Sergio Salazar. 1 abril

Los servidores de la Asamblea Legislativa fueron atacados por un virus el pasado lunes 25 de marzo y aún no se tiene muy claro qué fue exactamente lo que pasó, según explicó la dirección del Departamento de Informática del Congreso. Sin embargo, se sabe que se perdió gran cantidad de documentos y archivos.

Roxana Murillo, jefa del área de soporte técnico de la Asamblea Legislativa comentó que hasta el momento descubrieron que el virus introducido en los sistemas informáticos fue el GandCrab 5.2. Ella, por razones de seguridad, no especificó qué tipo de información fue la que se perdió con este incidente.

“Mire, todavía nosotros no tenemos claro, porque estamos en un proceso de recuperación. No hemos hecho un análisis forense, estamos recaudando eventos para poder llegar a una conclusión. Tenemos evidencias aisladas, que hay que analizar para decir ‘mire esto fue lo que sucedió'", comentó Murillo.

El virus GandCrab 5.2 es conocido por encriptar archivos: *.ini, *.doc, *.docx, *.xls, *.xlsx, *.ppt y *.ppts. Cuando este ataca los archivos encriptados no se pueden recuperar.

Por el momento, el área de soporte técnico de la institución se ha concentrado en un proceso de descarga de los respaldos de las carpetas encriptadas, para poder unir todos los elementos, hacer una valoración y emitir un criterio.

Los ataques de ransomware se caracterízan por extorsionar al dueño del equipo informático, portátil o servidor infectado. (Foto: Archivo)
Los ataques de ransomware se caracterízan por extorsionar al dueño del equipo informático, portátil o servidor infectado. (Foto: Archivo)

“En realidad lo que estamos viendo son las consecuencias. Nosotros vamos a hacer un informe cuando terminemos, estamos avocados a restaurar algunos archivos. No fue que todo se perdiera, pero por razones de precaución se aíslan los servidores y demás, para que no haya una propagación”, continúo.

Murillo defendió los sistemas de defensa del congreso alegando que ataques como los de este virus son casi imposibles de detectar y detener.

“Nosotros tenemos todo un sistema digital de seguridad (...) Tenemos todas las herramientas tecnológicas de protección, prevención y detección de intrusos. Tenemos antivirus, firewalls, control de navegación , lo que pasa es que nuestro antivirus no lo detectó en ese momento porque corresponde a una contaminación en la que el patrón todavía no está registrado”, aclaró.

Por su parte, Roberto Lemaitre Picado, coordinador del Centro de Respuesta de Incidentes de Seguridad Informática de la Asamblea dijo que para enfrentar esta situación se coordinó con los equipos técnicos, de infraestructura y con las empresas que les brindan soporte. Debido al trabajo que se hizo, ya todos los servidores fueron restaurados.

El virus: ¿por qué es peligroso?

Esteban Jiménez, experto en el tema de ciberseguridad explicó a La Nación, que el GandCrab 5.2 es un virus de tipo ransomware y con origen Ruso, cuya manera de operar es a través del Phishing (modalidad de estafa que consiste en suplantar la identidad de una organización o a través de mensajes enviados por correo electrónico) y utiliza un archivo adjunto de Office (Word/Excel) infectado.

También, se puede propagar mediante la visita a sitios web malintencionados, publicidad web engañosa o puertos de acceso remoto abiertos (portales USB).

El principal “síntoma" que presenta el dispositivo contaminado es que el equipo se vuelve inoperable porque la actividad del CPU alcanza casi el 100%; los archivos comienzan a bloquearse y aparece un mensaje indicando que se debe realizar un pago en bitcoins a un a dirección en la Deep Web, para desencriptar los archivos.

A la hora del cierre de esta nota, ningún vocero de la Asamblea Legislativa respondió las preguntas planteadas por este diario, sobre si los atacantes hicieron la solicitud de pago como suele ocurrir en este tipo de virus.

A pesar de lo que ya se sabe del virus en cuestión, aún queda la duda sobre qué proceso se debe seguir una vez infectado el dispositivo.

Según Jiménez, lo primero es entender que este ransomware no tiene una llave oficial de descifrado, esto quiere decir que los archivos cifrados no se pueden recuperar.

El paso siguiente es ejecutar un software experto de limpieza para eliminar los potenciales archivos infectados que puedan existir aún en el equipo. Recomendó hacerlo con copias o imágenes de lo que se vio afectado y nunca sobre la copia original.

Por último, al no existir una llave de cifrado, recomienda utilizar programas profesionales de recuperación que puedan rescatar las versiones anteriores de los archivos infectados, ubicados en los sectores alternativos de la computadora.

Adicionalmente, recomendó realizar un cambio inmediato de las contraseñas y nunca formatear el equipo hasta que un apoyo técnico especializado lo revise. Siempre se debe tener un respaldo completo del equipo.

Peligro que no puede ignorarse

Jiménez, aseguró que a mediados de agosto del año ofreció ir acompañado con un equipo de expertos y dar una asesoría de manera gratuita a la Asamblea, para fortalecer sus sistemas de defensa. Sin embargo, la respuesta que obtuvieron fue que el departamento de tecnologías de la información iba a manejarlo como un tema meramente interno.

“Esto ya lleva rato. Esto no es solo de la Asamblea Legislativa, son varias instituciones. Nosotros ofrecimos apoyo, nos sentamos a conversar con María Inés Solís -diputada del Partido Unidad Social Cristiana (PUSC)- en el marco de un apoyo integral no solo a las Asamblea, sino a las instituciones públicas. Se ofreció asesoría completamente gratuita, en las fechas en que Luis Guillermo Solís iba a declarar el tema del cementazo y, los primeros indicadores que tuvimos fueron errores o interrupciones en los sistemas del Congreso en los votos, se quedaron sin sistema varias veces y eso continuamente siguió sucediendo”, relató el experto.

A criterio de la diputada Solís, quien ha dicho que la seguridad digital del primer poder de la República debe fortalecerse, se mostró preocupada por lo sucedido la semana pasada y comentó que este tema debe hablarse abiertamente en el plenario.

Para ella es urgente implementar mejores y mayores estrategias para defender el “patrimonio y los activos críticos” y así asegurar una transición efectiva hacia una Costa Rica digital.

"Entendemos que el funcionamiento de muchas instituciones públicas puede estar en peligro por lo cual debemos priorizar el tema de ciberseguridad desde el Congreso”, enfatizó la diputada.