Ciberataque al Gobierno de Costa Rica
El ciberataque al Gobierno de Costa Rica es un ataque informático de índole extorsivo iniciado la noche (UTC-6:00) del domingo 17 de abril del 2022 en perjuicio de distintas instituciones públicas de la República de Costa Rica, incluido su Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN), la Radiográfica Costarricense Sociedad Anónima (RACSA), la Caja Costarricense de Seguro Social, el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC).[1][2] El grupo pro-ruso Conti Group se adjudicó el ataque y solicitó un rescate de 10 millones de dólares estadounidenses a cambio de no liberar la información sustraída del Ministerio de Hacienda, la cual podría incluir información sensible como las declaraciones de impuestos de los ciudadanos y empresas que operan en Costa Rica.[3][4][5]
Ciberataque al Gobierno de Costa Rica | ||
---|---|---|
Lugar | Costa Rica | |
Blanco(s) | Gobierno de Costa Rica | |
Fecha | 17 de abril-actualidad | |
Tipo de ataque | Ciberataque | |
Arma(s) | Ransomware | |
Perpetrador(es) | Conti Group | |
Como consecuencia, el gobierno debió dar de baja los sistemas informáticos empleados para declarar impuestos, así como para el control y manejo de las importaciones y exportaciones, causando pérdidas al sector productivo por el orden de los 30 millones de dólares estadounidenses diarios.[6][7] Asimismo, fueron retiradas de la red las páginas web del MICITT.
Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la empresa Microsoft, entre otras, para afrontar el ataque cibernético. El ataque consistió en infecciones a sistemas informáticos con ransomware, defacement de páginas web, sustracción de archivos de correos electrónicos y ataques al portal de recursos humanos de la Seguridad Social, así como a su cuenta oficial de Twitter.[8][9]
Antecedentes
Conti Group es una organización criminal dedicada a realizar ataques de ransomware, sustrayendo archivos y documentos de servidores para luego exigir un rescate. Su modus operandi consiste en infectar los equipos con el malware Conti, el cual opera con hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de los virus de su tipo.[10]
El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo. Otro miembro conocido como Mango actúa como gerente general y se comunica con frecuencia con Stern. Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. Los números de personas involucradas fluctúan, alcanzando hasta 100. Debido a la constante rotación de miembros, el grupo recluta nuevos miembros mediante sitios de reclutamiento de trabajo legítimos y sitios de piratas informáticos.[11]
Los programadores ordinarios ganan entre $1500 a $2000 por mes, y los miembros que negocian pagos de rescate pueden tomar una parte de las ganancias. En abril de 2021, un miembro de Conti Group afirmó tener un periodista anónimo que tomó una parte del 5% de los pagos de ransomware al presionar a las víctimas para que pagaran.[11]
Durante la invasión rusa de Ucrania en 2022, Conti Group anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país.[12][13][14] Como resultado, una persona anónima filtró aproximadamente 60.000 mensajes de registros de chat internos junto con el código fuente y otros archivos utilizados por el grupo.[15][16]
Las opiniones expresadas en las filtraciones incluyen el apoyo a Vladimir Putin, Vladimir Zhirinovsky, el antisemitismo (incluso hacia Volodímir Zelenski). Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. Patrick vive en Australia y puede ser ciudadano ruso. También se encontraron mensajes que contenían homofobia, misoginia y referencias al abuso infantil.[17]
Ataque
Los servidores del Ministerio de Hacienda de Costa Rica fueron los primeros en ser vulnerados durante la noche del domingo 17 de abril. La cuenta de Twitter BetterCyber fue la primera en replicar, al día siguiente, la publicación del foro de Conti Group que daba cuenta del hackeo a la institución gubernamental costarricense indicando que habían sido sustraídos 1 terabyte de información de la plataforma ATV, empleada por el gobierno para que la ciudadanía y las empresas presenten sus declaraciones de impuestos. A su vez, la publicación indicaba que la data empezaría a ser publicada el 23 de abril.[18]
Antes de las 10 de la mañana del lunes santo, el Ministerio de Hacienda informó mediante un comunicado de prensa y a través de sus redes sociales que "debido a problemas técnicos", la plataforma de Administración Tributaria Virtual (ATV) y el Sistema Informático Aduanero (TICA) habían sido deshabilitados, y que se prorrogaría el plazo para la presentación y pago de impuestos que vencían ese día, hasta el siguiente día hábiles después de que se restablecieran los sistemas.[19] La institución no reconoció inmediatamente haber sido hackeada e inicialmente se negó a responder a preguntas de la prensa sobre la afirmación de Conti Group.[20][21]
Al día siguiente, Conti Group publicó una nueva entrada en su foro anunciando que pedían 10 millones de dólares estadounidenses como rescate de la información sustraída.[22] El Ministerio de Hacienda confirmó que la información publicada hasta el momento correspondía a información del Servicio Nacional de Aduanas, empleada para insumos y soporte.[23]
En relación con las comunicaciones que han sido detectadas en las redes sociales, y calificadas como hackeo, el Ministerio de Hacienda comunica lo siguiente:Efectivamente, desde la madrugada de hoy enfrentamos una situación en algunos de nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos externos, quienes durante las últimas horas han tratado de detectar y reparar las situaciones que se están presentando.
Este Ministerio ha tomado la decisión de permitir a los equipos de investigación realizar un análisis profundo en los sistemas de información, por lo cual ha tomado la decisión de suspender temporalmente algunas plataformas como ATV y TICA, y se estarán reiniciando los servicios una vez que los equipos concluyan sus análisis.
En las últimas horas se ha detectado la exposición de algunos de los datos que pertenecen a la Dirección General de Aduanas, la cual está realizando los procesos de investigación de la información, según lo establece el plan de respuesta.
Los datos identificados hasta el momento son de carácter histórico y los utiliza el Servicio Nacional de Aduanas como insumos y de soporte.Ministerio de Hacienda
Horas después del comunicado de Hacienda, el micrositio del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) sufrió un defacement en el cual se dejó el mensaje: "Te saludamos desde Conti, búscanos en tu red". [24][25][26]
Jorge Mora Flores, director de Gobernanza Digital de Costa Rica indicó que a raíz del ataque, y porque el servidor afectado alberga otras páginas, se tomó la decisión de apagarlo mientras se realizaban las verificaciones correspondientes para determinar hasta qué punto se logró vulnerar la seguridad.[26] Posteriormente, una actualización en el foro de Conti Group indicaba que los ataques contra los ministerios de Costa Rica continuarían "hasta que el gobierno nos pague".[27]
Horas después, Conti atacó el Instituto Meteorológico Nacional de Costa Rica, específicamente en un servidor de correo electrónico, sustrayendo la información allí contenida.[28][29] Conti afirmó que el escenario que estaba viviendo Costa Rica era una "versión beta de un ataque cibernético global a un país completo".[30] Posteriormente, en otra actualización en su foro, indicaron que si el Ministerio de Hacienda no informaba a sus contribuyentes qué era lo que estaba ocurriendo, ellos lo harían:
Si el ministro no puede explicar a sus contribuyentes qué está ocurriendo, nosotros lo haremos: 1) hemos penetrado su infraestructura crítica, obtenido acceso a cerca de 800 servidores, descargado cerca de 900 GB de bases de datos y cerca de 100 GB de documentos internos, bases de datos en el formato MSSQL mdf, hay más que solo el correo, primer nombre, apellidos... Si el ministro considera que esa información no es confidencial, la publicaremos. El problema de la fuga no es el principal problema del Ministerio, sus copias de seguridad también fueron encriptadas, 70% de su infraestructura probablemente no podrá ser restaurada y tenemos puertas traseras en gran número de sus ministerios y compañías privadas. Pedimos una cantidad significativamente pequeña de la que gastarán en el futuro. Su negocio de exportaciones ya experimenta problemas y ya perdieron los 10 millones de dólares que podrían habernos pagado.Conti Group
Más tarde ese día, el Gobierno de Costa Rica negó haber recibido una solicitud de rescate, pese a la publicación en el foro de Conti Group relativa a los 10 millones de dólares estadounidenses.
El 20 de abril, Conti publicó 5 GB adicionales de información robada al Ministerio de Hacienda.[31] En horas de la tarde el Gobierno convocó a una conferencia de prensa en la Casa Presidencial donde alegó que la situación estaba bajo control, y que además de Hacienda, MICITT y el IMN, había sido atacada Radiográfica Costarricense Sociedad Anónima, mediante la vulneración de servidor de correo electrónico interno.[32][33] En el ínterin, la Caja Costarricense de Seguro Social (CCSS) reportó haber sufrido un ataque cibernético en su sitio de recursos humanos, el cual estaba siendo combatido.[34][35] Conti Group no se adjudicó la responsabilidad del ataque, dado que la Caja reportó horas después que no se sustrajo información sensible de los asegurados, como su historial médico o de contribuciones a pensión o seguro de salud, y que las bases de datos habían quedado intactas.[36]
La Ministra de la Presidencia, Geannina Dinarte Romero, indicó que esto se trataba de un caso de crimen organizado internacional y que el Gobierno de Costa Rica no pagaría ningún rescate.[37] Asimismo, anunció que estaban recibiendo asistencia técnica de los gobiernos de Estados Unidos, Israel y España, así como de la empresa Microsoft, que era la que operaba los servidores del Ministerio de Hacienda en un primer lugar.[37]
El 21 de abril, Conti Group atacó en horas de la madrugada los servidores del Ministerio de Trabajo y Seguridad Social (MTSS), así como del Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF). El informe preliminar del Gobierno apunta a que fue sustraída información como correos electrónicos, datos sobre pago de pensiones y ayudas sociales de ambas instituciones.[38] Asimismo, el grupo ofreció un 35% de descuento en el monto del rescate exigido si el Gobierno de Costa Rica realizaba un pago rápido.[39]
Antes del mediodía, el MICITT realizó una conferencia de prensa donde el Gobierno reiteró su posición de no pagar el rescate exigido por Conti Group, por lo que horas después el grupo criminal anunció que empezaría a publicar de inmediato la información sustraída, instando a los ciberdelincuentes costarricenses a aprovecharla para cometer phishing.[40][41]
El presidente Carlos Alvarado Quesada dio ese día su primera declaración pública sobre el hackeo.[42]
Reitero que el Estado Costarricense NO PAGARÁ NADA a estos criminales cibernéticos. Pero mi criterio es que este ataque no es un tema de dinero, sino que busca amenazar la estabilidad del país, en una coyuntura de transición. Esto no lo lograrán. Como siempre lo hemos hecho, cada persona de esta tierra pondrá de su parte para defender a Costa Rica.Carlos Alvarado Quesada
En horas de la tarde el Gobierno emitió una directriz dirigida al sector público con el fin de resguardar el correcto funcionamiento, confidencialidad y ciberseguridad del aparato público. El documento dispone que en caso de presentarse alguna situación que afecte la confidencialidad, disponibilidad e integridad de servicios disponibles al público, la continuidad de las funciones institucionales, la suplantación de identidad de la institución en redes sociales, e incluso aquellos que a lo interno de la institución se consideren bajo control, se deberá informar al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) del evento; además, de manera preventiva, la institución afectada deberá respaldar la información referente al incidente acontecido, para las investigaciones correspondientes.[43]
Asimismo las instituciones deberán realizar los procesos de mantenimiento en su infraestructura de telecomunicaciones, sea que le corresponda a la Administración Pública o alguna empresa contratada. Esas acciones incluyen actualizaciones permanentes de todos los sistemas institucionales, cambio de contraseñas de todos los sistemas y redes institucionales, deshabilitar servicios y puertos no necesarios y monitorear la infraestructura de red. Además de aplicar cualquier alerta dada por el CSIRT-CR, según corresponda a su institución.[43]
La directriz también ordena realizar al menos dos veces al año un análisis de vulnerabilidades a los sitios web oficiales del Gobierno de Costa Rica.[43]
La mañana del 22 de abril, el Gobierno de Costa Rica informó que desde el día previo no se registraban nuevos ataques de Conti Group contra el país. Sin embargo, el director de Gobernanza Digital, Jorge Mora, detalló que desde el lunes que empezaron a tomar medidas de prevención en las instituciones del Estado, detectaron 35.000 solicitudes de comunicación de malware, 9900 incidentes de phishing, 60.000 intentos de control remoto de infraestructura informática y 60.000 intentos de minado de criptomonedas en infraestructura informática de las primeras 100 instituciones estatales intervenidas.[44]
El 23 de abril, Conti Group atacó a la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC), la empresa pública encargada del suministro eléctrico de la provincia de Cartago.[45] Jorge Mora Flores informó ese día que podría haberse comprometido información de los abonados.[46][47] Al día siguiente, reportó que la información de contabilidad y recursos humanos de la institución fue cifrada como parte del ataque.[48]
Referencias
- «Hacienda, Micitt, IMN, Racsa y CCSS atacados por ‘hackers’, confirmó Gobierno». La Nación. Consultado el 20 de abril de 2022.
- «Portal de Recursos Humanos de CCSS sufre ataque cibernético». La Nación. Consultado el 20 de abril de 2022.
- «Gobierno confirma que 'Conti' exige $10 millones de "rescate" | Teletica». www.teletica.com. Consultado el 20 de abril de 2022.
- «"En la dark web sí se realizó una publicación que pide $10 millones de, aparentemente, Conti Group"». delfino.cr. Consultado el 20 de abril de 2022.
- «Conti amenaza con revelar datos internos de Hacienda y base de contribuyentes | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 20 de abril de 2022.
- «Costa Rica reporta pérdidas por $125 millones por caos en aduanas». www.larepublica.net. Consultado el 20 de abril de 2022.
- «Importaciones están paralizadas debido a hackeo de Hacienda | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 20 de abril de 2022.
- Hidalgo, Kristin. «Vulneran cuenta de Twitter de la CCSS y publican contenido ajeno a la institución». ameliarueda.com. Consultado el 21 de abril de 2022.
- «¡Atacan de nuevo! Hackean cuenta de Twitter de la CCSS | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 21 de abril de 2022.
- «Conti Ransomware». NHS Digital (en inglés). Consultado el 21 de abril de 2022.
- ↑ Nast, Condé. «The Workaday Life of the World’s Most Dangerous Ransomware Gang». Wired UK (en inglés británico). ISSN 1357-0978. Consultado el 21 de abril de 2022.
- Reichert, Corinne. «Conti Ransomware Group Warns Retaliation if West Launches Cyberattack on Russia». CNET (en inglés). Consultado el 21 de abril de 2022.
- Bing, Christopher (25 de febrero de 2022). «Russia-based ransomware group Conti issues warning to Kremlin foes». Reuters (en inglés). Consultado el 21 de abril de 2022.
- Nast, Condé. «The Workaday Life of the World’s Most Dangerous Ransomware Gang». Wired UK (en inglés británico). ISSN 1357-0978. Consultado el 21 de abril de 2022.
- Team, Threat Intelligence (1 de marzo de 2022). «The Conti ransomware leaks». Malwarebytes Labs (en inglés estadounidense). Consultado el 21 de abril de 2022.
- CNN, Sean Lyngaas. «'I can fight with a keyboard': How one Ukrainian IT specialist exposed a notorious Russian ransomware gang». CNN. Consultado el 21 de abril de 2022.
- LeeMarch 14 2022, Micah LeeMicah. «Leaked Chats Show Russian Ransomware Gang Discussing Putin’s Invasion of Ukraine». The Intercept (en inglés). Consultado el 21 de abril de 2022.
- «Conti claims to have hacked Ministerio de Hacienda, a government ministry in Costa Rica». Twitter (en inglés). Consultado el 21 de abril de 2022.
- «Sistemas de Hacienda caídos, ministerio omite referirse a supuesto hackeo». delfino.cr. Consultado el 21 de abril de 2022.
- «En este momento las plataformas Administración Tributaria Virtual (Atv) y TICA se encuentran fuera de servicio. Nuestros equipos técnicos trabajan para su restablecimiento en el menor tiempo posible. inmediatamente se solvente la situación, se comunicará por este mismo medio.». Twitter. Consultado el 21 de abril de 2022.
- «¿Hackearon Hacienda? Sistemas ATV y TICA fuera de servicio | Teletica». www.teletica.com. Consultado el 21 de abril de 2022.
- «Latest update from Conti: "We ask only 10m USD for keeping your taxpayers' data"». Twitter (en inglés). Consultado el 21 de abril de 2022.
- «ACLARACIÓN DEL MINISTERIO DE HACIENDA SOBRE COMUNICACIONES EN REDES SOCIALES CALIFICADAS COMO HACKEO». Twitter. Consultado el 21 de abril de 2022.
- «Conti allegedly hacks Ministerio de Ciencia, Innovation, Technology, y Telecomunicaciones' website». Twitter (en inglés). Consultado el 21 de abril de 2022.
- «‘Ataque al Micitt es simbólico, para deslegitimarlo’, dice exviceministro sobre hackeo». La Nación. Consultado el 21 de abril de 2022.
- ↑ «Autoridades confirman que "hackers" atacaron otro ministerio este lunes | Teletica». www.teletica.com. Consultado el 21 de abril de 2022.
- «Latest update on #Conti's cyberattack against Costa Rica's Ministerio de Hacienda». Twitter (en inglés). Consultado el 21 de abril de 2022.
- «Investigan si robaron información de correos del IMN | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 21 de abril de 2022.
- «Costa Rica: Hackers rusos accesaron a servidores de correo del Meteorológico». www.estrategiaynegocios.net. Consultado el 21 de abril de 2022.
- «Conti's latest update on the cyberattack against the Costa Rican Instituto Meteorologico Nacional:». Twitter (en inglés). Consultado el 21 de abril de 2022.
- «Conti publishes an additional ~5 GB of data allegedly belonging to the Ministerio de Hacienda of Costa Rica». Twitter (en inglés). Consultado el 21 de abril de 2022.
- «Más instituciones bajo ataque de Conti, que aumenta presión a un gobierno con débil respuesta». El Financiero. Consultado el 21 de abril de 2022.
- «Director de Gobernanza digital señala a Conti y afirma que hackeo está “bajo control” | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 21 de abril de 2022.
- «Portal de Recursos Humanos de la CCSS es la nueva víctima del ataque de hackers». www.larepublica.net. Consultado el 21 de abril de 2022.
- «Hackeo: CCSS enciende alerta ante posibles efectos en sus servicios esenciales». La Nación. Consultado el 21 de abril de 2022.
- «CCSS sobre ‘hackeo’: ‘No se extrajo información sensible’ ni se afectó EDUS o Sicere». La Nación. Consultado el 21 de abril de 2022.
- ↑ «"Estamos ante una situación de crimen organizado internacional y no estamos dispuestos a ninguna extorsión o pago"». delfino.cr. Consultado el 21 de abril de 2022.
- «Ministerio de Trabajo y Fodesaf se suman a blancos de ataques informáticos • Semanario Universidad». semanariouniversidad.com. 21 de abril de 2022. Consultado el 22 de abril de 2022.
- «Hackers ofrecen descuento del 35% al Gobierno de Costa Rica y prometen no tocar al sector privado». www.larepublica.net. Consultado el 22 de abril de 2022.
- «Conti anuncia publicación de toda la data robada a Costa Rica tras negativa del gobierno a pagar rescate». delfino.cr. Consultado el 22 de abril de 2022.
- «Gobierno sostiene que no pagará ningún rescate pese a descuento ofrecido por ciberdelincuentes». delfino.cr. Consultado el 22 de abril de 2022.
- «Alvarado: "Este ciberataque busca amenazar la estabilidad del país en una coyuntura de transición"». delfino.cr. Consultado el 22 de abril de 2022.
- ↑ «GOBIERNO FIRMA DIRECTRIZ QUE FORTALECE LAS MEDIDAS DE CIBERSEGURIDAD DEL SECTOR PÚBLICO».
- «Micitt: “desde ayer no se han registrado nuevos incidentes informáticos”». delfino.cr. Consultado el 22 de abril de 2022.
- «Jasec se convierte en la nueva víctima de Conti | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.
- «Micitt: Ataque a Jasec pudo comprometer información de abonados | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.
- «Datos personales de usuarios de Jasec pudieron ser robados por Conti, advierte el Gobierno». La Nación. Consultado el 25 de abril de 2022.
- «Conti cifra sistemas de contabilidad y recursos humanos de Jasec, según Micitt | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.