El recientemente constituido gobierno de Rodrigo Chaves en Costa Rica se enfrenta al que posiblemente sea el mayor ataque de ransomware de la historia, o cuando menos, presuntamente el más ambicioso. Hasta el punto de que la amenaza que formula el grupo en caso de que sus demandas económicas no sean satisfechas es nada menos que derribar al gobierno.
La infiltración en los sistemas de información gubernamentales se inició el pasado abril utilizando Conti, un software habitualmente utilizado por un grupo ruso con presunto apoyo de la Administración Putin, que ha logrado convertir el delito informático en una palanca estratégica tanto para amenazar la estabilidad mundial como para financiarse.
Sin embargo, aunque la herramienta tiene esos orígenes, resulta obviamente muy difícil trazar el origen del ataque, que ha conseguido infiltrar y cifrar archivos fundamentales para el funcionamiento del ministerio de finanzas, entre otros los relacionados con la gestión de aduanas y de impuestos.
A partir de ahí, y supuestamente con el apoyo de personas infiltradas en la Administración del país, el ciberataque ha alcanzado 27 instituciones gubernamentales incluyendo administraciones municipales y gestores de infraestructuras. Todo ello en el contexto de un Gobierno cuyo presidente llegó a su oficina el pasado día 8 de mayo.
En este momento, los atacantes han duplicado su petición de rescate inicial a 20 millones de dólares, y han amenazado con tirar el Gobierno si sus demandas no son satisfechas, en lo que algunos analistas afirman que es simplemente un farol destinado a hacer ruido elevar la presión sobre el Gobierno en un ciberataque que podría estar únicamente motivado por el beneficio económico, pero que da a la cuestión una dimensión política que hasta el momento no tenía.
A lo largo de los últimos dos años, se calcula que Conti ha sido utilizado en cientos de ataques de ransomware con más de 1.000 víctimas y por encima de ciento cincuenta millones en pagos de rescates, lo que lo convierte en la variante de ransomware más costosa jamás conocida.
¿Que puede hacerse contra ciberataques que son capaces de incapacitar funciones de un Gobierno?
¿Que puede hacerse contra ciberataques que son capaces de incapacitar funciones de un Gobierno como el cobro de impuestos, el funcionamiento de las importaciones y exportaciones o la operativa de infraestructuras básicas de un país, además de amenazar con la publicación de datos personales de todos sus ciudadanos o del funcionamiento de la propia administración?
Obviamente, la primera respuesta es reforzar las prácticas de ciberseguridad, pero sin duda, hablamos de algo que es mucho más fácil decir que hacer, y en donde, además, nos encontramos con elementos de muy difícil control cuando hablamos de la administración de un país.
De hecho, el primer argumento utilizado por el presidente entrante en Costa Rica ha sido el de denunciar el abandono de la inversión en ciberseguridad y las escasas reacciones a los ciberataques que llegaron cuando el Gobierno precedente estaba ya en su fase de salida del poder.
El Gobierno costarricense declaró el estado de emergencia el pasado 10 de mayo, y su presidente afirma que "estamos en guerra, y eso no es exageración". La evidencia de que hay colaboradores del ciberataque infiltrados en la Administración, por otro lado, puede interpretarse tanto como una búsqueda del lucro por parte de oportunistas que han aprovechado la debilidad de un gobierno recién constituido, o como una forma de insurgencia que esté tratando de amenazar su estabilidad.
Las respuestas a este tipo de ciberataques no pueden consistir simplemente en tratar de hacer las cosas bien y de ser muy escrupulosos con los protocolos de ciberseguridad.
Por supuesto, eso es algo que resulta fundamental hacer y que debe apoyarse en el uso habitual de herramientas como las auditorías de seguridad y el hacking ético que identifique vulnerabilidades, pero no puede permitirse que este tipo de grupos operen en prácticamente total impunidad, y se conviertan en un medio de desestabilización y de generación de financiación.
Además, como en todo ataque de ransomware, pagar nunca es la opción recomendable dado que no garantiza nada: ni la recuperación de los archivos cifrados, ni el fin de las amenazas y peticiones.
El Departamento de Estado norteamericano ofrece una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación y/o ubicación de cualquier persona con una posición de liderazgo clave en el grupo de crimen organizado transnacional que utiliza la variante del ransomware Conti. Y hasta cinco millones por información que conduzca al arresto y/o condena de cualquier persona en cualquier país que conspire para participar en un incidente de ransomware mediante la citada variante.
Parece difícil que este tipo de casos se solucionen de un día para otro -incluso aunque los responsables de este grupo fuesen capturados-. Seguramente, la situación tienda a empeorar antes de que el uso habitual de buenas prácticas eleve las barreras de entrada a los ciberdelincuentes y la mejore. Todo indica que deberemos estar preparados para encontrarnos con este tipo de problemas de manera tristemente habitual.