El 8 de mayo, el nuevo presidente de Costa Rica estrenó su gobierno declarando el estado de emergencia nacional…de ciberseguridad. Señaló que con él busca enfrentar la guerra contra el grupo terrorista que con ciberataques afectó los servicios del Ministerio de Hacienda desde mediados de abril. Esta semana otro grupo consiguió afectar a La Caja Costarricense de Seguro Social —La Caja entidad encargada de los servicios de salud pública—. Mientras crece la amenaza del ransomware en el mundo, hay temor por la incapacidad de los pequeños Estados para resistir y preocupa que el peligro ronda el barrio.
Un ransomware es un software extorsivo que se introduce en un dispositivo, cifra la información almacenada allí y la secuestra. La extorsión consiste en que se cobra un rescate por las llaves para recuperar la información, con frecuencia cobran también por no divulgar la que copiaron y tienen en su poder.
En abril el grupo de ciberdelincuentes rusos, Conti, dirigió una serie de ciberataques en América Latina que alcanzaron a Perú y tienen en jaque a Costa Rica. Aunque atacaron decenas de instituciones costarricenses, la afectación la sufrieron unas siete con especial impacto sobre el Ministerio de Hacienda y sus sistemas de declaración de impuestos y de comercio exterior. Conti pidió 10 millones de dólares de rescate para devolver el control. Costa Rica decidió no pagar y está navegando el problema.
El BID, junto con Israel, dispuso de un apoyo económico y técnico para Costa Rica, mientras Estados Unidos ofreció una recompensa de diez millones de dólares por la información sobre los responsables. Conti subió el rescate a veinte millones de dólares.
La BBC resumió las afectaciones diciendo que “las aduanas dejaron de procesar los impuestos de las importaciones y exportaciones, se paralizaron los sistemas de recaudación y se suspendieron pagos de salarios de empleados del sector público”, muchas de estas afectaciones continúan.
Hay muchas especulaciones sobre lo sucedido. Las fuentes de la BBC apuntan a que, aunque Conti aparezca como el grupo responsable, tuvo ayuda interna o usó el acceso conseguido por un tercero (afiliado) para infectar los sistemas. La BBC menciona también motivos políticos detrás del ataque que sucedió durante la transición de gobiernos. El nuevo presidente —Carlos Alvarado— habló de la ausencia de inversión de su predecesor en ciberseguridad e hizo énfasis en que hubo ayuda desde adentro.
Por otra parte, las fuentes de la revista especializada Techcrunch son más escépticas: no encuentran evidencias de motivaciones diferentes a las económicas. Dicen que es corriente que se hagan cientos de ataques a múltiples objetivos, si solo uno de éstos da en el blanco de una institución que pueda pagar una alta suma por el rescate, la operación queda cubierta con creces con ese “éxito”. Es decir, Costa Rica simplemente ganó esa lotería. Lo que sí vimos fue a Conti a mediados de mayo animando a las personas residentes del país centroamericano para que presionen al gobierno a pagar o lo derrocarán.
Todavía sin recuperarse de esta situación, el 31 de mayo Costa Rica sufrió un nuevo ataque esta vez por cuenta del grupo Hive que afectó a La Caja, la entidad a cargo de la seguridad social en el país. Miles de personas se quedaron sin su cita médica. Aunque la entidad dice que toda la información está fuera de línea no puede decir cuándo rehabilitará las plataformas de citas. Por cierto, aunque se sabe muy poco del ciberataque sufrido por Caracol TV en Colombia, parece que Hive fue el responsable.
El ransomware es una amenaza mundial que no escatima en víctimas, ha afectado a grandes países con importantes recursos —como Estados Unidos, Alemania o Japón— quienes llevan ya un tiempo buscando mecanismos para responder y mitigar los desafíos. En torno al ransomware se ha desarrollado una millonaria empresa criminal que está en la mira de las agencias de inteligencia y policía alrededor del mundo.
Pero, la capacidad de respuesta de las víctimas en este contexto no es pareja. Mientras las economías más desarrolladas tienen más capacidades, las economías en desarrollo están en desventaja y la pandemia no ayudó. Los grupos que se dedican a esta actividad se beneficiaron de la transformación digital que el aislamiento por Covid-19 facilitó, pues la urgente digitalización de nuestras sociedades aumentó la superficie de ataque, con un acelerador adicional: la urgencia con frecuencia no va a la par con la seguridad digital.
Hay analistas que afirman que, como cada vez es más difícil para estos ciberdelincuentes, tener éxito en economías desarrolladas y sus acciones los exponen más a represalias. Por eso están atacando más en y a países más pequeños. La ganancia puede ser menor, pero es más tranquila. La situación que vive Costa Rica parece estar dándoles la razón, ¿deberíamos acaso pensarla como un ejemplo para la región?
En Colombia ya hemos visto algunos casos de ransomware. Recordemos lo sucedido en la Universidad El Bosque, lo que le pasó al DANE y más recientemente al Invima. Así que imaginar un escenario masivo que ponga en jaque al estado da susto. Hay debilidad en el manejo de la ciberseguridad y toca poner atención en cómo fortalecerla y enfrentarla como sociedad.
Algo más me preocupa de lo que sucede en Costa Rica y es la posibilidad de los ciberataques como armas políticas. La guerra de Ucrania ha mostrado que ésta es un arma más en las guerras contemporáneas. Sin embargo, en medio de las debilidades de nuestras democracias, ¿cómo podemos enfrentar este riesgo cuando ya no solo busca ganancia económica, sino que se materializa como una herramienta de presión política?
Nota. En Karisma publicamos el informe de veeduría electoral a la primera vuelta. Desde entonces y después de la jornada del 29 de mayo vemos que la desconfianza en el sistema electoral se está alimentando de ruido por un posible fraude en esa jornada, Los problemas que se muestran están sobre todo en los formularios E-14 y son preocupantes, pero están identificados y se revisan en los escrutinios. En esta etapa los partidos tienen instancias de reclamación y fue lo que pasó en marzo.
Por otro lado, el proceso (precisamente por la obligación legal de los formularios) deja huella física que permite revisar y verificar. Sí, sería ideal contar con una auditoría técnica, independiente y pública —pues permitiría tener ejercicios que hoy no se pueden hacer, facilitaría los controles a la tecnología y daría más capacidad al Consejo Nacional Electoral (CNE)—. Pero con la trazabilidad que hay no tenerla no significa que no se pueda controlar, sino que se necesita paciencia y muchos ojos mirando. Eso es lo que está pasando.