Las amenazas cibernéticas a organizaciones gubernamentales y privadas, ya no son una ficción y forman parte de la realidad para los países de la región de Centroamérica y El Caribe.
En la mayoría de los casos, estos incidentes pasan desapercibidos por la población en general, pues en la región no existen políticas públicas que obliguen a las organizaciones a informar y contabilizarlos; a diferencia de países de Europa y Estados Unidos, en los que sí se tiene esta información cuantificada.
Desde el pasado 19 de abril, en Costa Rica, un grupo criminal denominado «Conti» inició una serie de ataques cibernéticos a distintas instituciones de gobierno bajo la modalidad de Ransomware.
Uno de los objetivos fue el Ministerio de Hacienda, ente encargado de la recaudación tributaria en el país centroamericano. Según autoridades de gobierno costarricense, en efecto, existió un ataque efectivo.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) confirmó que desde el 17 de abril sobre una aparente “actividad maliciosa” del grupo cibercriminal «Conti», en el sistema Administración Tributaria Virtual (ATV) y el TICA (Tecnología de Información para el Control Aduanero), administrado por Aduanas.
Por medio de un video el Presidente Carlos Alvarado descartó que el gobierno costarricense fuera a ceder ante las exigencias de pago de «Conti», quienes solicitaban US$10 millones, y posteriormente ofrecía un descuento del 35 por ciento del pago.
Ante la negativa del gobierno costarricense, el grupo criminal lanzó una nueva amenaza advirtiendo que de no recibir el pago requerido atacarían a otras entidades de gobierno y lo cumplieron, atacando y comprometiendo exitosamente a MICITT, Ministerio de Trabajo y SS, y otras dos entidades de gobierno.
Posterior a publicar las brechas penetradas, amenazaron con atacar al sector privado, situación que cumplieron desde la semana del 25 de abril.
Con el objetivo de abordar el tema sobre este tipo de ataques y cómo una organización puede protegerse, revista Mercado tuvo acceso a una entrevista realizada a expertos de SISAP (Sistemas Aplicativos) una empresa experta en ciberseguridad a nivel regional con trayectoria de más de 35 años.
También puedes leer: ¿Qué tanto sabes de ciberseguridad y las amenazas para tu empresa?
De acuerdo con Mauricio Nanne, CEO de SISAP, el ataque inicia por correos engañosos (phishing) o explotación de vulnerabilidades (hacking) a la infraestructura de las instituciones.
Una vez logran penetrar las defensas, instalan programas maliciosos conocidos como Malware que les permite tomar control remoto de los dispositivos.
Con esto inspeccionan la red de la institución, buscando información que pueda ser de valor a terceros, como sus clientes o ciudadanos, o a la propia institución.
Una vez encontrada esta información, la extraen y la llevan a servidores bajo su control, posiblemente de terceros, también comprometidos.
Cuando ya han extraído la información, proceden a cifrar o encriptar todo lo que pueden, especialmente los servidores que proveen servicios básicos a la institución, tales como servidores de directorio, bases de datos, servidores de aplicaciones, etc.
También te puede interesar: Pequeñas y medianas empresas, el eslabón débil de la ciberseguridad
La motivación de «Conti» es económico. Ellos mismos fueron brechados, es decir fueron puestos en evidencia y su información fue publicada, se identificó que trabajan como una empresa; tienen alrededor de 350 “ingenieros” y los ingresos en los últimos años exceden los US$2 mil millones.
Hay sospechas e indicios que están apadrinados y probablemente protegidos por el gobierno de Rusia, y posiblemente parte de los ingresos puedan ser para este”, indicó Nanne.
José Amado, Director de Outsourcing Cybersecurity de SISAP señala que «Conti» ha sido conocido como un early adapter incluso innovador de prácticas como el RaaS Ransomware as a Service, la doble extorsión y el pago a particulares por accesos, estas prácticas se han convertido en estándar para otro tipo de atacantes que imitan las estrategias de «Conti».
El Ransoware as a Service consiste en un servicio que los atacantes ponen a disposición de personas particulares para atacar a una entidad u a otro particular, cabe mencionar que el propósito de este servicio es que el contratante no necesita tener ningún conocimiento técnico.
Según Amado, el Ransomware en sus inicios consistía en el secuestro y cifrado de los datos y su posterior liberación si el pago se cumplía, la doble extorsión involucra la filtración de los datos, el atacante tiene secuestrados los datos y amenaza con hacerlos públicos de no realizarse el pago.
“Los hackers buscarán por diferentes medios obtener credenciales para tener acceso a las compañías, la última tendencia es la aparición y promoción de anuncios que ofrecen dinero a cambio de proveer credenciales”, indicó Amado.
Para Mauricio Nanne, el impacto para una organización puede ser grave, dependiendo de las medidas que se hayan tomado antes, durante y después del ataque. Siempre la prevención será la mejor opción para poder lidiar con este tipo de incidentes, pero para darle una idea podemos resumirlo así:
Si los atacantes logran cifrar los datos, esto repercute con la detención total o parcial de las operaciones de la organización, los números dependerán de cada industria, pero nadie quiere verse forzado a dejar de producir y vender.
El tiempo que demorarán en restaurar la operación dependerá de si contaban con respaldos (backups) o no, y qué tan limpios se encontraban.
Otro tema por considerar es que si los datos confidenciales se divulgan pueden tener impactos legales y reputacionales para la organización. Por lo que, se deberá proveer este tipo de escenarios y actuar rápidamente.
En todo caso, el impacto será alto, requiriendo posiblemente fuertes inversiones, defensas legales y manejo de reputación.
Este es un tema muy extenso, que amerita programas completos. Sin embargo, dada la urgencia de la crisis vale la pena considerar:
(RM)
Suscríbete a la revista y regístrate a nuestros newsletters para recibir el mejor contenido en tu buzón de entrada.
