El impacto para una organización puede ser grave, dependiendo de las medidas que se hayan tomado antes, durante y después del ataque.

Revista Mercado

Las amenazas cibernéticas a organizaciones gubernamentales y privadas, ya no son una ficción y forman parte de la realidad para los países de la región de Centroamérica y El Caribe.

En la mayoría de los casos, estos incidentes pasan desapercibidos por la población en general, pues en la región no existen políticas públicas que obliguen a las organizaciones a informar y contabilizarlos; a diferencia de países de Europa y Estados Unidos, en los que sí se tiene esta información cuantificada.

Desde el pasado 19 de abril, en Costa Rica, un grupo criminal denominado «Conti» inició una serie de ataques cibernéticos a distintas instituciones de gobierno bajo la modalidad de Ransomware.

Uno de los objetivos fue el Ministerio de Hacienda, ente encargado de la recaudación tributaria en el país centroamericano. Según autoridades de gobierno costarricense, en efecto, existió un ataque efectivo.

El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) confirmó que desde el 17 de abril sobre una aparente “actividad maliciosa” del grupo cibercriminal «Conti», en el sistema Administración Tributaria Virtual (ATV) y el TICA (Tecnología de Información para el Control Aduanero), administrado por Aduanas.

Por medio de un video el Presidente Carlos Alvarado descartó que el gobierno costarricense fuera a ceder ante las exigencias de pago de «Conti», quienes solicitaban US$10 millones, y posteriormente ofrecía un descuento del 35 por ciento del pago.

Ante la negativa del gobierno costarricense, el grupo criminal lanzó una nueva amenaza advirtiendo que de no recibir el pago requerido atacarían a otras entidades de gobierno y lo cumplieron, atacando y comprometiendo exitosamente a MICITT, Ministerio de Trabajo y SS, y otras dos entidades de gobierno.

Posterior a publicar las brechas penetradas, amenazaron con atacar al sector privado, situación que cumplieron desde la semana del 25 de abril.

Con el objetivo de abordar el tema sobre este tipo de ataques y cómo una organización puede protegerse, revista Mercado tuvo acceso a una entrevista realizada a expertos de SISAP (Sistemas Aplicativos) una empresa experta en ciberseguridad a nivel regional con trayectoria de más de 35 años.

¿Cómo inician los ataques Ransomware?

De acuerdo con Mauricio Nanne, CEO de SISAP, el ataque inicia por correos engañosos (phishing) o explotación de vulnerabilidades (hacking) a la infraestructura de las instituciones.

Una vez logran penetrar las defensas, instalan programas maliciosos conocidos como Malware que les permite tomar control remoto de los dispositivos.

Con esto inspeccionan la red de la institución, buscando información que pueda ser de valor a terceros, como sus clientes o ciudadanos, o a la propia institución.

Una vez encontrada esta información, la extraen y la llevan a servidores bajo su control, posiblemente de terceros, también comprometidos.

Cuando ya han extraído la información, proceden a cifrar o encriptar todo lo que pueden, especialmente los servidores que proveen servicios básicos a la institución, tales como servidores de directorio, bases de datos, servidores de aplicaciones, etc.

¿Cuál es la motivación del grupo ‘Conti’?

La motivación de «Conti» es económico. Ellos mismos fueron brechados, es decir fueron puestos en evidencia y su información fue publicada, se identificó que trabajan como una empresa; tienen alrededor de 350 “ingenieros” y los ingresos en los últimos años exceden los US$2 mil millones.

Hay sospechas e indicios que están apadrinados y probablemente protegidos por el gobierno de Rusia, y posiblemente parte de los ingresos puedan ser para este”, indicó Nanne.

José Amado, Director de Outsourcing Cybersecurity de SISAP señala que «Conti» ha sido conocido como un early adapter incluso innovador de prácticas como el RaaS Ransomware as a Service, la doble extorsión y el pago a particulares por accesos, estas prácticas se han convertido en estándar para otro tipo de atacantes que imitan las estrategias de «Conti».

El Ransoware as a Service consiste en un servicio que los atacantes ponen a disposición de personas particulares para atacar a una entidad u a otro particular, cabe mencionar que el propósito de este servicio es que el contratante no necesita tener ningún conocimiento técnico.

Según Amado, el Ransomware en sus inicios consistía en el secuestro y cifrado de los datos y su posterior liberación si el pago se cumplía, la doble extorsión involucra la filtración de los datos, el atacante tiene secuestrados los datos y amenaza con hacerlos públicos de no realizarse el pago.

“Los hackers buscarán por diferentes medios obtener credenciales para tener acceso a las compañías, la última tendencia es la aparición y promoción de anuncios que ofrecen dinero a cambio de proveer credenciales”, indicó Amado.

¿Cuál es el impacto que tienen este tipo de ataques cibernéticos?

Para Mauricio Nanne, el impacto para una organización puede ser grave, dependiendo de las medidas que se hayan tomado antes, durante y después del ataque. Siempre la prevención será la mejor opción para poder lidiar con este tipo de incidentes, pero para darle una idea podemos resumirlo así:

Si los atacantes logran cifrar los datos, esto repercute con la detención total o parcial de las operaciones de la organización, los números dependerán de cada industria, pero nadie quiere verse forzado a dejar de producir y vender.

El tiempo que demorarán en restaurar la operación dependerá de si contaban con respaldos (backups) o no, y qué tan limpios se encontraban.

Otro tema por considerar es que si los datos confidenciales se divulgan pueden tener impactos legales y reputacionales para la organización. Por lo que, se deberá proveer este tipo de escenarios y actuar rápidamente.

En todo caso, el impacto será alto, requiriendo posiblemente fuertes inversiones, defensas legales y manejo de reputación.

¿Cuáles son las recomendaciones que se pueden dar a las organizaciones?

Este es un tema muy extenso, que amerita programas completos. Sin embargo, dada la urgencia de la crisis vale la pena considerar:

  • Tener buenos respaldos de datos y bibliotecas, validados de que estén limpios y fuera de línea
  • Implementar de urgencia evaluación de vulnerabilidades y mitigación a los servidores, comenzando por los más críticos.
  • Asegurar que los usuarios que tienen cuentas de correo no abran ni hagan clic en correos e hipervínculos sin estar seguros de que vienen de un origen genuino y confiable.
  • Asegurarse que todos los Endpoint tengan una versión reciente (menos de una semana) de su protección (Antivirus o Endpoint Security) idealmente de última generación o que incluya EDR.
  • Habilitar bitácoras detalladas en sus firewalls, IPS, Anti-spam, Gateway de Navegación, Servidores Críticos, con suficiente tamaño para que no se sobre escriban por lo menos en dos meses. Sacar frecuentemente copia de las bitácoras y almacenarlas fuera de línea, para poder hacer una investigación forense en caso de que se comprometan los dispositivos.
  • Restringir al máximo la navegación.
  • Aplicar estas mismas recomendaciones en sus infraestructuras y servicios en la nube.
  • Revisar constantemente bitácoras de los firewalls para detectar tráfico saliente anormal (indicación que están exfiltrando datos).
  • Crear un Plan de Manejo de Crisis, definiendo las funciones de las personas que participarán y el portavoz oficial.
  • Validar que sus proveedores principales también cumplan con estas recomendaciones, para reducir su riesgo de interrupción de cadena de suministro.