WASHINGTON — Un cártel de piratas informáticos ruso llevó a cabo un ciberataque extraordinario contra el gobierno de Costa Rica, paralizando los sistemas de recaudación de impuestos y exportación durante más de un mes hasta el momento y obligando al país a declarar un estado de emergencia.
La pandilla de ransomware Conti, con sede en Rusia, se atribuyó el ataque, que comenzó el 12 de abril, y amenazó con filtrar la información robada a menos que se le paguen 20 millones de dólares. Los expertos que rastrean los movimientos de Conti dijeron que el grupo había comenzado recientemente a cambiar su enfoque de Estados Unidos y Europa a países de América Central y del Sur, tal vez para tomar represalias contra las naciones que han apoyado a Ucrania.
Algunos expertos también creen que Conti temía una represión por parte de Estados Unidos y buscaba nuevos objetivos, independientemente de la política. El grupo es responsable de más de 1000 ataques de ransomware en todo el mundo que han generado ganancias de más de $150 millones, según estimaciones de la Oficina Federal de Investigaciones.
“Los cárteles de ransomware descubrieron que es menos probable que las multinacionales en los EE. UU. y Europa occidental parpadeen si necesitan pagar una suma impía para que sus negocios funcionen”, dijo Juan Andres Guerrero-Saade, investigador principal de amenazas en SentinelOne. “Pero en algún momento, vas a aprovechar ese espacio”.
Cualquiera que sea la razón del cambio, el hackeo mostró que Conti seguía actuando agresivamente a pesar de las especulaciones de que la pandilla podría disolverse después de que fuera el objetivo de una operación de hackeo en los primeros días de la guerra de Rusia contra Ucrania. El grupo delictivo, que prometió su apoyo a Rusia después de la invasión, se dirige de forma rutinaria a empresas y agencias gubernamentales locales al irrumpir en sus sistemas, cifrar datos y exigir un rescate para restaurarlos.
Del hackeo de Costa Rica, Brett Callow, analista de amenazas de Emsisoft, dijo que «posiblemente sea el ataque de ransomware más importante hasta la fecha».
“Esta es la primera vez que recuerdo un ataque de ransomware que resultó en la declaración de una emergencia nacional”, dijo.
Costa Rica ha dicho que se negó a pagar el rescate.
La campaña de piratería ocurrió después de las elecciones presidenciales de Costa Rica y rápidamente se convirtió en un garrote político. La administración anterior minimizó el ataque en sus primeros comunicados de prensa oficiales, describiéndolo como un problema técnico y proyectando una imagen de estabilidad y calma. Pero el nuevo presidente electo, Rodrigo Chaves, inició su mandato declarando la emergencia nacional.
“Estamos en guerra”, dijo Chaves durante una conferencia de prensa el lunes. Dijo que 27 instituciones gubernamentales se habían visto afectadas por el ataque de ransomware, nueve de ellas significativamente.
El ataque comenzó el 12 de abril, según la administración de Chaves, cuando piratas informáticos que dijeron estar afiliados a Conti irrumpieron en el Ministerio de Hacienda de Costa Rica, que supervisa el sistema tributario del país. A partir de ahí, el ransomware se propagó a otras agencias que supervisan la tecnología y las telecomunicaciones, dijo el gobierno este mes.
Dos exfuncionarios del Ministerio de Hacienda, que no estaban autorizados a hablar públicamente, dijeron que los piratas informáticos pudieron acceder a la información de los contribuyentes e interrumpir el proceso de recaudación de impuestos de Costa Rica, lo que obligó a la agencia a cerrar algunas bases de datos y recurrir al uso de un sistema de casi 15 años para almacenar los ingresos de sus mayores contribuyentes. Gran parte de los ingresos fiscales de la nación proviene de un grupo relativamente pequeño de alrededor de mil contribuyentes principales, lo que hace posible que Costa Rica continúe recaudando impuestos.
El país también depende de las exportaciones, y el ciberataque obligó a los agentes de aduanas a hacer su trabajo únicamente en papel. Mientras se lleva a cabo la investigación y recuperación, los contribuyentes en Costa Rica se ven obligados a presentar sus declaraciones de impuestos en persona en las instituciones financieras en lugar de depender de los servicios en línea.
El Sr. Chaves es un ex funcionario del Banco Mundial y ex ministro de finanzas que prometió sacudir el sistema político. Su gobierno declaró el estado de emergencia este mes en respuesta al ataque cibernético, calificándolo de “sin precedentes en el país”.
“Estamos frente a una situación de desastre inevitable, de calamidad pública y de conmoción interna y anormal que, sin medidas extraordinarias, no puede ser controlada por el gobierno”, dijo el gobierno de Chaves en su declaratoria de emergencia.
El estado de emergencia permite que las agencias se muevan más rápido para remediar la brecha, dijo el gobierno. Pero los investigadores de seguridad cibernética dijeron que una recuperación parcial podría llevar meses y que es posible que el gobierno nunca recupere por completo sus datos. El gobierno puede tener copias de seguridad de parte de la información de sus contribuyentes, pero esas copias de seguridad tardarán un tiempo en estar en línea, y el gobierno primero deberá asegurarse de haber eliminado el acceso de Conti a sus sistemas, dijeron los investigadores.
Guerra Rusia-Ucrania: desarrollos clave
En Mariúpol. La batalla más sangrienta de la guerra en Ucrania terminó en Mariupol, cuando el ejército ucraniano ordenó a los combatientes escondidos en una planta siderúrgica en la ciudad que se rindieran. La decisión de Ucrania de poner fin al combate le dio a Moscú el control total sobre una gran parte del sur de Ucrania, que se extiende desde la frontera rusa hasta Crimea.
Pagar el rescate no garantizaría una recuperación porque se sabe que Conti y otros grupos de ransomware retienen datos incluso después de recibir un pago.
“A menos que paguen el rescate, lo que han declarado que no tienen intención de hacer, o tengan copias de seguridad que les permitan recuperar sus datos, es posible que se enfrenten a una pérdida total y permanente de datos”, dijo Callow.
Cuando Costa Rica se negó a pagar el rescate, Conti comenzó a amenazar con filtrar sus datos en línea y publicó algunos archivos que, según afirmó, contenían información robada.
“Es imposible mirar las decisiones de la administración del presidente de Costa Rica sin ironía”, escribió el grupo en su sitio web. “Todo esto podría haberse evitado pagando”.
El sábado, Conti aumentó las apuestas y amenazó con eliminar las claves para restaurar los datos si no recibía el pago dentro de una semana.
“Con los gobiernos, las agencias de inteligencia y los círculos diplomáticos, la parte debilitante del ataque no es realmente el ransomware. Es la exfiltración de datos”, dijo el Sr. Guerrero-Saade de SentinelOne. “Estás en una posición en la que presumiblemente información increíblemente confidencial está en manos de un tercero”.
La brecha, entre otros ataques llevados a cabo por Conti, llevó al Departamento de Estado de EE. UU. a unirse al gobierno de Costa Rica para ofrecer una recompensa de $10 millones a cualquiera que proporcionara información que condujera a la identificación de los líderes clave del grupo de hackers.
“El grupo perpetró un incidente de ransomware contra el gobierno de Costa Rica que afectó severamente el comercio exterior del país al interrumpir sus plataformas aduaneras e impositivas”, dijo un portavoz del Departamento de Estado, Ned Price. dijo en un comunicado. “Al ofrecer esta recompensa, Estados Unidos demuestra su compromiso de proteger a las posibles víctimas de ransomware en todo el mundo de la explotación por parte de los ciberdelincuentes”.
Kate Conger informó desde Washington y David Bolaños desde San José, Costa Rica.