Un equipo de ataque situado en Costa Rica o algún país cercano ha estado ayudando a los grupos criminales internacionales que han vulnerado sistemas informáticos de al menos 27 instituciones públicas en las últimas semanas. En un nuevo intento por ganar estatus o credibilidad de sus superiores, la célula local hackeó los sistemas de la Caja Costarricense de Seguro Social (CCSS) y demostró, una vez más, que es capaz de traerse abajo una red de este calibre.
Esa es la teoría del experto en ciberseguridad Esteban Jiménez, quien ha seguido de cerca los ataques a las entidades estatales desde que trascendió el golpe contra plataformas del Ministerio de Hacienda, el 18 de abril. Para él es muy claro que existen colaboradores en el país o en la región porque ellos mismos se han delatado al enviar amenazas con mensajes que demuestran que tienen cercanía con el contexto costarricense.
Por ejemplo, en sus portales informativos en la dark web (red oscura) han colocado saludos al presidente Rodrigo Chaves e incluso manifestaciones relacionadas con la política nacional y el cambio de gobierno.
LEA MÁS: Desestabilizar a Costa Rica en traspaso de poderes sería fin de ‘hackeo’, dice Carlos Alvarado
“Es por la manera en que ellos se expresan, la forma en que han abordado las amenazas al Gobierno, de nombrar al presidente, de nombrar al sector público y privado, el tipo de escritura. Eso no es normal en estos grupos, a nosotros lo que nos parece más bien es una célula local que lo que está haciendo es una demostración de poder para subir de ranking dentro de la organización en la que están.
“Sucede como en el narcotráfico, que los integrantes de las bandas criminales deben escalar en la estructura y para hacerlo deben demostrar que saben hacer lo que están haciendo. Entonces los líderes le ponen retos a los de menor rango y matar a una persona puede ser la ficha para subir de nivel, pero en este caso, este ataque a la Caja puede ser la prueba de fuego para demostrar esa capacidad y lealtad”, explicó Jiménez.
De acuerdo con el especialista, si se tratara de un ataque meramente internacional, los delincuentes no entrarían en tantos dimes y diretes con el Gobierno como ha ocurrido en las últimas semanas –cuando incluso se han ofrecido descuentos y se han enviado reclamos por no pagar la extorsión– sino que únicamente enviarían la nota de rescate y esperarían el dinero, como hacen con todas sus demás víctimas.
LEA MÁS: ‘Seguiremos atacando ministerios hasta que su Gobierno nos pague’: La amenaza de Conti a Costa Rica
“A un equipo internacional no le importa quién es el presidente de Costa Rica, menos si son rusos. Pero en este caso, el contexto que le dan a los mensajes que envían sí nos indica que son un equipo local”, puntualizó.
Por lo tanto, aunque el grupo delictivo Conti se haya atribuido los primeros ataques a instituciones y luego el grupo Hive (conformado por exmiembros de Conti) haya concretado la vulneración a la CCSS, lo cierto es que sus líderes o integrantes de planta quizá ni siquiera estén moviendo un dedo en estos actos delincuenciales, sino únicamente recibiendo los reportes de avance enviados por la célula local que comete los atentados.
Este martes, La Nación explicó que, según una investigación realizada por el reconocido portal de ciberseguridad AdvIntel, desde el pasado 19 de mayo “Conti” murió como marca, mediante una estrategia para dividirse en grupos más pequeños para seguir cometiendo actos delictivos en Internet. Parte de su plan es seguir vulnerando sistemas bajo el nombre de otras marcas y en alianza con otros ransomware, como Hive.
LEA MÁS: CCSS habría sido ‘hackeada’ por un brazo de Conti llamado Hive
Jiménez señala que esta metodología usada por los delincuentes fue lo que les permitió hackear a la CCSS.
“Sabemos que hay recursos de Conti en Hive. Entonces, ¿qué es lo que ellos hicieron? Tenían una persistencia en los sistemas de la Caja y lo que hicieron fue reactivarla, pero ahora con la herramienta de Hive, que es diferente a la de Conti que se utilizó en los ataques pasados”, describió el experto, al indicar que la nueva herramienta de hackeo es manual y no automática, como la que vulneró los servidores de Hacienda.
Es decir, que a las 2 a. m. de este martes, cuando se identificó el ciberataque a la Caja, un grupo de delincuentes se encontraba en ese momento, de manera remota, desarrollando toda la vulneración, a diferencia de los ataques anteriores, que probablemente solo se programaron con anterioridad.
Desde el pasado 16 de mayo, el Poder Ejecutivo alertó que gente dentro del país está colaborando con estas organizaciones cibercriminales, pero no precisó en quiénes o cómo, por ser un tema de “seguridad nacional”.
LEA MÁS: ‘Gente dentro del país está colaborando con Conti’, dice presidente Chaves
¿Negocio para el ICE?
Por último, Jiménez, quien es miembro fundador del proyecto público-privado de seguridad informática CyberSec Cluster y colaboró en la elaboración del capítulo de Ciberseguridad de la Cámara Costarricense de Tecnologías de Información y Comunicación (Camtic), afirmó que el Gobierno no ha aceptado los ofrecimientos de ayuda de agentes externos especializados para atender los ciberataques y teme que esto afecte los servicios públicos.
“Desde que se hizo el decreto de emergencia, esto dejó de abordarse como un tema técnico y se politizó por completo, entonces aquí ya no entraron más especialistas, no se trajeron equipos de respuesta externos, no se llamó a ningún aliado y todo se concentró en el Micitt y en el ICE, que nadie entiende por qué se metió al ICE si no tiene nada de experiencia en esto, de hecho todas las redes que han sido atacadas son del ICE.
“Nosotros tuvimos acceso a los insumos que mandó el ICE para hacer el monitoreo de sistemas públicos y lo que mandó fue formularios de venta a las instituciones haciéndoles preguntas para ver cómo les vende servicios, lo cual es convertir una emergencia nacional en un caso de negocio”, criticó el experto, alegando que esta información conseguida por el ICE podría utilizarse para competencia desleal en contrataciones futuras.
LEA MÁS: Presidencia asume ‘control’ de estrategia contra ciberataques, mediante decreto
Esta semana el Instituto Costarricense de Electricidad (ICE) debe culminar con el mapeo de ciberseguridad en las 324 instituciones públicas del país que le fue ordenado por el presidente Rodrigo Chaves para realizar un recuento de los daños provocados por los ciberataques del último mes. Sin embargo, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) no detalló cuándo podrían estar listos los resultados.
La Nación consultó a Casa Presidencial por qué no ha aceptado el ofrecimiento de ayuda de organizaciones especializadas para atender los ciberataques, ya que incluso el coordinador del capítulo de Ciberseguridad de Camtic, Diego González, confirmó a este diario que la Cámara ha ofrecido colaboración al Gobierno pero ni siquiera ha recibido un espacio para reunirse con las autoridades. No obstante, Zapote evadió la consulta.
También se le preguntó al ICE si es verdad que se le están tratando de vender nuevos servicios a las instituciones mediante la directriz que dictó el presidente y si está tratando de sacar provecho económico de esta emergencia nacional, pero al cierre de esta publicación no se obtuvo respuesta. Además, se le enviaron consultas en el mismo sentido al ministro del Micitt, Carlos Alvarado, y se está a la espera de la información.
LEA MÁS: Funcionarios del ICE evaluarán ciberseguridad de 324 instituciones públicas en dos semanas
Nota del editor: Esta nota fue modificada a la 1 p. m. del 2 de junio para aclarar que el experto fue colaborador y no autor único del capítulo de Ciberseguridad de Camtic.