de los servicios críticos.
El proceso seguía con el reseteo o eliminación de lo que se había programado en los servidores infectados. “Era darle (al mouse): clic derecho para eliminar, clic a confirmar la eliminación y listo”, describió Córdoba. Después, se crea nuevamente el servidor a partir de los respaldos utilizando un sistema especializado para la instalación de la copia, lo cual habría sido sencillo.
Al tener los sistemas en la nube no fue necesario correr a comprar servidores, a instalar nuevos sistemas operativos y a volver a programar desde cero. Cada servidor se instaló en 45 minutos. Pero la situación fue distinta con cada uno de las 200 computadoras de la institución.
“Un día fui a desayunar a a las 7 a.m. y una compañera me dijo que ‘por qué tan temprano’. No nos habíamos ido en todo el día y la noche. Andaba con la misma ropa”, recuerda Córdoba.
La prioridad era reiniciar la atención al público. Durante ese día se trabajó con una caja de servicio al cliente y a partir de la reinstalación de los sistemas se habilitó el resto de las ocho cajas. El servicio a los asociados de la oficina central quedó en funcionamiento normal al tercer día (el miércoles) y al final de la semana se tenían rehabilitadas unas 120 computadoras.
En las 13 sucursales se demoró una semana más, pues había que trasladarse. No se podía hacer remoto, pues si se encendía un equipo infectado se volvía a propagar el malware. En la sucursal de San Ramón, por ejemplo, una de las dos estaciones estaba infectada.
Reforzamiento
La entidad ya tenía medidas básicas de ciberseguridad implementadas (como antivirus, cortafuegos, antispam), separación de redes wifi y medidas de seguridad a cada una así como políticas definidas (los únicos dispositivos que se conectan dentro y fuera de la entidad son los que proporciona la organización).
Con la migración a la nube se tiene un servicio que cuenta con sistemas de protección avanzadas, pues Microsoft Azure es una plataforma utilizada por reconocidas e importantes entidades de gobierno y firmas de Estados Unidos. De forma complementaria, se dispone del servicio de Codisa.
La situación creada con el ransomware Kolet@Tuta.IO permitió aumentar la conciencia sobre la seguridad informática. Si bien las medidas adoptadas con anterioridad mitigaron el impacto, en comparación a si los sistemas se hubiesen mantenido en el modelo de sistemas instalados (on premise), para la Sociedad fue evidente que debía dar varios pasos adicionales.
En setiembre de 2019 se inició un plan cuyas últimas etapas se cumplen en este 2022, que incluía contratar un proveedor de servicios de monitoreo permanente (24/7) de categoría internacional, establecer un comité de ciberseguridad y, a nivel operativo, crear una unidad independiente, adscrita a la gerencia general, que sirve como una auditoría a la dirección de TI sobre lo que se está o no haciendo.
La unidad informa, reporta, y llama la atención sobre si se actualizan o no los parches de los sistemas operativos, por ejemplo, o emite alertas. “Yo lo que hago es atender lo que a mí me notifica ciberseguridad”, explica Córdoba. Se asignaron más recursos a la unidad, pues ahora se tiene un presupuesto para ciberseguridad equivalente al 10% del presupuesto de TI de la institución.
Se implementó una batería de medidas para reforzar o implementar acciones de prevención. Además de la capacitación del personal, está la utilización de redes privadas virtuales o VPN (por sus siglas en inglés) para conexiones remotas y de teletrabajo. A todo nivel jerárquico se impuso la imposibilidad de conectar dispositivos externos o personales, incluyendo llaves maya o USB, a las computadoras y redes wifi.
Si alguien internamente guarda datos en un USB o envía información vía correo electrónico a otro destino,se detecta el tipo de información extraída o remitida, el usuario y la pertinencia de esa acción. Se establecieron también procedimientos y autorizaciones cuando es necesario enviar datos a otra unidad (por ejemplo, si el departamento de comunicación requiere enviar una comunicación a los asociados utilizando la base de datos), pues de lo contrario la información no podrá ser visualizada ya que se recibirá encriptada.
Los ataques no han cesado, por supuesto. Actualmente la cuenta de correo del encargado de proveeduría, por ejemplo, recibe 120 intentos mensuales de hackeo de todo tipo (incluyendo mensajes fraudulentos tipo phishing), los cuales son detectados y contenidos por los sistemas de seguridad. Hay otras cuentas que reciben de 50 a 90 intentos de ataques.
En total se detectan más de 3.000 intentos —desde phishing, denegación de servicios y búsquedas de puertos abiertos, entre otros— pues los hackers escanean con robots para descubrir algún portillo. De todos los intentos, dos fueron de mayor peligro después del ransomware Kolet@Tuta.IO, pero se detectaron y se contuvieron a tiempo.
“La información es muy valiosa. Es el activo más importante. Eso es lo que hay que cuidar”, recalcó Córdoba.