Costa Rica caos una advertencia de que la amenaza de ransomware sigue siendo
WASHINGTON (AP) – Los profesores no pueden cobrar sus salarios. Los sistemas fiscales y aduaneros paralizados. Las autoridades sanitarias no pueden acceder a los historiales médicos ni rastrear la propagación del COVID-19. El presidente de un país declarando la guerra a los hackers extranjeros que dicen querer derrocar al gobierno.
Desde hace dos meses, Costa Rica se tambalea por los ataques de ransomware sin precedentes que interrumpen la vida cotidiana en la nación centroamericana. Es una situación que plantea preguntas sobre el papel de Estados Unidos en la protección de las naciones amigas de los ciberataques cuando las bandas criminales con sede en Rusia están apuntando a los países menos desarrollados en formas que podrían tener importantes repercusiones globales.
“Hoy es Costa Rica. Mañana podría ser el Canal de Panamá”, dijo Belisario Contreras, ex gerente del programa de ciberseguridad de la Organización de Estados Americanos, refiriéndose a una importante vía marítima centroamericana que transporta una gran cantidad de tráfico de importación y exportación de Estados Unidos.
El año pasado, los ciberdelincuentes lanzaron ataques de ransomware en Estados Unidos que forzaron el cierre de un oleoducto que abastece a la Costa Este, detuvieron la producción de la mayor empresa de procesamiento de carne del mundo y comprometieron a una importante empresa de software que tiene miles de clientes en todo el mundo.
El gobierno de Biden respondió con un conjunto de acciones gubernamentales que incluían esfuerzos diplomáticos, policiales y de inteligencia destinados a presionar a los operadores de ransomware.
Desde entonces, las bandas de ransomware se han alejado de los objetivos de “caza mayor” en Estados Unidos en busca de víctimas que probablemente no provoquen una respuesta contundente por parte de Estados Unidos.
“Siguen siendo prolíficos, ganan enormes cantidades de dinero, pero no aparecen en las noticias todos los días”, dijo Eleanor Fairford, subdirectora del Centro Nacional de Ciberseguridad del Reino Unido, en una reciente conferencia sobre ransomware en Estados Unidos.
Seguir las tendencias de los ataques de ransomware, en los que los delincuentes cifran los datos de las víctimas y exigen un pago para devolverlos a la normalidad, es difícil. NCC Group, una empresa británica de ciberseguridad que rastrea los ataques de ransomware, dijo que el número de incidentes de ransomware por mes en lo que va de año ha sido mayor que en 2021. La compañía señaló que el grupo de ransomware CL0P, que ha atacado agresivamente a las escuelas y las organizaciones de atención médica, volvió a trabajar después de cerrar efectivamente durante varios meses.
Pero Rob Joyce, el director de ciberseguridad de la Agencia de Seguridad Nacional, ha dicho públicamente que ha habido una disminución en el número de ataques de ransomware desde la invasión rusa de Ucrania gracias a la mayor preocupación por los ciberataques y a las nuevas sanciones que dificultan el movimiento de dinero de los delincuentes con base en Rusia.
La banda de ransomware conocida como Conti lanzó el primer ataque contra el gobierno de Costa Rica en abril y ha exigido un pago de 20 millones de dólares, lo que llevó al recién instalado presidente Chaves Robles a declarar el estado de emergencia al dejar fuera de servicio las oficinas de impuestos y aduanas, los servicios públicos y otros servicios. “Estamos en guerra y esto no es una exageración”, dijo.
Más tarde, un segundo ataque, atribuido a un grupo conocido como Hive, dejó fuera de servicio la sanidad pública y otros sistemas. La información sobre las recetas individuales está fuera de línea y algunos trabajadores han pasado semanas sin cobrar su sueldo. Esto ha causado importantes dificultades a personas como el profesor Álvaro Fallas, de 33 años.
“Vivo con mis padres y mi hermano y dependen de mí”, dijo.
En Perú, Conti también ha atacado a la agencia de inteligencia del país. El sitio de extorsión de la banda en la red oscura publica documentos supuestamente robados con información de la agencia, como un documento comercializado como “secreto” que detalla los esfuerzos de erradicación de la coca.
Los expertos creen que países en vías de desarrollo como Costa Rica y Perú seguirán siendo objetivos especialmente maduros. Estos países han invertido en la digitalización de su economía y sus sistemas, pero no tienen defensas tan sofisticadas como las naciones más ricas.
Costa Rica ha sido durante mucho tiempo una fuerza estable en una región a menudo conocida por la agitación. Tiene una larga tradición democrática y unos servicios gubernamentales bien gestionados.
Paul Rosenzweig, un ex alto funcionario del DHS y consultor cibernético que ahora es un residente legal de Costa Rica, dijo que el país presenta un caso de prueba para lo que exactamente el gobierno de Estados Unidos debe a sus gobiernos amigos y aliados que son víctimas de ataques de ransomware perjudiciales. Aunque un ataque a un país extranjero puede no tener ningún impacto directo en los intereses de Estados Unidos, el gobierno federal sigue teniendo un gran interés en limitar las formas en que los delincuentes de ransomware pueden perturbar la economía digital mundial, dijo.dijo.
“Costa Rica es un ejemplo perfectamente bueno porque es el primero”, dijo Rosenzweig. “Nadie ha visto antes un gobierno bajo asalto”.
Hasta ahora, el gobierno de Biden ha dicho poco públicamente sobre la situación en Costa Rica. Estados Unidos ha proporcionado algo de asistencia técnica a través de su Agencia de Ciberseguridad y Seguridad de Infraestructuras, mediante un programa de intercambio de información con naciones de todo el mundo. Y el Departamento de Estado ha ofrecido una recompensa por la detención de los miembros de Conti.
Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, dijo que Costa Rica tiene un equipo de respuesta a emergencias informáticas que tenía una relación establecida con sus homólogos en los Estados Unidos antes de los incidentes. Pero su agencia está ampliando su presencia internacional al establecer su primer puesto de agregado en el extranjero en el Reino Unido.
“Si pensamos en nuestro papel, CISA y el gobierno de EE.UU., es intrínsecamente, por supuesto, proteger a las organizaciones estadounidenses. Pero sabemos intuitivamente que los mismos actores de la amenaza están utilizando las mismas vulnerabilidades para atacar a las víctimas en todo el mundo”, dijo.
Conti es una de las bandas de ransomware más prolíficas que operan actualmente y ha atacado a más de 1.000 objetivos y ha recibido más de 150 millones de dólares en pagos en los últimos dos años, según estimaciones del FBI.
Al comienzo de la invasión de Ucrania, algunos de los miembros de Conti se comprometieron en el sitio web oscuro del grupo a “utilizar todos nuestros recursos posibles para devolver el golpe a las infraestructuras críticas del enemigo” si Rusia era atacada. Poco después, se filtraron en Internet registros de chats sensibles que parecen pertenecer a la banda, algunos de los cuales parecen mostrar vínculos entre la banda y el gobierno ruso.
Algunos investigadores de ciberamenazas dicen que Conti puede estar en medio de un cambio de marca, y su ataque a Costa Rica puede ser un truco publicitario para proporcionar una historia plausible para la desaparición del grupo. Los grupos de ransomware que reciben mucha atención de los medios de comunicación a menudo desaparecen, sólo para que sus miembros vuelvan a aparecer más tarde operando con un nuevo nombre.
En su página web oscura, Conti ha negado que ese sea el caso y sigue publicando los archivos de las víctimas. Los objetivos más recientes de la banda incluyen un departamento de parques de la ciudad en Illinois, una empresa de fabricación en Oklahoma y un distribuidor de alimentos en Chile.
___
El escritor de AP Javier Córdoba contribuyó desde San José, Costa Rica.
