El Ministerio de Economía, Industria y Comercio (MEIC) también activó los protocolos de ciberseguridad ante la detección de Conti en computadoras de la entidad, al tiempo que el grupo de hackers anunció este 28 de abril que seguirá la siguiente etapa de su ataque. La mayoría de servicios de entidades afectadas hasta el momento ya estarían restablecidos, con excepción del Ministerio de Hacienda.
“No hay evidencia de cifrado o extracción de datos”, afirmó Paola Vega, ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). “En el MEIC se está realizando el análisis. No se ha visto afectado ningún servicio y el sitio web se mantiene habilitado. No hay afectación a las personas. Se intensifica la atención a las instituciones públicas”.
Conti fue detectado en computadoras de usuarios finales, por lo que se procedió a denter las activaciones del ransomware, lo que —según las autoridades— forma parte de la primera etapa o nivel de protección. El caso del MEIC es similar al del Instituto de Desarrollo Rural (Inder), donde se descubrió el software maligno a partir de las medidas adoptadas y no por publicación de Conti.
El MEIC también comunicó que se detectó un tráfico sospechoso que mostró un incidente de amenaza informática. “La situación fue identificada a tiempo, gracias al trabajo conjunto entre el MEIC, Micitt, el Centro de Respuesta de Incidentes Informáticos (CSIRT-CR) y de la Dirección de Gobernanza Digital”, informó MEIC.
El Ministerio indicó que se activó el protocolo de seguridad con el equipo interno del Ministerio en coordinación con el CSIRT, con el fin de contener el riesgo en las computadoras internas de todo el personal y que hasta ahora no se ha detectado la pérdida de información, información encriptada, bases de datos o sistemas informáticos de ningún funcionario.
“Ningún sistema será dado de baja”, indicó el MEIC. “El sitio web y sus servicios se mantendrán trabajando con normalidad; sin embargo, como medida preventiva, se está realizando una revisión exhaustiva de cada uno de los equipos de los funcionarios. El departamento informático del MEIC, se mantiene al tanto de la evolución de este incidente”.
Vega y Jorge Mora, director de gobernanza digital del Micitt, indicaron que se mantienen las alertas ante el anuncio de Conti de que pasaría a una nueva etapa y recordó que “Costa Rica es un gran botnet”.
Mora explicó que una red botnet es un grupo de computadoras infectadas que se utilizan para diferentes tipos de ataques, incluyendo de denegación de servicios, que son desconocidos por las personas o empresas propietarias de los equipos utilizados.
“Estamos tomando las previsiones del caso”, dijo Mora. “Recalcamos que no negociamos con ciberdelincuentes y que no se tiene la intención de ponerse en contacto con el grupo ni pagar”.
El funcionario dijo que hay un patrón de actuación de Conti, pero también realizan cambios. Pese a ello, entre las medidas adoptadas se encuentran la detección de puntos de ataques posibles.
Recuperación a medias
El Micitt informó también que la mayoría de los servicios afectados en las instituciones atacadas desde el 17 de abril pasado ya estarían restablecidos.
Mora indicó que el mismo Micitt ya tiene página web temporal, en el Instituto Metereológico Nacional (IMN) ya se restauró su servidor de correo y en Radiográfica Costarricense S. A. (Racsa) ya se habrían habilitado los correos de los usuarios afectados, incorporandolos al servicio usa la mayoría y que no fue atacado.
En la Caja Costarricense del Seguro Social (CCSS) también se habría solventado el ‘hackeo’ al su cuenta de Twitter y está terminando de revisar el portal web afectado. Aquí se habría extraído una tabla de bitácora, que “no contenía datos sensibles”.
En el Ministerio de Trabajo y Seguridad Social y en Fondo de Desarrollo Social y Asignaciones Familiares (Fodesaf) ya están los sitios web habilitados y la revisión mostró que no hay más equipos cifrados, así como que los que estaban cifrados fueron rehabilitados. Ningún dato habría sido eliminado en las bases de datos.
En el Inder también habría un alto avance en la revisión y aseguramiento de todos los servicios. “Además de la contención, la mayoría de servicios están restablecidos”, dijo Mora.
En el caso del Ministerio de Hacienda, el ministro Elían Villegas, dijo a Amelia Rueda el 28 de abril que el análisis forense no ha concluido y que no hay fecha para el restablecimiento de los sistemas.
Un diagnóstico del mismo Ministerio realizado en 2019 confirmó que, tras 25 años de no realizar inversiones tecnológicas, hay 59 sistemas y algunos tenían dos décadas de operación en promedio y fallos de diseño, desarrollo y operación.
Este jueves 28 de abril, el Micitt indicó que solo en 24 horas se habían detectaco casi un millón de intentos de ‘hackeo’ en entidades públicas. Los hackers usualmente aprovechan diversos portillos como sistemas antiguos o sin actualización y el phishing con mensajes fraudulentos a usuarios para penetrar los sistemas institucionales y de empresas.
Llamado
Este 28 de abril, la Cámara de Infocomunicación y Tecnología (Infocom) hizo un llamado a las autoridades del gobierno saliente y al equipo de transición del presidente electo, Rodrigo Chaves Robles, para que la ciberseguridad esté entre los temas prioritarios a tratar durante el proceso de transición, evitando así que aumenten las vulnerabilidades que provocaron los recientes ataques cibernéticos a diversos sectores del país.
Infocom recalcó que los ciberataques representan un daño importante para Costa Rica, en especial por el impacto al comercio internacional, el cumplimiento de las obligaciones tributarias, la reactivación económica y el manejo de datos sensibles de empresas y ciudadanos.
“El país no debe bajar la guardia en estos momentos, se debe mantener la ciberseguridad como prioridad. Si los equipos de ambas administraciones no se ponen de acuerdo la situación podría agravarse”, insistió Mario Montero, presidente de Infocom.
Infocom se unió al pedido de otras organizaciones empresariales sobre la necesidad de avanzar aún más en la formación y capacitación del recurso humano especializado en resguardo de la ciberseguridad, así como en la conveniencia de incrementar y optimizar las inversiones del Estado en seguridad informática.