República Dominicana y otros países de Centroamérica y el Caribe activaron sus equipos preventivos de incidentes cibernéticos, ante un ciberataque actualmente en marcha y que podría causar daños multimillonarios contra del gobierno de Costa Rica.
El ciberataque fue atribuido al grupo pro-ruso Conti Group, que exige diez millones de dólares al Estado de la nación centroamericana.
La situación ha disparado la alerta y los esquemas de vigilancia preventiva de las autoridades dominicanas. El Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD) del Centro Nacional de Ciberseguridad de la República Dominicana (CNCS) son las instituciones llamadas a prevenir y responder ante un ciberataque de esta naturaleza en el país.
“El ciberataque al gobierno de Costa Rica es un ataque informático de índole extorsivo iniciado la noche (UTC-6:00) del domingo 17 de abril del 2022 en perjuicio de distintas instituciones públicas de la República de Costa Rica”, señala una información registrada en Wikipedia.
Precisa que este ataque incluye al Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN), la Radiografía Costarricense Sociedad Anónima (RACSA), la Caja Costarricense de Seguro Social, el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC).
El grupo Conti Group solicitó “un rescate de 10 millones de dólares estadounidenses a cambio de no liberar la información sustraída del Ministerio de Hacienda, la cual podría incluir información sensible como las declaraciones de impuestos de los ciudadanos y empresas que operan en Costa Rica”.
“Como consecuencia, el gobierno debió dar de baja los sistemas informáticos empleados para declarar impuestos, así como para el control y manejo de las importaciones y exportaciones, causando pérdidas al sector por el orden de los 30 millones de dólares estadounidenses diarios”, señala el informe.
La situación obligó al Gobierno costarricense, asimismo, a retirar de la red las páginas web del MICITT. “Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la empresa Microsoft, entre otras, para afrontar el ataque cibernético”, precisa la publicación de Wikipedia.
El ataque “consistió en infecciones a sistemas informáticos con ransomware, defacement de páginas web, sustracción de archivos de correos electrónicos y ataques al portal de recurso humanos de la Seguridad Social, así como a su cuenta oficial de Twitter”.
La situación ha comenzado a preocupar a los demás países de la región que temen verse afectados por estos tipos de extorsiones cibernéticas y ver dañadas sus infraestructuras informáticas, causándole daños inestimables.
Para enfrentar estos hechos la República Dominicana tiene el Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD) el cual está supuesto a implementar un protocolo que parte de las siguientes premisas:
– Observar (ver el fenómeno)
– Actuar (enfrentar la situación)
– Reportar (lo que implica compartir eventos de ciberseguridad que indiquen actividad maliciosa que puedan generar situaciones similares al que atraviesa Costa Rica).
“El intercambio de información de ciberseguridad es fundamental para la defensa colectiva y el fortalecimiento de la ciberseguridad de la nación”, sostiene. “Cuando los incidentes cibernéticos se informan de manera rápida al órgano rector de manejo de incidentes del Estado, esta información puede ser usada para brindar asistencia y emitir una advertencia para implementar controles preventivos y evitar que otras organizaciones y entidades sean víctimas de un ataque similar”.
En este sentido, el Centro Nacional de Ciberseguridad de la República Dominicana tiene entre sus principios motivar a compartir voluntariamente información sobre eventos relacionados con la seguridad cibernética que podrían ayudar a mitigar las amenazas de ciberseguridad actuales o emergentes a la infraestructura crítica y esencial del país.
¿Qué es un incidente cibernético?
Para enfrentar un flagelo tan dañino como lo es el ciberataque es imperativo conocerlo. “Se entiende por incidente cibernético a todo evento contra un sistema de información que produce la violación de una política de seguridad explícita o implícita, poniendo en riesgo la confidencialidad, integridad y disponibilidad de este”, explica el CSIRT-RD.
“Un evento –agrega-es cualquier ocurrencia observable en el sistema o red. El rol principal del Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD) es brindar respuesta oportuna a los incidentes de seguridad reportados su comunidad atendida y compartir información que apoye a la disminución del riesgo”.
Para prevenir o contrarrestar un ciberataque el CSIRT-RD ha establecido un documento que difunde para consumo general, sobre lo que puedes hacer y ¿quién debe compartir? Al respecto, plantea observar la actividad, actuar tomando medidas locales para mitigar la amenaza, reportar el evento, identificar los operadores de infraestructuras críticas y proveedores servicios esenciales y a las entidades gubernamentales responsables de los esquemas de Ciberseguridad.
Precisa sobre los eventos que se debe compartir con el CSIRT-RD, citando:
-Accesos no autorizados exitosos a sistemas,
-Ataques de denegación de servicio (DOS).
-Código malicioso en los sistemas, incluidas las variantes si se conocen.
-Escaneos dirigidos y repetidos contra servicios y sistemas.
– Intentos repetidos de obtener acceso no autorizado al sistema y cuentas de correo institucionales.
– Mensajes de correo electrónico o móviles asociados con intentos de phishing o ingeniería social.
-Ransomware contra la infraestructura, incluida la variante y detalles de rescate si se conocen.
También, señala los elementos claves para compartir vías para compartir y reportar:
• Fecha y hora del evento.
• Tipo de actividad observada.
• Descripción detallada del evento.
• Cantidad de activos y sistemas afectados.
• Nombre de la organización.
• Detalles del punto de contacto de seguridad.
• Gravedad del evento.
• Sector al que pertenece (energía, agua, marítimo, aéreo, gobierno, transporte, etc.).
El CSlRT-RD indica que el reporte de incidentes cibernéticos se realiza a través del correo
[email protected].
Explica que esto inicia la comunicación entre las partes y genera un código único de identificación del incidente dentro del sistema de gestión de incidentes del CSIRT-RD.
Como segunda opción, el contacto se puede realizar a través del formulario de reporte de incidentes en el portal del Centro Nacional de Ciberseguridad: https://cncs.gob.do/reportar-incidentes.
La entidad manifiesta que si el usuario de la red ha recibido algún mensaje de phishing vía correo o mensajería instantánea (SMS, WhatsApp, Telegram), nunca haga clic, puede enviar a [email protected].
¿Qué esperar?
Al recibir su mensaje, el CSIRT-RD evaluará y analizará el reporte. Si corresponde, compartiremos información anónima sobre esta actividad con otras entidades y CSIRT sectoriales para ayudarlos a administrar el riesgo. El CSIRT-RD envía periódicamente información de Indicadores de Compromiso (IOC) a través de la cuenta oficial [email protected], indica el organismo de ciberseguridad.
Pero, ¿quién es el Conti Group que ataca a Costa Rica?
Según se explica en el trabajo de Wikipedia, el “Conti Group es una organización criminal dedicada a realizar ataques de ransomware sustrayendo archivos y documentos de servidores para luego exigir un rescate”.
El modus operandi de esta organización “consiste en infectar los equipos con el malware Conti, el cual opera con hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de los virus de su tipo”.
Este grupo mafioso que opera en la red de internet responde a una estructura organizativa que tiene como “el miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo”.
“Otro miembro conocido como Mango actúa como gerente general y se comunica con frecuencia con Stern. Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. Los números de personas involucradas fluctúan, alcanzando hasta 100. Debido a la constante rotación de miembros, el grupo recluta nuevos miembros mediante sitios de reclutamiento de trabajo legítimos y sitios de piratas informáticos”, relata el texto publicado en Wikipedia.
Indica que “los programadores ordinarios ganan entre $1500 a $2000 por mes, y los miembros que negocian pagos de rescate pueden tomar una parte de las ganancias. En abril de 2021, un miembro de Conti Group afirmó tener un periodista anónimo que tomó una parte del 5% de los pagos de ransomware al presionar a las víctimas para que pagaran”.
La narrativa
“Durante la invasión rusa de Ucrania en 2022 Conti Group anunció su apoyo a Rusia y amenazó con implementar “medidas de represalia” si se lanzaban ciberataques contra el país. Como resultado, una persona anónima filtró aproximadamente 60.000 mensajes de registros de chat internos junto con el código fuente y otros archivos utilizados por el grupo.
Las opiniones expresadas en las filtraciones incluyen el apoyo a Vladimir Putin, Vladimir Zhirinovsky, el antisemitismo (incluso hacia Volodimir Zelenski). Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. Patrick vive en Australia y puede ser ciudadano ruso. También se encontraron mensajes que contenían homofobia, misoginia y referencias a abuso infantil.
El ataque a Costa Rica
Los servidores del Ministerio de Hacienda de Costa Rica fueron los primeros en ser vulnerados durante la noche del domingo 17 de abril. La cuenta de Twitter BetterCyber fue la primera en replicar, al día siguiente, la publicación del foro de Conti Group que daba cuenta del hackeo a la institución gubernamental costarricense indicando que habían sido sustraídos 1 terabyte de información de la plataforma ATV, empleada por el gobierno para que la ciudadanía y las empresas presenten sus declaraciones de impuestos.
A su vez, la publicación indicaba que la data empezaría a ser publicada el 23 de abril.
Antes de las 10 de la mañana del lunes santo, el Ministerio de Hacienda informó mediante un comunicado de prensa y a través de sus redes sociales que “debido a problemas técnicos”, la plataforma de Administración Tributaria Virtual (ATV) y el Sistema Informático Aduanero (TICA) habían sido deshabilitados, y que se prorrogaría el plazo para la presentación y pago de impuestos que vencían ese día, hasta el siguiente día hábiles después de que se restablecieran los sistemas. La institución no reconoció inmediatamente haber sido hackeada e inicialmente se negó a responder a preguntas de la prensa sobre la afirmación de Conti Group.
“Al día siguiente, Conti Group publicó una nueva entrada en su foro anunciando que pedían 10 millones de dólares estadounidenses como rescate de la información sustraída. El Ministerio de Hacienda confirmó que la información publicada hasta el momento correspondía a información del Servicio Nacional de Aduanas, empleada para insumos y soporte.
Luego, el propio presidente de Costa Rica, Carlos Alvarado, confirmó que su gobierno estaba bajo un ciberataque y que sus instituciones habían sido hackeada, pero reiteró que “el Estado Costarricense NO PAGARÁ NADA a estos criminales cibernéticos”.
Sostuvo que según su criterio, “este ataque no es un tema de dinero, sino que busca amenazar la estabilidad del país, en una coyuntura de transición. Esto no lo lograrán. Como siempre lo hemos hecho, cada persona de esta tierra pondrá de su parte para defender a Costa Rica”.