Análisis de la situación de seguridad informática: Caso CONTI vs Costa Rica

Raúl Morales (*)

En las últimas semanas en Costa Rica hemos visto el desarrollo de una situación que es un espejo de la importancia que se le ha dado en Latinoamérica a la seguridad de la información.

Este debe ser un caso de estudio por lo cual voy a tratarlo como tal con datos e inferencias exclusivos al área de seguridad y un análisis de posibles secuelas tantos operativas como económicas.

El pasado 17 de abril de 2022 el Ministerio de Hacienda de Costa Rica hizo público un ataque informático en el que según los mismos hackers se copiaron bases de datos de las plataformas de cobro de impuestos tanto tributarios como aduanales y la inutilización del 70% de sus redes internas mediante un virus ransomware. [un virus ransomware bloquea tanto el uso de la computadora como la extracción de datos cifrándolos con una clave].

Posteriormente el grupo se ha extendido a atacar, uno por uno, a los demás ministerios ya sea asumiendo que encontraría las mismas deficiencias en seguridad o con accesos obtenidos durante su previo ataque, las cuales han tenido un éxito menor pero indiscutible, lo cual demuestra la importancia de establecer controles de seguridad en componentes críticos de los gobiernos.

No es secreto que LATAM ha sido “perdonado” una y otra vez por los criminales informáticos, limitándose en el pasado a travesuras como borrar sitios web de instituciones (Honduras en el 2012, 2014 por ejemplo), pero estos ataques de ransomwarehabían sido exclusivos para el primer mundo. Esto ya no es verdad, LATAM es vulnerable y los grupos ciberdelincuentesestán enfilando baterías a blancos fáciles y a los cuales planean sacarle sumas en millones de dólares.

¿Por qué LATAM es un blanco para estas organizaciones?

A grandes rasgos esta es la situación a la que nos enfrentamos y en mi experiencia varios entes tanto públicos y privados en LATAM están en las mismas condiciones, la era de la información ha empujado a nuestro ambiente a cumplir con las siguientes características que facilitan el convertirse en un objetivo para los criminales cibernéticos:

1. Aumento de superficie de ataque: para aumentar su competitividad las empresas han provisto más servicios en línea, lo cual asimismo provee mas vectores de entrada para posibles atacantes, el correo electrónico, los sistemas de gestión, las paginas web… son todos vectores de ataque utilizables si no cuentan con la seguridad correcta.
2. Crecimiento por encima de su capacidad de control: es harto conocido que varias empresas deciden enfocar su potencial en las entradas (llámese ventas, capacidad transaccional, monitoreo, etc.) pero muy rara vez alimentan su presupuesto de seguridad, muchos gerentes lo ven como un gasto en vez de verlo como un seguro.
3. Falta de inversión y capacitación: Los recursos de Tecnología de Información por lo general son compartidos para las tareas de crecimiento, desarrollo y mantenimiento, regularmente la priorización de esas tareas es en ese orden por lo que seguridad y continuidad del negocio tienden a tener la menor prioridad dejando la empresa vulnerable a eventos de este tipo.
¿Cómo efectuó su ataque el grupo CONTI?

Debido a que el estudio forense oficial no ha sido liberado, no sabemos con exactitud donde ni como entraron, pero el modus operandi típico de estos grupos es el descrito a continuación:

El perfil del ataque identificado implica que el formato de ataque fue un ataque a la infraestructura con:

Correos con archivos infectados
Mensajes con scripts maliciosos
Revisión de vulnerabilidades

El mismo que les permitió abrir algún tipo de puerta trasera en el sistema del ministerio, cuando hablamos de una puerta trasera estamos refiriéndonos a un acceso igual al que ostentan los administradores, ya sea una consola o un escritorio remoto.

Una característica de los virus ransomware es que deben de ser ejecutados dentro de la red, dependen de un usuario que los “corra”, por lo que es uno de los virus que mas depende del desconocimiento de seguridad de los operadores o en su defecto de una conexión de escritorio remoto abierta.

¿Cómo puedo evitar ser un objetivo para estos delincuentes?

Mis consejos generales a mis clientes son los siguientes:

La seguridad de su organización debe basarse en la filosofía “Zero-trust”, no deben permitírsele a los usuarios mayores permisos a los mínimos que se requieren para su trabajo, el acceso de un colaborador debe eliminarse en el momento que el mismo deje la empresa.

Los servidores que ofrecen servicios a los clientes o en su defecto a personal fuera de la empresa no debe tener acceso a los servidores de producción directamente sino a través de un sistema REST seguro, además deben probarse cada 6 meses con los últimos descubrimientos en vulnerabilidades.

El personal a cargo del mantenimiento debe tener una bitácora de cambios además de una rutina constante de revisión de actualizaciones tanto del software como de conocimiento de seguridad.

El personal en general debe ser educado en técnicas de ingeniería social, reconocimiento de correos electrónicos fraudulentos y políticas de seguridad en la empresa.

La empresa debe invertir como mínimo en licencias de antivirus, detección de malware en el servidor de emails, monitor de trafico de red y respaldos

Y como punto final la empresa debe crear, mantener y actualizar un manual de políticas de seguridad así como de instrucciones para la continuidad del negocio en caso de cualquier escenario como el que está viviendo la administración costarricense.

(*) Escrito por: Raúl Morales

Master en CiberSeguridad con más de 20 años de experiencia en Tecnologías de Información.

www.raulmoralescr.com