Costa Rica en estado de emergencia: claves para entender el ciberataque perpetrado por el Grupo Conti

Rodrigo Chaves declaró a Costa Rica en estado de emergencia un día después de asumir su cargo como presidente de la República. Esto, tras el ataque de Conti, un grupo de hackers rusos que se dedica a la extorsión cibernética. Otros países que sufrieron ataques de la misma naturaleza fueron Rusia, en el contexto de la guerra con Ucrania, y Perú.

“Con respecto a la nueva amenaza del grupo Conti, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) informa que no hay ningún tipo de comunicación ni negociación con los terroristas. Es importante mencionar que las amenazas de estos ciberterroristas son constantes”, indicó un comunicado oficial del Gobierno.

Pese a que se solicitaba 10 millones de dólares inicialmente, la agrupación aumentó su exigencia a 20 millones para presionar a las autoridades. ¿Cómo ha reaccionado el país centroamericano? Te explicamos las claves para entender el ataque a continuación.

1. ¿Cómo inició el ataque?

El hecho tomó lugar el lunes 18 de abril con un ataque de ransomware que afectó a 30 instituciones costarricenses como ministerios de Hacienda, Trabajo, y Ciencia y Tecnología, además de Fodesaf, Siua, Consejo Administrativo del Servicio Eléctrico de la Provincia de Cartago (Jasec), Instituto Meteorológico Nacional, Servicio Radiográfico Costarricense (Racsa) y la Caja Costarricense de Seguro Social.

Ransomware viene de la fusión de los términos en inglés ‘ransom’ (secuestro) y ‘sofware’, ya que los delicuentes son capaces de tomar la información de un sistema (como claves, archivos o datos) para pedir un rescate.

“Puede que hubiera un interno que conocían, estaban escaneando puertos o alguien en Hacienda entró en un enlace que no debía”, indicó a BBC Mundo el abogado costarricense José Adalid Medrano, especialista en Derecho informático y Ciberdelincuencia.

Los hackers se llevaron un terabyte de información de bases de datos de los sistemas tributarios y aduaneros que detallaban la renta de contribuyentes e importaciones o exportaciones, según Elián Villegas, el ministro de Hacienda.

Esto hizo que la entidad deshabilitara sus servicios digitales para asegurarse de que no haya más robos, lo que evitó el ingreso y egreso de contenedores al no poder ser registrados. Expertos calcularon las pérdidas en decenas de millones de dólares.

También se tomó información de servidores de correos electrónicos del Instituto Meteorológico Nacional (IMN) y de Radiográfica Costarricense (Racsa).

2. ¿Qué es el grupo Conti?

Conti es una operación de Ransomware-as-a-Service (RaaS) vinculada al grupo ciberdelincuente ruso Wizard Spider (también conocido por usar otros malware como Ryuk, TrickBot y BazarLoader).

Este servicio pone a la venta la información secuestrada en la dark web, de manera que cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprarlo y utilizarlo como le plazca.

Ahora, si bien el grupo Conti es una plataforma rusa, existen sospechas de que el origen del ataque podría haber incluido a alguien dentro de Costa Rica, según el presidente Chaves, quien dijo que “hay indicios muy claros de que gente dentro del país está colaborando con el grupo cibercriminal”.

El informático y empresario Esteban Jiménez agregó para BBC Mundo que los hackers “citan particularidades muy específicas del país, son personas que tienen conocimiento del ambiente local”, ya que saben “los procesos internos del Gobierno, así como el estado de la tecnología y los sistemas que usa”.

3. ¿Por qué Costa Rica?

Una de las cosas que más sorprende del ataque es la elección del país en sí misma, debido a que Costa Rica tiene poco más de cinco millones de habitantes, lo que lo hace uno de los países menos poblados del continente. De esta manera, se encuentra en el puesto 20 de la lista, detrás de Nicaragua, El Salvador u Honduras.

Jiménez señaló que probablemente lo hayan elegido por el desarrollo tecnológico que experimentan, vastamente superior al de sus vecinos centroamericanos, pero sin la madurez de Estados Unidos o algunos países europeos.

El abogado José Adalid Medrano, por su parte, consideró que es la frágil seguridad de los sistemas costarricenses lo que invitó a los hackers a perpetrar el ataque.

En el caso de Hacienda, apuntó que “no es posible que un ministerio que brinda tantos servicios a la sociedad y tiene información sensible de los costarricenses no tenga un plan de contingencia”.

4. Los motivos detrás de los ataques

Como lo mencionamos, el objetivo de los RaaS es comercializar con la información sustraída. Por consecuencia, se sospecha que la principal motivación del grupo Conti es vender la data secuestrada a empresas privadas, ya que resulta inverosímil que un Gobierno democrático como el de Costa Rica vaya a pagar la suma de dinero que solicitan.

Pese a que existen teorías que apuntan al contexto actual del país (la transición de la presidencia de Carlos Alvarado a Rodrigo Chaves), Medrano opinó que, “aunque haya indicios de colaboración dentro del país, no quiere decir que haya una motivación política”.

El abogado señaló que lo más probable sea que esta haya sido una jugada de marketing por parte de la agrupación, que busca sentar un precedente en Latinoamérica.

“Aunque el ataque a Costa Rica no sea rentable a nivel económico, sin lugar a dudas pone al grupo en el mapa, lo ayuda a agrandar su nombre y a presionar a otros para que no les pase lo mismo que al Gobierno de Costa Rica”, explicó.

5. El estado de emergencia

Rodrigo Chaves tomó esta medida un día después de ser investido como el nuevo presidente del país el domingo 8 de mayo.

Lo hizo a través del decreto ejecutivo N.º 42542 en el que se firmó para “declarar estado de emergencia nacional en todo el sector público del Estado costarricense y permitirle a nuestra sociedad responder a esos ataques como actos criminales”.

Pese a haber ocurrido casi un mes después del primer ataque, la declaración ha agilizado las medidas del Gobierno para recuperar la normalidad de los sistemas y fortalecer su seguridad a fin de evitar próximos ataques.

6. Ayuda internacional

El Gobierno aseguró que cuenta con la asistencia técnica de países como España e Israel, así como empresas de la talla de Microsoft y GBM.

En tanto, Estados Unidos ha ofrecido una recompensa de 10 millones de dólares a quien le brinde información que le permita identificar o ubicar a los integrantes del grupo. También pagarán hasta 5 millones de dólares a cambio de “información que conduzca al arresto o condena de cualquier persona, en cualquier país, que conspire para participar o intentar participar en un incidente de Conti”.

“EE. UU. está comprometido a ayudar a nuestros amigos costarricenses ante los ciberataques por parte del grupo Conti que sufrió en las últimas semanas. Esta asistencia reafirma y refuerza nuestra cooperación cercana con Costa Rica desde hace mucho tiempo”, dijo en un comunicado Cynthia Telles, la embajadora norteamericana en dicho país.

Por otra parte, las autoridades continúan las investigaciones para dar con los responsables.