Ciberataque al Gobierno de Costa Rica

El ciberataque al Gobierno de Costa Rica fue un ataque informático de índole extorsivo iniciado la noche (UTC-6:00) del domingo 17 de abril del 2022 en perjuicio de casi una treintena de instituciones públicas, incluido el Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN), la Radiográfica Costarricense S. A. (RACSA), la Caja Costarricense de Seguro Social, el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC). El grupo prorruso Conti Group se adjudicó el primer grupo de ataques y solicitó un rescate de 10 millones de dólares estadounidenses a cambio de no liberar la información sustraída del Ministerio de Hacienda, la cual podía incluir información sensible como las declaraciones de impuestos de los ciudadanos y empresas que operan en Costa Rica. Como consecuencia, el gobierno debió dar de baja los sistemas informáticos empleados para declarar impuestos, así como los sistemas para el control y manejo de las importaciones y exportaciones causando pérdidas al sector productivo por el orden de los 30 millones de dólares diarios. Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la empresa Microsoft, entre otras, para afrontar el ataque cibernético, que consistió en infecciones a sistemas informáticos con ransomware, defacement de páginas web, sustracción de archivos de correos electrónicos y ataques al portal de recursos humanos de la Seguridad Social, así como a su cuenta oficial de Twitter. El 6 de mayo del 2022 el gobierno de los Estados Unidos a través del FBI ofreció una recompensa de 10 millones de dólares por información que permitiera identificar a una persona o personas en posición de liderazgo dentro de Conti Group, y 5 millones de dólares adicionales por información que permitiera la captura o condena, en cualquier país, de personas que ayudaran o conspiraran en realizar ataques con el ransomware de Conti. El 8 de mayo de 2022 el nuevo presidente de Costa Rica, Rodrigo Chaves Robles, decretó el estado de emergencia nacional debido a los ciberataques, al considerarlos un acto de terrorismo. Días después, en una conferencia de prensa, afirmó que el país estaba en estado de guerra y que había evidencias de que gente dentro de Costa Rica estaba ayudando a Conti, por lo que los calificó de "traidores" y "filibusteros". El 31 de mayo del 2022 en horas de la madrugada Hive Ransomware Group realizó un ataque contra la Caja Costarricense de Seguro Social (CCSS), obligando a la institución a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (SICERE). El primero almacena la información médica sensible de los pacientes que atiende la Seguridad Social, mientras que el segundo es el utilizado para el cobro de las cuotas de aseguramiento de la población. From Wikipedia, the free encyclopedia

Lugar

Costa Rica

Blanco Gobierno de Costa Rica

Fecha 17 de abril-31 de mayo de 2022

Tipodeataque Ciberataque

Ciberataque al Gobierno de Costa Rica
Página web del Ministerio de Hacienda mostrando un mensaje plano avisando de los trabajos para recuperar los servicios a raíz del ataque.
Lugar	Costa Rica
Blanco	Gobierno de Costa Rica
Fecha	17 de abril-31 de mayo de 2022
Tipo de ataque	Ciberataque
Arma	Ransomware
Perpetrador	Conti Group Hive Ransomware Group
[editar datos en Wikidata]

El ciberataque al Gobierno de Costa Rica fue un ataque informático de índole extorsivo iniciado la noche (UTC-6:00) del domingo 17 de abril del 2022 en perjuicio de casi una treintena de instituciones públicas, incluido el Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN), la Radiográfica Costarricense S. A. (RACSA), la Caja Costarricense de Seguro Social, el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC).^[1]^[2]

El grupo prorruso Conti Group se adjudicó el primer grupo de ataques y solicitó un rescate de 10 millones de dólares estadounidenses a cambio de no liberar la información sustraída del Ministerio de Hacienda, la cual podía incluir información sensible como las declaraciones de impuestos de los ciudadanos y empresas que operan en Costa Rica.^[3]^[4]^[5]

Como consecuencia, el gobierno debió dar de baja los sistemas informáticos empleados para declarar impuestos, así como los sistemas para el control y manejo de las importaciones y exportaciones causando pérdidas al sector productivo por el orden de los 30 millones de dólares diarios.^[6]^[7]

Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la empresa Microsoft, entre otras, para afrontar el ataque cibernético, que consistió en infecciones a sistemas informáticos con ransomware, defacement de páginas web, sustracción de archivos de correos electrónicos y ataques al portal de recursos humanos de la Seguridad Social, así como a su cuenta oficial de Twitter.^[8]^[9]

El 6 de mayo del 2022 el gobierno de los Estados Unidos a través del FBI ofreció una recompensa de 10 millones de dólares por información que permitiera identificar a una persona o personas en posición de liderazgo dentro de Conti Group, y 5 millones de dólares adicionales por información que permitiera la captura o condena, en cualquier país, de personas que ayudaran o conspiraran en realizar ataques con el ransomware de Conti.^[10]^[11]

El 8 de mayo de 2022 el nuevo presidente de Costa Rica, Rodrigo Chaves Robles, decretó el estado de emergencia nacional debido a los ciberataques, al considerarlos un acto de terrorismo. Días después, en una conferencia de prensa, afirmó que el país estaba en estado de guerra^[12]^[13] y que había evidencias de que gente dentro de Costa Rica estaba ayudando a Conti, por lo que los calificó de "traidores" y "filibusteros".^[14]^[15]

El 31 de mayo del 2022 en horas de la madrugada Hive Ransomware Group realizó un ataque contra la Caja Costarricense de Seguro Social (CCSS), obligando a la institución a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (SICERE).^[16]^[17] El primero almacena la información médica sensible de los pacientes que atiende la Seguridad Social, mientras que el segundo es el utilizado para el cobro de las cuotas de aseguramiento de la población.^[18]

Conti Group

Conti Group es una organización criminal dedicada a realizar ataques de ransomware, sustrayendo archivos y documentos de servidores para luego exigir un rescate. Su modus operandi consiste en infectar los equipos con el malware Conti, el cual opera con hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de los virus de su tipo.^[19]

El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo. Otro miembro conocido como Mango actúa como gerente general y se comunica con frecuencia con Stern. Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. Los números de personas involucradas fluctúan, alcanzando hasta 100. Debido a la constante rotación de miembros el grupo recluta nuevos integrantes mediante sitios de trabajo legítimos y de piratas informáticos.^[20]

Los programadores ordinarios ganan entre $1500 a $2000 por mes y los miembros que negocian pagos de rescate pueden tomar una parte de las ganancias. En abril de 2021 un miembro de Conti Group afirmó tener un periodista anónimo en sus filas que tomó una parte del 5 % de los pagos de ransomware al presionar a las víctimas para que pagaran.^[20]

Durante la invasión rusa de Ucrania en 2022 Conti Group anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país.^[21]^[22]^[20] Como resultado, una persona anónima filtró aproximadamente 60 000 mensajes de registros de chat internos junto con el código fuente y otros archivos utilizados por el grupo.^[23]^[24]

Las opiniones expresadas en las filtraciones incluyen el apoyo a Vladímir Putin, Vladimir Zhirinovsky y el antisemitismo (incluso hacia Volodímir Zelenski). Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. Patrick vive en Australia y puede ser ciudadano ruso. También se encontraron mensajes que contenían homofobia, misoginia y referencias al abuso infantil.^[25]

Conti ha sido responsable de cientos de incidentes de ransomware desde 2020. El FBI estima que desde enero de 2022 hubo más de 1000 víctimas de ataques asociados con el ransomware Conti con pagos de las víctimas superiores a $150 000 000, lo que convierte a la cepa Conti en la variedad de ransomware más dañina jamás documentada.^[26]

Días después del ofrecimiento de recompensas por parte del FBI, Conti anunció que iniciaría un proceso de cierre de operaciones.^[27] Algunos de los miembros de Conti migraron a organizaciones más pequeñas como Hive, HelloKitty, AvosLocker, BlackCat y BlackByteo; otros fundaron algunas propias.^[28]

Hive Ransomware Group

Hive Ransomware Group es una organización criminal conocida por su ensañamiento contra las organizaciones o instituciones de salud pública, en particular hospitales y clínicas.^[29] Apareció en junio de 2021^[30] y de acuerdo con el Buró Federal de Investigaciones (FBI) funciona como un ransomware basado en afiliados, emplea una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que crea desafíos importantes para la defensa y la mitigación. Hive utiliza múltiples mecanismos para comprometer las redes comerciales, incluidos los correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso y el Protocolo de Escritorio Remoto (RDP en Inglés) para moverse una vez en la red.^[31]

De acuerdo con un reporte de Cisco los criminales de Hive han evidenciado una seguridad operativa baja al revelar información sobre su proceso de encriptación y otros detalles operativos. El reporte también indica que Hive emplea todos y cada uno de los medios necesarios para convencer a sus víctimas de que paguen, incluida la oferta de sobornos a los negociadores de las víctimas una vez que se realiza el pago del rescate.^[32]

En agosto de 2021 ZDNet publicó que Hive había atacado al menos 28 organizaciones de salud en los Estados Unidos, afectando clínicas y hospitales a lo largo de Ohio y Virginia del Oeste. Entre las víctimas se encontraba el Memorial Healthcare System, quien se vio forzado a que sus hospitales usaran expedientes de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados. La organización terminó pagando el rescate para recuperar el acceso a sus sistemas.^[33]

En diciembre de 2021 Hive reveló haber atacado 355 compañías a lo largo de seis meses, la gran mayoría en los Estados Unidos. De esas al menos 104 terminaron pagando el rescate por recuperar sus sistemas.^[34]

En febrero de 2022 cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware de Hive que permitía obtener la clave maestra y recuperar la información secuestrada.^[35]

El sitio especializado TechTarget afirmó que Hive Ransomware Group se comunica en ruso, pero que no hay información sobre la localización de sus operaciones.^[34]

Bleeping Computer LLC reportó que algunos de los hackers de Conti migraron a organizaciones como Hive, sin embargo el grupo ha rechazado tener vinculación con Conti pese a que una vez iniciado el proceso de cierre de operaciones y sus hackers llegaron a ese otro grupo criminal, la organización empezó la táctica de publicar los datos filtrados en la red profunda, tal y como lo hacía Conti.^[16]

La experta Yelisey Boguslavskiy de AdvIntel identificó y confirmó con un alto nivel de certeza que Conti estuvo trabajando con Hive durante más de medio año, al menos desde noviembre de 2021. Según su información, Hive utilizaba activamente los accesos de ataque iniciales proporcionados por Conti.^[16]

A diferencia de Conti Group, Hive no está asociado con apoyo directo a la invasión rusa de Ucrania, a pesar de que el pago de los rescates a Hive probablemente sea recibido por las mismas personas dentro de Conti que reclamaron la alineación colectiva del grupo con el gobierno ruso.^[16]

También en mayo de 2022 Hive atacó a la Comunidad de Navarra, España, forzando a un centenar de instituciones a volver a la era del papel mientras los sistemas eran recuperados.^[36]^[37] Ese mismo mes Hive también atacó al Banco Central de Zambia, sin embargo, la entidad rechazó pagar el rescate afirmando que tenía los medios para recuperar sus sistemas, aunque ingresó al chat de los extorsionadores y suministró el enlace a una "fotopolla"^[38]^[39]^[40] con el mensaje:

Chupad esta polla y dejad de bloquear redes bancarias pensando que monetizareis algo, aprended a monetizar.

Banco Central de Zambia.

Ataque

Ataque de Conti Group

Los servidores del Ministerio de Hacienda de Costa Rica fueron los primeros en ser vulnerados durante la noche del domingo 17 de abril. La cuenta de Twitter BetterCyber fue la primera en replicar, al día siguiente, la publicación del foro de Conti Group que daba cuenta del hackeo a la institución gubernamental costarricense indicando que había sido sustraído 1 terabyte de información de la plataforma ATV, empleada por el gobierno para que la ciudadanía y las empresas presenten sus declaraciones de impuestos. A su vez, la publicación indicaba que la data empezaría a ser publicada el 23 de abril.^[41]

Antes de las 10 de la mañana del lunes santo, el Ministerio de Hacienda informó mediante un comunicado de prensa y a través de sus redes sociales que "debido a problemas técnicos", la plataforma de Administración Tributaria Virtual (ATV) y el Sistema Informático Aduanero (TICA) habían sido deshabilitados, y que se prorrogaría el plazo para la presentación y pago de impuestos que vencían ese día, hasta el siguiente día hábil después de que se restablecieran los sistemas.^[42] La institución no reconoció inmediatamente haber sido hackeada e inicialmente se negó a responder preguntas de la prensa sobre la afirmación de Conti Group.^[43]^[44]

Al día siguiente, Conti Group publicó una nueva entrada en su foro anunciando que pedían 10 millones de dólares como rescate de la información sustraída.^[45] El Ministerio de Hacienda confirmó que la información publicada hasta el momento correspondía a información del Servicio Nacional de Aduanas empleada para insumos y soporte.^[46]

En relación con las comunicaciones que han sido detectadas en las redes sociales, y calificadas como hackeo, el Ministerio de Hacienda comunica lo siguiente:
Efectivamente, desde la madrugada de hoy enfrentamos una situación en algunos de nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos externos, quienes durante las últimas horas han tratado de detectar y reparar las situaciones que se están presentando.

Este Ministerio ha tomado la decisión de permitir a los equipos de investigación realizar un análisis profundo en los sistemas de información, por lo cual ha tomado la decisión de suspender temporalmente algunas plataformas como ATV y TICA, y se estarán reiniciando los servicios una vez que los equipos concluyan sus análisis.

En las últimas horas se ha detectado la exposición de algunos de los datos que pertenecen a la Dirección General de Aduanas, la cual está realizando los procesos de investigación de la información, según lo establece el plan de respuesta.
Los datos identificados hasta el momento son de carácter histórico y los utiliza el Servicio Nacional de Aduanas como insumos y de soporte.

Ministerio de Hacienda

Horas después del comunicado de Hacienda el micrositio del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) sufrió un defacement en el cual se dejó el mensaje: "Te saludamos desde Conti, búscanos en tu red".^[47]^[48]^[49]

Jorge Mora Flores, director de Gobernanza Digital de Costa Rica indicó que a raíz del ataque, y porque el servidor afectado albergaba otras páginas se tomó la decisión de apagarlo mientras se realizaban las verificaciones correspondientes para determinar hasta qué punto se logró vulnerar la seguridad.^[49] Posteriormente, una actualización en el foro de Conti Group indicaba que los ataques contra los ministerios de Costa Rica continuarían "hasta que el gobierno nos pague".^[50]

Horas después Conti atacó el Instituto Meteorológico Nacional de Costa Rica, específicamente un servidor de correo electrónico, sustrayendo la información allí contenida.^[51]^[52] Conti afirmó que el escenario que estaba viviendo Costa Rica era una "versión beta de un ataque cibernético global a un país completo".^[53] Posteriormente en otra actualización en su foro indicaron que si el Ministerio de Hacienda no informaba a sus contribuyentes qué era lo que estaba ocurriendo, ellos lo harían:

Si el ministro no puede explicar a sus contribuyentes qué está ocurriendo, nosotros lo haremos: 1) hemos penetrado su infraestructura crítica, obtenido acceso a cerca de 800 servidores, descargado cerca de 900 GB de bases de datos y cerca de 100 GB de documentos internos, bases de datos en el formato MSSQL mdf, hay más que solo el correo, primer nombre, apellidos... Si el ministro considera que esa información no es confidencial, la publicaremos. El problema de la fuga no es el principal problema del Ministerio, sus copias de seguridad también fueron encriptadas, 70 % de su infraestructura probablemente no podrá ser restaurada y tenemos puertas traseras en gran número de sus ministerios y compañías privadas. Pedimos una cantidad significativamente pequeña de la que gastarán en el futuro. Su negocio de exportaciones ya experimenta problemas y ya perdieron los 10 millones de dólares que podrían habernos pagado.

Conti Group

Más tarde ese día el Gobierno de Costa Rica negó haber recibido una solicitud de rescate, pese a la publicación en el foro de Conti Group relativa a los 10 millones de dólares.

(VIDEO) Conferencia de prensa del Gobierno de Costa Rica el 20 de abril.

El 20 de abril Conti publicó 5 GB adicionales de información robada al Ministerio de Hacienda.^[54] En horas de la tarde el Gobierno convocó a una conferencia de prensa en la Casa Presidencial donde alegó que la situación estaba bajo control, y que además de Hacienda, MICITT y el IMN, había sido atacada la Radiográfica Costarricense S. A. (RACSA), mediante la vulneración de servidor de correo electrónico interno.^[55]^[56] En el ínterin, la Caja Costarricense de Seguro Social (CCSS) reportó haber sufrido un ataque cibernético en su sitio de recursos humanos, el cual estaba siendo combatido.^[57]^[58] Conti Group no se adjudicó la responsabilidad del ataque, dado que la Caja reportó horas después que no se sustrajo información sensible de los asegurados, como su historial médico o de contribuciones a pensión o seguro de salud, y que las bases de datos habían quedado intactas.^[59]

La Ministra de la Presidencia, Geannina Dinarte Romero indicó que esto se trataba de un caso de crimen organizado internacional y que el Gobierno de Costa Rica no pagaría ningún rescate.^[60] Asimismo anunció que estaban recibiendo asistencia técnica de los gobiernos de Estados Unidos, Israel y España, así como de la empresa Microsoft, que era la que operaba los servidores del Ministerio de Hacienda en un primer lugar.^[60]

El 21 de abril Conti Group atacó en horas de la madrugada los servidores del Ministerio de Trabajo y Seguridad Social (MTSS), así como del Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF). El informe preliminar del Gobierno apuntaba que fue sustraída información como correos electrónicos, datos sobre pago de pensiones y ayudas sociales de ambas instituciones.^[61] Asimismo el grupo ofreció un 35 % de descuento en el monto del rescate exigido si el Gobierno de Costa Rica realizaba un pago rápido.^[62]

Antes del mediodía el MICITT realizó una conferencia de prensa donde el Gobierno reiteró su posición de no pagar el rescate exigido por Conti Group, por lo que horas después el grupo criminal anunció que empezaría a publicar de inmediato la información sustraída, instando a los ciberdelincuentes costarricenses a aprovecharla para cometer phishing.^[63]^[64]

El presidente Carlos Alvarado Quesada dio ese día su primera declaración pública sobre el hackeo.^[65]

(VIDEO) Declaración del presidente Carlos Alvarado Quesada sobre el hackeo.

Reitero que el Estado Costarricense NO PAGARÁ NADA a estos criminales cibernéticos. Pero mi criterio es que este ataque no es un tema de dinero, sino que busca amenazar la estabilidad del país, en una coyuntura de transición. Esto no lo lograrán. Como siempre lo hemos hecho, cada persona de esta tierra pondrá de su parte para defender a Costa Rica.

Carlos Alvarado Quesada

En horas de la tarde el Gobierno emitió una directriz dirigida al sector público con el fin de resguardar el correcto funcionamiento, confidencialidad y ciberseguridad del aparato público. El documento dispone que en caso de presentarse alguna situación que afecte la confidencialidad, disponibilidad e integridad de servicios disponibles al público, la continuidad de las funciones institucionales, la suplantación de identidad de la institución en redes sociales, e incluso aquellos que a lo interno de la institución se consideren bajo control, se deberá informar al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) del evento; además, de manera preventiva, la institución afectada deberá respaldar la información referente al incidente acontecido, para las investigaciones correspondientes.^[66]

(VIDEO) Ministra del MICITT sobre la directriz firmada tras el ciberataque.

Asimismo las instituciones deberán realizar los procesos de mantenimiento en su infraestructura de telecomunicaciones, sea que le corresponda a la Administración Pública o alguna empresa contratada. Esas acciones incluyen actualizaciones permanentes de todos los sistemas institucionales, cambio de contraseñas de todos los sistemas y redes institucionales, deshabilitar servicios y puertos no necesarios y monitorear la infraestructura de red. Además de aplicar cualquier alerta dada por el CSIRT-CR, según corresponda a su institución.^[66]

La directriz también ordena realizar al menos dos veces al año un análisis de vulnerabilidades a los sitios web oficiales del Gobierno de Costa Rica.^[66]

La mañana del 22 de abril, el Gobierno de Costa Rica informó que desde el día previo no se registraban nuevos ataques de Conti Group contra el país. Sin embargo, el director de Gobernanza Digital, Jorge Mora, detalló que desde el lunes que empezaron a tomar medidas de prevención en las instituciones del Estado, detectaron 35 000 solicitudes de comunicación de malware, 9900 incidentes de phishing, 60 000 intentos de control remoto de infraestructura informática y 60 000 intentos de minado de criptomonedas en infraestructura informática de las primeras 100 instituciones estatales intervenidas.^[67]

El 23 de abril, Conti Group atacó a la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC), la empresa pública encargada del suministro eléctrico de la provincia de Cartago.^[68] Jorge Mora Flores informó ese día que podría haberse comprometido información de los abonados.^[69]^[70] Al día siguiente, reportó que la información de contabilidad y recursos humanos de la institución fue cifrada como parte del ataque.^[71]

El 25 de abril, Conti anunció que cambiaría su estrategia de ataques al Estado de Costa Rica, enfocándose ahora en grandes empresas del sector privado. El grupo anunció que dejaría de anunciar sus hackeos en su página en la red profunda, para enfocarse en solicitar el rescate respectivo por la información sustraída y cifrada.^[72]

El 26 de abril, el MICITT reportó que fue atacada la página web de la Sede Interuniversitaria de Alajuela y que hubo intento de vulnerar los servidores del Instituto de Desarrollo Rural (INDER), pero que fue efectivamente repelido.^[73] El 29 de abril el gobierno reportó un intento de hackeo al Ministerio de Economía, Industria y Comercio (MEIC)^[74] y un día después contra la Fábrica Nacional de Licores (FANAL) y las municipalidades de Turrialba y Golfito.^[75]

El 2 de mayo se reportó otro intento de hackeo en el Ministerio de Justicia y Paz (MJP), aunque fue repelido.^[76] Al día siguiente se reportaron ciberataques a las municipalidades de Garabito y Alajuelita, aunque tampoco lograron su cometido;^[77] también se registró un intento de ataque a la Junta de Protección Social (JPS).^[78]

El 4 de mayo, MICITT reportó intentos de hackeo a la Comisión Nacional de Préstamos para la Educación (CONAPE) y uno más al Colegio Universitario de Cartago (CUC), aunque este último no fue responsabilidad de Conti.

El 11 de junio, el Ministerio de Hacienda anunció que el lunes 13 de junio se volvería a habilitar el Sistema de Administración Tributación Virtual (ATV) para que los costarricenses pudieran declarar sus impuestos, dos meses después del ataque de Conti.^[79]

El 24 de junio también se restableció el sistema TICA (Tecnologías de la Información para el Control Aduanero), que también había sido atacado por el grupo Conti.^[80] En esa misma fecha también se restableció Exonet, una plataforma utilizada para gestionar y procesar solicitudes de exención de impuestos.^[81]

Ataque de Hive Ransomware Group

El 31 de mayo a las dos de la mañana (UTC-6:00), la Caja Costarricense de Seguro Social (CCSS) detectó flujos de información anómalos en sus sistemas y empezó a recibir reportes de distintos hospitales de comportamiento anómalo en diversos equipos, por lo que de inmediato procedió a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (SICERE). Algunas impresoras de la institución imprimieron mensajes con códigos o caracteres aleatorios,^[82] mientras que otras imprimieron instrucciones predeterminadas de Hive Ransomware Group de cómo recuperar el acceso a los sistemas.^[83]

En una conferencia de prensa antes del mediodía las autoridades de la CCSS calificaron el ataque como "excepcionalmente violento" y detallaron que los primeros incidentes se registraron en el Hospital San Vicente de Paul, en la provincia de Heredia; luego en el Hospital de Liberia, provincia de Guanacaste, y de ahí migró a los hospitales de la Gran Área Metropolitana.^[84]

El presidente de la CCSS, Álvaro Ramos Chaves, afirmó que las bases de datos con información sensible no fueron vulneradas, pero que al menos una treintena de servidores (de los más de 1500 que tiene la institución) fueron contaminados con el ransomware. Agregó que tenían la solución informática para levantar los sistemas, pero que tomaría tiempo, pues debía revisarse cada uno de los equipos para garantizar que al conectarlos y acceder a la información allí contenida, los hackers no pudieran hacerlo también.^[84]

Como consecuencia, una cifra aún indeterminada de asegurados vio sus citas médicas canceladas.^[85] Los centros médicos de la CCSS debieron recurrir al papel, debido a que también fue sacado de la red el EDUS-no conectado (conocido como Expediente Digital en Ambiente de Contingencia) como medida de seguridad, situación que podría permanecer así durante varios días.^[84]

Los EBAIS, áreas de salud y hospitales se quedaron sin acceso al Expediente Digital Único en Salud (EDUS), al Expediente Digital en Ambiente de Contingencia (EDAC), al módulo de control de ocupación hospitalaria y egresos de pacientes (ARCA), al sistema de Validación de Derechos, Facturación y otros. Las sucursales financieras se quedaron sin acceso al Sistema Centralizado de Recaudación (SICERE), al Registro Control y Pago de Incapacidades (RCPI), al Sistema Integrado de Comprobantes (SICO), a los sistemas de inspección y plataformas web asociados a la gestión de patronos. Las oficinas y áreas administrativas se quedaron sin poder utilizar las computadoras y los teletrabajadores solo podían acceder a Office 365 (Word, Excel, PowerPoint, Outlook, Teams).^[86]^[87]

En total en el primer día de afectación, 4871 usuarios perdieron sus citas médicas.^[88] Al día siguiente la cifra aumentó en 12 mil personas más. Asimismo, la CCSS reportó que la mayor afectación se experimentaba en el servicio de Laboratorio, donde solo el 45 % del servicio en la institución funcionaba con normalidad, 48 % tenía afectación parcial y 7 % presentaba retrasos. Asimismo, una revisión de 108 establecimientos de salud arrojó que el 96 % de los servicios hospitalarios funcionaba con plan de contingencia, el 18 % de las consultas externas presentaban afectaciones parciales, 19 % de los servicios de radiología e imágenes médicas tenían afectación parcial y el 37 % de los servicios de farmacia estaba afectado.^[89]

El 1 de junio durante una conferencia de prensa en la Casa Presidencial, el presidente ejecutivo de la CCSS, Álvaro Ramos Chaves anunció la apertura de una investigación administrativa en contra del Departamento de Tecnologías de Información de la institución por el hackeo, para determinar si hubo negligencia. El presidente de la República, Rodrigo Chaves Robles, afirmó que debían sentarse responsabilidades porque menos de 15 computadoras de la CCSS tenían instalado el sistema microCLAUDIA donado por el Reino de España luego del primer grupo de ataques cibernéticos por parte de Conti Group.^[90]

Asimismo, Ramos Chaves reveló que las afectaciones por el ataque eran 27 veces mayores a lo reportado el primer día, pues había 800 servidores infectados y más de 9000 terminales de usuario final afectadas, por lo que los sistemas no podrían ser recuperados en la primera semana como se tenía previsto.^[90]

El 2 de junio, Hive Ransomware Group solicitó $5 millones en bitcoin para que la CCSS pudiera recuperar sus servicios.^[91]

El 4 de junio la Superintendencia de Pensiones (SUPEN) anunció la suspensión hasta nuevo aviso de la posibilidad de trasladar libremente los fondos de pensiones complementarias entre las distintas operadoras, pues para ello se necesitaba de uno de los sistemas de la CCSS que estaba afectado por el hackeo.^[92]

Ante la caída de sus sistemas para el reporte de las planillas y pago de contribuciones sociales, la CCSS debió ampliar hasta el 10 de junio el plazo para que los patronos presentaran la planilla correspondiente al mes de mayo. Asimismo, anunció que los trabajadores independientes y asegurados voluntarios no podrían pagar sus cuotas mensuales debido a la imposibilidad de realizarles la factura correspondiente.^[93] El régimen de pensiones por Invalidez, Vejez y Muerte (IVM) debió habilitar cuentas bancarias y correos específicos para que las personas con créditos hipotecarios pudieran pagar sus mensualidades y reportar los abonos.^[94] Asimismo, 163 establecimientos de salud de la Caja habilitaron líneas telefónicas específicas para que la población evacuara dudas respecto a la continuidad de los servicios y el estado de sus citas médicas.^[95]

Declaratoria de emergencia

El 22 de abril de 2022, el entonces presidente electo de Costa Rica, Rodrigo Chaves Robles anunció su pretensión de declarar estado de emergencia nacional una vez asumiera el poder, debido a los ciberataques contra el sector público del país.^[96]

El 3 de mayo del 2022, la Cámara de Industrias de Costa Rica (CICR), la Cámara Nacional de Transportistas de Carga (CANATRAC), la Cámara de Comercio Exterior de Costa Rica (CRECEX), la Cámara de Almacenes Fiscales y Generales de Depósito (CAMALFI), la Cámara Costarricense de Navieros (NAVE), la Cámara de Exportadores de Costa Rica (CADEXCO) y la Asociación de Agentes de Aduanas (AAACR) solicitaron declarar estado de emergencia por la situación de las aduanas del país a raíz del hackeo de Conti Group y advirtieron que en pocos días, si la situación no mejoraba, Costa Rica podría presentar una paralización del comercio internacional por acumulación de contenedores de carga, dado que Aduanas debió realizar trámites en papel, elevando a tres y hasta cuatro días las esperas para recibir visto bueno para movilizar los contenedores.^[97]

El 8 de mayo, al asumir el poder, Chaves Robles firmó el Decreto Ejecutivo N.º 43542-MP-MICITT, declarando estado de emergencia nacional por los ciberataques contra el sector público de Costa Rica y dispuso que la Presidencia de la República tomara el control del planteamiento, dirección y coordinación de los procesos necesarios para lograr la contención y solución, y no la Comisión Nacional de Emergencias a quien por ley corresponde atender ante situaciones de emergencia nacional declarada.^[98]

El 16 de mayo, el presidente Chaves afirmó que el país estaba en estado de guerra por los hackeos de Conti y denunció que había nacionales ayudando al "grupo terrorista" que el fin de semana previo había amenazado con derrocar al gobierno recién electo.^[99]

No sabemos, no tenemos información de quién nos está pagando impuestos bien y mal. Hay una afectación enorme en el proceso de comercio internacional ya que el sistema TICA de Aduanas no está funcionando. No sabemos cómo avanza ni siquiera la ejecución presupuestaria del país: Costa Rica no sabe cuánto del presupuesto está gastando cada quién, si nos vamos a pagar o no. Estamos pagando salarios casi que a ciegas en base a planillas anteriores, eso representa un reto enorme para el futuro ¿qué pasa si alguien se le sobrepasa por una plantilla extraordinaria y estamos repitiendo la misma planilla? Hay gente a la que el Estado se le está pagando menos de lo que debería por usar planillas anteriores. Eso representa un riesgo enorme porque los sistemas no son flexibles para recobrar los excesos de pagos. Tenemos 27 instituciones atacadas y 9 instituciones muy afectadas incluyendo el Ministerio de Hacienda que es el que recibe los ingresos y hace los gastos del Estado. Nos quieren ahogar a través del sistema financiero de las finanzas públicas del Estado.

Rodrigo Chaves Robles, presidente de Costa Rica.

Al día siguiente, decenas de trabajadores del Ministerio de Educación Pública (MEP) se lanzaron a las calles para protestar por el impago de sus salarios, pagos menores a lo que correspondía, entre otros problemas vinculados a la imposibilidad de actualizar las planillas estatales debido al hackeo. El MEP cifró en 16 000 la cantidad de trabajadores afectados en el pago de sus salarios (3000 sin ningún pago y 13 000 con pagos de alguna forma incorrectos) y el Ministerio de Hacienda, como medida de contingencia, suministró una herramienta que debía ser llenada a mano para poner al día los pagos de los empleados.^[100]

El 21 de mayo, debido a nuevas protestas, los sindicatos negociaron con el Gobierno, quien se comprometió a pagar los montos adeudados y recuperar posteriormente cualquier suma pagada de más a los trabajadores.^[101] El 27 de mayo la Sala Constitucional de la Corte Suprema de Justicia declaró con lugar más de 200 recursos de amparo presentados contra el Estado por parte de trabajadores del MEP afectados en el pago de sus salarios, y ordenó tomar medidas de contingencia para poner al día los pagos en el plazo de un mes.^[102] El 30 de mayo el gobierno anunció que el MEP y Hacienda habían pagado más de 6 mil millones de colones como planilla extraordinaria correspondiente a 25 618 movimientos pendientes de cancelar debido al hackeo.^[103]