El ciberataque efectuado por el grupo Conti a los sistemas tributarios y aduaneros del Ministerio de Hacienda tomó por sorpresa al Gobierno y la mayoría de la población del país. Pero no fue así para quienes trabajan en el sector de seguridad informática.
Esteban Jiménez, especialista en ciberseguridad y fundador de Atticyber, contó a La Nación que su compañía atiende incidentes detonados por este tipo de programas ransomware (de tipo extorsivo) en empresas privadas, desde el 2020, cuando se dio a conocer a nivel internacional, pero nunca salieron a la luz pública hasta ahora en el caso de Hacienda.
Él también explicó que lograr “desinfectar” un sistema informático han tardado hasta tres semanas en los casos más complicados. A continuación un extracto de la entrevista.
— ¿Cómo enfrenta una institución pública o una empresa privada un evento como el generado por el grupo Conti en Hacienda?
— Conti no es nuevo. Conti ataca en Costa Rica desde el 2020. Hemos detectado infecciones por este ransomware en empresas privadas desde el 2020. Amplias, la gente debe entender que no es nuevo en el país y no es la primera vez que pasa. Al Ministerio de Hacienda no es el primero al que le pasa, pero es la institución más visible en este momento.
LEA MÁS: ‘Seguiremos atacando ministerios hasta que su Gobierno nos pague’: La amenaza de Conti a Costa Rica
”El Ministerio sí hizo algo diferente e importante. Se abrió a recibir apoyo de especialistas de diferentes partes del país y apoyo internacional. A diferencia, de otras ocasiones en el pasado, que (empresas) se han cerrado a recibir apoyo. Hacienda ha permitido que personas con mucha capacidad ayuden en las líneas de recuperación.
”Algunos de los servicios (de Hacienda) están abajo es porque se necesita asegurar, aunque ya la actividad fue contenida, que se tenga una desinfección completa, es decir, que las metodologías utilizadas aseguran una supresión de la amenaza. Esto es importantísimo porque se deben seguir una serie de pasos estrictos y practicados (en los sistemas informáticos) por un grupo de especialistas, como sucede en este caso”.
— ¿Qué afectaciones generaron los ataques con el ransomware Conti en empresas privadas?
— El ataque con Conti es un contrarreloj. Todo lo que son ransomware hace un proceso de cifrado y exfiltración, es decir, si nosotros podemos lograr detectar ciertos indicadores en una red que podrían decirnos que está comprometida, y actuamos de inmediato, tenemos un 100% de capacidad de bloquear la amenaza y revertir el daño. Cuando es una identificación temprana.
”Si la organización se tarda mucho tiempo, cada minuto la probabilidad de poder recuperar la información baja. En el país hemos tenido afectaciones que han dejado empresas fuera del negocio completamente. Desgraciadamente, no todas las compañías tienen respaldo de su información y no tienen en su mente de que alguien podría llegar con un software de estos y cifrarle los activos.
LEA MÁS: Hacienda desconoce identidad de ‘hackers’ y desmiente haber recibido extorsiones
”Hemos atendido casos en el que nos han llamado muy tarde y ya no hay nada que hacer. En otros casos sí hemos llegado a tiempo y revertir la amenaza y quebrar el cifrado (de la información).
”Los ataques con ransomware no son nuevos en Costa Rica, lo que es nuevo es que la gente se da cuenta. Es algo más común de lo que se piensa, especialmente para aquellos usuarios que utilizan software pirata, o los que no tienen protección en sus computadoras y filtros en correos electrónicos que son por donde entran estas amenazas”.
— ¿En qué momento se puede decir que los sistemas de Hacienda están limpios de la amenaza?
— La declaratoria de contención exitosa, término utilizado en la respuesta de un incidente, aún está en evaluación (en Hacienda). Es cuando se tienen unidades de trabajo en el proceso de limpieza. Son verificaciones en los que se debe estar 100% seguros de que los equipos están bien.
”¿De cuanto es el plazo temporal en un ataque de ransomware? En cualquier organización, no solo el Ministerio de Hacienda, si se tiene monitoreo en tiempo real, es decir cuando se ha invertido en sensores para saber lo que ocurre en sus máquinas y servidores, el tiempo de respuesta es una hora y en un plazo máximo de 24 horas el problema debería estar resuelto.
”¿Qué cambia? El tamaño y la complejidad de la organización. No es lo mismo una empresa pyme que tiene 20 máquinas funcionando, a una organización que tiene más de 1.000 equipos donde deben hacerse revisiones manuales.
”¿Cuánto es lo más que se ha durado en la recuperación de un incidente? En la experiencia en Costa Rica, lo más que se ha durado son tres semanas que sería la declaratoria completa de recuperación exitosa. Pero una contención y recuperación (de información) puede hacerse antes porque los sistemas críticos (de operación) se restablecen. Habrá algunas cosas que seguirán bloqueadas, pero los críticos que sirven para seguir adelante funcionan. Ahí declaramos el incidente contenido y en proceso de declaración exitosa, lo que permite la continuidad el negocio”.