SAN JOSÉ, Costa Rica (AP) — Casi una semana después del ataque con software para extorsionar, conocido como ransomware, que ha perjudicado los sistemas informáticos del gobierno costarricense, el país se negó a pagar la extorsión mientras batalla para implementar soluciones alternativas y los hackers comienzan a publicar información robada.
El grupo rusófono Conti reivindicó el ataque, pero el gobierno costarricense no ha confirmado su origen.
El Ministerio de Hacienda fue el primero en reportar problemas el lunes. Varios de sus sistemas se vieron afectados, desde la recolección de impuestos hasta procesos de importación y exportación a través de la agencia aduanal. Siguieron ataques al sistema de recursos humanos de la agencia de seguridad social y al Ministerio de Trabajo, así como otros departamentos.
El ataque inicial obligó al Ministerio de Hacienda a suspender durante varias horas el sistema responsable de pagarle sus salarios a una buena parte de los empleados públicos del país, que también gestiona los pagos de pensiones del gobierno. También tuvo que brindar extensiones a los contribuyentes para el pago de impuestos.
Conti no había publicado una cantidad específica de dinero, pero el presidente de Costa Rica, Carlos Alvarado, dijo que “el Estado costarricense no pagará nada a estos delincuentes cibernéticos”. En redes sociales circuló una cifra de 10 millones de dólares, pero nada en el sitio de Conti.
Las empresas costarricenses estaban inquietas de que la información confidencial proporcionada al gobierno pudiera publicarse y usarse en su contra, mientras que los ciudadanos comunes estaban preocupados de que su información financiera personal pudiera usarse para vaciar sus cuentas bancarias.
Allan Liska, un analista de inteligencia en la firma de seguridad Recorded Future, comentó que Conti estaba realizando una extorsión doble: encriptando archivos del gobierno para paralizar la capacidad de función de las y publicando archivos robados si no se pagaba el dinero exigido.
La primera parte con frecuencia puede superarse si los sistemas cuentan con buenos respaldos, pero la segunda es más complicada, según lo delicado de los datos robados, agregó.
Conti suele arrendar su infraestructura de ransomware a “afiliados” que pagan por el servicio. El afiliado que ataca a Costa Rica puede estar en cualquier parte del mundo, afirmó Liska.
Hace un año, un ataque de Conti con ransomware obligó que el sistema de salud de Irlanda apagara su sistema de información tecnológica, por lo que se cancelaron citas, tratamientos y cirugías.
El mes pasado, Conti ofreció sus servicios para apoyar la invasión rusa a Ucrania. La medida enfureció a los ciberdelincuentes solidarios con Ucrania. También provocó que un investigador de seguridad que desde hace mucho tiempo vigilaba a Conti filtrara un enorme tesoro de comunicación interna entre algunos operadores de Conti.
Al preguntarle por qué sería víctima de ataques la democracia más estable de Centroamérica, conocida por su vida silvestre y playas, Liska opinó que la motivación suele depender más de las debilidades. “Buscan vulnerabilidades específicas”, afirmó. “Así que la explicación más probable es que Costa Rica tenía varias vulnerabilidades y uno de los participantes del ransomware descubrió esas vulnerabilidades y pudo explotarlas”.
Brett Callow, un analista de ransomware en la firma Emsisoft, dijo haber visto uno de los archivos filtrados del Ministerio de Hacienda de Costa Rica. “No parece haber mucha duda de que los datos son legítimos”, aseguró.
El viernes, el sitio de extorsión de Conti afirmó que había publicado 50% de los datos robados. Agregó que entre ellos había más de 850 gigabytes de material del Ministerio de Hacienda y las bases de datos de otras instituciones. “Todo esto es ideal para el phishing, deseamos suerte a nuestros colegas de Costa Rica para monetizar estos datos”, añadió. El phishing es un método de fraude por medios electrónicos.
Esto pareció contradecir la afirmación de Alvarado de que el ataque no era cuestión de dinero. “Mi criterio es que este ataque no es un tema de dinero, sino que busca amenazar la estabilidad del país en una coyuntura de transición”, afirmó, en referencia a su gobierno saliente y la juramentación del nuevo presidente de Costa Rica, el 8 de mayo próximo. “Esto no lo lograrán”, aseguró.
Alvarado aludió a la posibilidad de que el ataque fuera motivado por el rechazo público de Costa Rica a la invasión rusa de Ucrania. “Tampoco se puede desligar de la compleja situación geopolítica mundial en un mundo digitalizado”, agregó.
