SAN JOSÉ, Costa Rica (AP) — Casi una semana después de un ataque con ransomware que ha afectado los sistemas informáticos del gobierno costarricense, el país se niega a pagar la extorsión mientras intenta implementar soluciones alternativas y los hackers comienzan a publicar información robada.
El grupo rusófono Conti reivindicó el ataque, pero el gobierno costarricense no ha confirmado su origen.
El Ministerio de Hacienda fue el primero en reportar problemas el lunes. Varios de sus sistemas se vieron afectados, desde la recolección de impuestos hasta procesos de importación y exportación a través de la agencia aduanal. Siguieron ataques al sistema de recursos humanos de la agencia de seguridad social y al Ministerio de Trabajo, entre otros.
El ataque inicial obligó al Ministerio de Hacienda a suspender durante varias horas el sistema responsable de pagarle sus salarios a una buena parte de los empleados públicos del país, que también gestiona los pagos de pensiones del gobierno. También tuvo que brindar extensiones a los contribuyentes para el pago de impuestos.
Conti no había publicado una cantidad específica de dinero, pero el presidente de Costa Rica, Carlos Alvarado, dijo que “el Estado costarricense no pagará nada a estos delincuentes cibernéticos”. En redes sociales circuló una cifra de 10 millones de dólares, pero nada en el sitio de Conti.
Las empresas costarricenses estaban inquietas por la posibilidad de que la información confidencial proporcionada al gobierno pudiera publicarse y usarse en su contra, mientras que los ciudadanos comunes estaban preocupados de que su información financiera personal pudiera usarse para vaciar sus cuentas bancarias.
Christian Rucavado, director ejecutivo de la Cámara de Exportadores de Costa Rica, dijo que el ataque a la agencia aduanal provocó el colapso de la logística de importación y exportación del país. Describió una carrera contra el reloj para artículos perecederos que deben ser almacenados en frío, y agregó que todavía no había un estimado de las pérdidas económicas. El comercio todavía se mueve, pero mucho más lentamente.
“Algunas fronteras tienen retrasos, ya que los procesos se están realizando de forma manual”, señaló Rucavado. “Hemos solicitado diversas acciones por parte del gobierno, como ampliar los horarios, para que puedan atender tanto la exportación como la importación”.
Precisó que Costa Rica suele exportar productos por un valor de 38 millones de dólares en promedio cada día.
Allan Liska, un analista de inteligencia de la firma de seguridad Recorded Future, comentó que Conti estaba realizando una extorsión doble: encriptando archivos del gobierno para impedir el funcionamiento de las dependencias y publicando archivos robados si no se pagaba el dinero exigido.
La primera parte con frecuencia puede superarse si los sistemas cuentan con buenos respaldos, pero la segunda es más complicada, según lo delicado de los datos robados, agregó.
Conti suele arrendar su infraestructura de ransomware a “afiliados” que pagan por el servicio. El afiliado que ataca a Costa Rica puede estar en cualquier parte del mundo, afirmó Liska.
Hace un año, un ataque de Conti con ransomware obligó a que el sistema de salud de Irlanda apagara su sistema de tecnología de información, por lo que se cancelaron citas, tratamientos y cirugías.
El mes pasado, Conti ofreció sus servicios para apoyar la invasión rusa a Ucrania. La medida enfureció a hackers solidarios con Ucrania. También provocó que un investigador de seguridad que desde hace mucho tiempo vigilaba a Conti filtrara un enorme cúmulo de comunicación interna entre algunos operadores de Conti.
Al preguntarle por qué sería víctima de ataques la democracia más estable de Centroamérica, conocida por su vida silvestre y playas, Liska opinó que la motivación suele depender más de las debilidades. “Buscan vulnerabilidades específicas”, afirmó. “Así que la explicación más probable es que Costa Rica tenía varias vulnerabilidades y uno de los participantes del ransomware descubrió esas vulnerabilidades y pudo explotarlas”.
Brett Callow, un analista de ransomware de la firma Emsisoft, dijo haber visto uno de los archivos filtrados del Ministerio de Hacienda de Costa Rica. “No parece haber mucha duda de que los datos son legítimos”, aseguró.
El viernes, el sitio de extorsión de Conti afirmó que había publicado 50% de los datos robados. Agregó que entre ellos había más de 850 gigabytes de material del Ministerio de Hacienda y las bases de datos de otras instituciones. “Todo esto es ideal para el phishing, deseamos suerte a nuestros colegas de Costa Rica para monetizar estos datos”, añadió.
Esto pareció contradecir la afirmación de Alvarado de que el ataque "no es un tema de dinero, sino que busca amenazar la estabilidad del país en una coyuntura de transición”, en referencia a su gobierno saliente y la juramentación del nuevo presidente de Costa Rica, el 8 de mayo próximo. “Esto no lo lograrán”, aseguró.
Alvarado aludió a la posibilidad de que el ataque fuera motivado por el rechazo público de Costa Rica a la invasión rusa de Ucrania. “Tampoco se puede desligar de la compleja situación geopolítica mundial en un mundo digitalizado”, agregó.
___
Sherman reportó desde Ciudad de México. El periodista de The Associated Press en Boston, Frank Bajak, contribuyó a este despacho.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/PV3F7JZUR5GVFLCPVIFW4C2IPE.jpg 265w)
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/QG5RAB3IOJFZJBTFKYMWVY3LXQ.jpg 265w)
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/4BXWJIJVZFHEHOMHG77DHPB7A4.png 265w)