El Poder Ejecutivo emitió una directriz a las instituciones públicas que contiene una serie de medidas básicas que deberían ser de cumpliendo normal y al final de una semana llena de incidentes de ciberseguridad, los que paralizaron la declaración y pago de impuestos y las actividades de importación y exportación del país.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) informó este 21 de abril que el Presidente Carlos Alvarado y las ministras Geannina Dinarte, de Presidencia, y Paola Vega, del mismo Micitt, firmaron una directriz para la prevención y mitigación de riesgos informáticos.
La directriz incluye medidas básicas como la obligación de las entidades para actualizar sistemas, cambiar contraseñas, desactivar servicios y puertos innecesarios, monitorear las redes y acatamiento de las medidas que emita el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), adscrito al Micitt.
Otras medidas incluyen la obligatoriedad para las autoridades de las entidades de dar espacio para que sus equipos de tecnología de información y comunicación participen en las capacitaciones y sesiones a los que sean convocados, actualización de la información de los sitios web oficiales y que estos últimos tengan validadores.
“Hay medidas adicionales para los equipos técnicos que se comunicarán y que no vienen en la directriz”, dijo Vega, en conferencia de prensa.
LEA MÁS: Ataques cibernéticos aumentaron contra empresas e instituciones en Costa Rica durante esta semana
La ministra y el director de gobernanza digital, Jorge Mora, enumeraron las acciones que se han venido implementando ante la crisis y los procesos que venían ejecutando desde antes en materia de ciberseguridad del Estado. “Continuamos en el proceso de mejora continua de las condiciones para enfrentar este tipo de situaciones”, sostuvo Vega.
No habrá pago
El pasado 18 de abril los servicios tributarios y de aduanas se paralizaron debido a un ataque del grupo Conti, mediante un ransomware que habría extraído o cifrado información de contribuyentes y otros usuarios en el Ministerio de Hacienda. Vega y Mora insistieron que el análisis forense que se realiza en Hacienda determinará el impacto de la incursión.
Conti, que empezó solicitando $10 millones a cambio de no publicar la información extraída, se atribuyó acciones en el Instituto Meteorológico Nacional, Radiográfica Costarricenses S.A. (Racsa), el Ministerio de Trabajo y Seguridad Social, el Fondo de Desarrollo Social y Asignaciones Familiares (Fodesaf) y el mismo Micitt. También se presentó un incidente en la Caja Costarricense de Seguro Social (CCSS) pero el grupo no se lo atribuyó, por lo que podría provenir de otros hackers según Mora.
Mora indicó que en los casos de IMN y Racsa, por ejemplo, se pudo determinar de qué forma los hackers tuvieron acceso a los servidores de correos electrónicos y con esa información se alertó a otras entidades para que adoptaran medidas preventivas en servidores similares.
El Presidente Alvarado afirmó en un video difundido por Casa Presidencial que no se negocia ni se pagará a Conti. “No es un ataque a las instituciones afectadas ni importadores y exportadores”, dijo Alvarado. “Es un ataque al Estado y a todo el país”.
El Presidente indicó que la situación no se puede desligar de la situación geopolítica actual y acusó que el ataque es un “intento de desestabilidad al país” en la coyuntura del traspaso de poderes.
Apaga incendios
Las medidas anunciadas por el Micitt como parte de la directriz son elementales y corresponden a las acciones que típicamente se recomiendan a las instituciones y las empresas como parte de su quehacer diario, que deberían estar emitidas para acatamiento obligatorio mucho antes de la actual crisis.
“Son para apagar el incendio”, dijo Edwin Estrada, ex viceministro de telecomunicaciones. “Hay que adoptar medidas de verdad”.
Estrada señaló que el Presidente Alvarado debería ordenar a la Agencia de Protección de Datos de los Habitantes (Prodhab) la emisión de una estrategia en esta materia y asignar presupuesto tanto al mismo CSIRT-CR como a las instituciones para que cuenten con el recurso humano, las herramientas tecnológicas y la capacitación especializada de técnicos, entre otros.
El exfuncionario indicó que la Organización para la Cooperación y el Desarrollo Económicos (OCDE) había visto positivamente, en el proceso de adhesión del país, la creación del CSIRT-CR y la formulación de la estrategia de ciberseguridad, la cual se debe operativizar.
Es necesario, además, capacitar al personal del Poder Judicial y el Organismo de Investigación Judicial para tareas de recolección y custodia de pruebas de ciberdelitos, así como para recurrir al llamado Convenio de Budapest que para la gestión de pruebas de este tipo de delitos cuando se cometen desde un país adscrito a ese acuerdo.
“La ciberseguridad debe ser una de las prioridades de Casa Presidencial, debe ser asumida por el Presidente”, recalcó Estrada. “Los hackeos y la deficiente reacción del gobierno son malas señales para las firmas externas que tienen sus centros de atención y servicios globales en el país. Estamos jugando de casita”.