Jorge Mora, jefe de gobernanza digital de Costa Rica, recibió un mensaje en abril de uno de sus funcionarios: “No pudimos contenerlo y han encriptado los servidores. Hemos desconectado todo el ministerio”.
Estaba siendo actualizado sobre un desgarrador ataque cibernético por parte de un notorio grupo de ransomware ruso llamado Conti, que comenzó en el ministerio de finanzas del país centroamericano y finalmente atrapó a 27 ministerios diferentes en una serie de ataques interrelacionados que se desarrollaron durante semanas.
El ataque fue “impresionante en su alcance”, según un funcionario occidental. Por lo general, los piratas informáticos logran obtener acceso a sistemas individuales, pero el caso de Costa Rica destaca el riesgo que representa una seguridad cibernética débil para toda la infraestructura de TI de una nación. En Costa Rica, Conti había pasado semanas, si no meses, haciendo túneles en sus sistemas de gobierno, saltando de un ministerio a otro.
Conti ofreció devolver los datos: a un precio de hasta 20 millones de dólares. Pero el gobierno de Costa Rica se negó a pagar el rescate. En cambio, el recién instalado presidente Rodrigo Chaves declaró una emergencia nacional, lanzó una cacería de presuntos «traidores» y se apoyó en aliados más expertos en tecnología, como EE. UU. y España, para que acudieran en su ayuda.
“Estamos en guerra, y eso no es una exageración”, dijo Chaves en los días posteriores a su toma de posesión a mediados de mayo, culpando a la administración anterior por ocultar el verdadero alcance de la perturbación, que comparó con el terrorismo.
El enfrentamiento dejó partes de la infraestructura digital de Costa Rica paralizadas durante meses, paralizando la recaudación de impuestos en línea, interrumpiendo la atención médica pública y el pago de algunos trabajadores del sector público.
Mientras tanto, los torturadores sombríos de Costa Rica eran una fuerza agotada, víctimas de rivalidades geopolíticas en el mundo de la piratería que se había inflamado por la guerra en Ucrania. Después de declarar su apoyo a la invasión rusa el 24 de febrero, el grupo fue traicionado por uno de sus miembros, supuestamente un pirata informático ucraniano a sueldo, que filtró sus herramientas, chats internos y otros secretos en línea como represalia.
Si bien Costa Rica continúa lidiando con las consecuencias del ataque cibernético, gran parte de Conti se había desvanecido después de la filtración, según Toby Lewis, jefe de análisis de amenazas de Darktrace, una firma de seguridad cibernética.
“A principios de 2022, estábamos listos para otro año para un grupo como Conti en su mejor momento, ganando sumas de dinero bastante significativas”, dijo Lewis. “Cuando Rusia invadió Ucrania, todo terminó. Apoyar a Rusia fue, en términos comerciales, la peor decisión que pudieron haber tomado”.
El ataque más impactante de Conti resultó ser el último. A fines de junio, el sitio web público de Conti, donde se había burlado de Costa Rica y otras víctimas, se cerró, al igual que su sitio de negociaciones en la web oscura, dijeron investigadores de seguridad.
A medida que se desarrollaban los ataques, Mora dijo que su equipo durmió apenas cuatro horas por noche durante casi un mes para frenar el avance de los piratas informáticos en otros ministerios. España envió su propio software de protección contra ransomware, MicroClaudia, que fue desarrollado por su Centro Criptológico Nacional.
EE. UU. envió equipos para ayudar, con software donado y experiencia de Microsoft, IBM y Cisco, y el departamento de estado de EE. UU. ofreció una recompensa de hasta $ 15 millones para llevar a Conti o a sus partidarios ante la justicia.
Rechazando las críticas de Chaves, Mora dijo que sin su ritmo de trabajo y cooperación tras el atentado, “habríamos tenido 50 casos como el Ministerio de Hacienda”.
Pero los esfuerzos de Costa Rica por recuperar el control de sus sistemas de TI coincidieron con la desaparición de Conti, lo que complicó aún más sus esfuerzos. Un funcionario occidental que ha sido informado sobre las investigaciones, dijo que incluso si Chaves hubiera accedido a pagar el rescate, que varió desde $20 millones hasta $1 millón, “no está claro quién estaba del otro lado de la línea. Para junio, nadie contestaba el teléfono, en sentido figurado”.
“Conti en Costa Rica fue un último intento desesperado por obtener algún tipo de título, algo de rumor sobre sus acciones”, dijo Shmuel Gihon, investigador de seguridad de Cyberint, con sede en Israel.
Una vez estimado en unos 400 piratas informáticos más un número desconocido de afiliados que alquilaban su kit de herramientas, que en 2021 le habían dado al afiliado de piratería ruso cientos de millones de dólares en criptomonedas de al menos 600 objetivos, Conti pronto se redujo a unas pocas docenas en solo unas semanas. después del atentado de Costa Rica.
Pero hay señales de que se está reagrupando de diferentes formas. Esto incluye un grupo llamado BlackBasta, que a los pocos meses de surgir ha llegado a 50 organizaciones. Los investigadores de seguridad dicen que la velocidad de sus ataques sugiere que los desertores de Conti habían llevado su conocimiento de la infraestructura de TI de su víctima a BlackBasta.
Mientras tanto, Costa Rica sigue lidiando con las consecuencias del hackeo de abril. Como en todos los ataques exitosos de ransomware, no hay forma de descifrar sus propios datos sin una clave de sus atacantes: la mayoría de los sistemas deben reconstruirse desde cero, con copias de seguridad revisadas para asegurarse de que no incluyan el malware original. Ese proceso puede llevar meses, si no uno o dos años.
Hasta hace poco, los sistemas aduaneros del país tenían que recurrir al uso de papel y correo electrónico, lo que ralentizaba todo el proceso, dijo Mónica Segnini, presidenta de Grupo Desacarga, empresa que brinda servicios de importación y exportación.
“Significa que pagas más por contenedores que tienen que reposar durante días en patios que no se han utilizado en años”, dijo, y agregó que la empresa estaba pagando sus impuestos corporativos voluntariamente pero que no había controles. “Estamos operando en un área gris”.
Un alto funcionario del gobierno dijo que muchos de los sistemas del Ministerio de Finanzas ahora se han restaurado, incluidos los de aduanas y salarios.
Para costarricenses como Alejandra, de 65 años, quien sufre de discapacidad mental, el tratamiento médico se está retrasando, dijo su esposo en una entrevista. Los médicos no pueden acceder a su resonancia magnética anterior y ahora deben esperar hasta que tengan acceso a ella, dijo.
Zulma Monge, profesora de ciencias y coordinadora académica en un colegio técnico en un distrito de bajos ingresos en el noreste de la ciudad, recibe un pago de 400.000 colones menos de lo que le deben porque el sistema no puede manejar las horas extras.
Ella está usando sus ahorros para pagar la educación de sus dos hijos y los costos de su propia segunda carrera. “Esto nunca había sucedido antes”, dijo, “en el [ministry] no nos están dando respuestas sobre cuándo se pagará el dinero adeudado”.
El proceso de prevención de nuevos ataques tampoco ha sido del todo fluido, admitió Carlos Alvarado Briceño, ministro encargado de Ciencia, Innovación, Tecnología y Telecomunicaciones.
Otro grupo de hackers llamado Hive atacó los servicios de seguridad social del país: el software defensivo del gobierno español apenas se había implementado, con solo 13 unidades de 20,000 instaladas.
“Obviamente el presidente estaba preocupado, y también estaba muy molesto. . . ya teníamos al menos algunas herramientas para poder contenerlo y no pasó”, dijo Alvarado Briceño. “Nuestro país en el pasado no se había tomado este tema tan en serio como se requería. ¿Cuál es la lección aprendida? No escatimar en tener la ciberseguridad necesaria en todas las instituciones”.