El dramático ciberataque que puso a América Latina en alerta

Reading Time: 13 minutes

Este artículo ha sido adaptado del informe especial de AQ sobre la ciberseguridad | Read in English | Ler em português

Escuche este artículo leído por la autora haciendo clic en el botón de reproducción arriba.

El 17 de abril de 2022, Jorge Mora celebraba el Domingo de Pascua en casa con su familia cuando recibió un mensaje en su teléfono: un observador internacional alertaba de que estaba teniendo lugar una brecha de ciberseguridad en el Ministerio de Hacienda de Costa Rica.

Mora era el funcionario más importante del país en materia de gobernanza digital dentro del Ministerio de Tecnología, pero sólo le quedaban tres semanas en el puesto. Se había elegido un nuevo gobierno, que prometía acabar con el anterior, y no había mucho diálogo entre las administraciones entrante y saliente. Además, ya se habían asignado y gastado todos los fondos públicos. No quedaba presupuesto para nada.

“Le dije a mi familia: ‘Tengan paciencia porque tengo que irme y puede que esté ocupado durante unos días’”, recuerda Mora. “No sabía que casi no les vería durante las tres semanas siguientes”.

Costa Rica había sido vulnerada por el grupo de hackers ruso Conti, que ya era conocido por los especialistas en ciberseguridad como el mayor colectivo de ransomware que operaba entonces, habiendo extraído unos 180 millones de dólares de sus víctimas durante el año 2021. Utilizando credenciales comprometidas, pudieron instalar malware en un dispositivo de la red del Ministerio de Finanzas, y eso fue suficiente para propagar la infección. Los atacantes extrajeron cientos de miles de gigabytes de información sobre los costarricenses, publicando una muestra en la dark web. Encriptaron los sistemas del ministerio, lo que hizo prácticamente imposible que el gobierno procesara pagos o recaudara impuestos, y congelaron la agencia de aduanas. Para liberar el sistema del Ministerio y no publicar el resto de los datos robados, el grupo exigía 10 millones de dólares.

El entonces Presidente Carlos Alvarado, a sólo tres semanas de dejar el cargo, se negó a pagar y el ataque del ransomware continuó. Los hackers se hicieron oír y utilizaron un blog para insistir en sus demandas: “El gobierno no quiere admitir que no puede recuperar sus datos, y pidió ayuda a Estados Unidos. Pues bien, estamos cambiando nuestros métodos y empezaremos a atacar a las grandes empresas de Costa Rica. Tendrán que pagarnos”. Durante siete días consecutivos, una institución tras otra sufrió el secuestro y cierre de sus sistemas. Los datos personales de los costarricenses de la Agencia Tributaria se publicaron en Internet, los sueldos de los funcionarios estaban en peligro, las pensiones que debían pagarse esa semana no estaban disponibles y los procesos aduaneros tuvieron que volver al papel. Incluso el servicio de meteorología se vio afectado. “Éramos cinco personas en mi equipo, así que nos turnábamos para dormir turnos de cuatro horas”, cuenta Mora a AQ.

Puede ser que Costa Rica estuviese más preparada que muchos países. Como parte de su candidatura para entrar en la OCDE, el país se había adherido a las exigentes recomendaciones de esa organización en materia de políticas de Internet en 2012, aunque el presupuesto para empezar a implementar las defensas no se materializó hasta 2017. Sin embargo, la irrupción de un grupo de hackers en un gobierno entero no tenía precedentes, era una novedad que los expertos aún no habían visto, ni esperaban. “También veníamos de recortes de gastos en todas las áreas para equilibrar el presupuesto”, dijo Mora. Entre 2019 y 2021, el país había realizado dos ejercicios de ciberataques con apoyo internacional. Mora considera que esas pruebas fueron vitales a la hora de decidir cómo responder. El país también contaba con acuerdos de cooperación que se tradujeron en un rápido apoyo de España, Estados Unidos e Israel, así como de Cisco y Microsoft. Los sistemas donados y el personal facilitado sirvieron para tapar el agujero que el gobierno no podía ni soñar con solucionar por sí solo cuando sólo le quedaban unos días para terminar su mandato.

El lunes después de que empezara el ataque, “pudimos empezar a detectar las brechas lo antes posible y a contener los daños”, dijo Mora. Pero dos semanas más tarde, Mora—y todos los demás implicados en el esfuerzo—ya no estaban en su puesto, sin nadie a quien pasar la batuta. “La única reunión que tuvimos con el equipo entrante fue el viernes antes de la toma de posesión”, dijo Mora. El domingo 8 de mayo, Rodrigo Chaves asumió la presidencia de Costa Rica, y al día siguiente el país se convirtió en la primera nación en declarar un estado de emergencia debido a un ciberataque. Chaves dijo que el país estaba en guerra—es cierto que los atacantes amenazaron con derrocar al Gobierno, pero advirtieron de que se trataba de un ataque de muestra. Para Mora, el decreto supuso que las fuerzas de emergencias que se hicieron cargo lo hicieran sin formación ni conocimientos en ciberseguridad. Los ataques continuaron, mientras Conti duplicó el rescate hasta los 20 millones de dólares y pidió a los costarricenses que presionaran al gobierno para que pagara. En junio de 2022, el sistema sanitario costarricense sufrió un nuevo ataque de otro hacker, que provocó la cancelación de unos 30 000 procedimientos médicos, mientras que la recaudación de impuestos seguía mermada y la mayoría de los funcionarios públicos volvían a utilizar lápiz y papel.

Costa Rica nunca pagó el rescate. La invasión rusa de Ucrania, que Conti apoyaba, dividió al grupo, provocando su desaparición. Pero, como afirmaba el hacker en su mensaje, Costa Rica se convirtió en una muestra, o mejor dicho, en una lección para el resto de la región. “El ataque a Costa Rica también ha aumentado la concienciación en el exterior”, afirma Helmut Reisinger, que supervisa Latinoamérica en Palo Alto Networks. Y teniendo en cuenta que la falta de concienciación en los más altos niveles de liderazgo es uno de los principales puntos vulnerables de la región, puede que sea urgente aprender esta lección. “La ciberseguridad es una cuestión política, cultural y empresarial”, afirma Mora. No un problema informático.

“La ciberseguridad es una cuestión política, cultural y empresarial”.

¿Por qué quedamos rezagados?

Por desgracia, estas advertencias todavía no han tenido mucho eco. América Latina es la región menos preparada del mundo frente a los ciberataques, según la última edición del Índice Global de Ciberseguridad, elaborado por la Unión Internacional de Telecomunicaciones de la ONU. Según el índice y otros estudios, la región está incluso por detrás de África y Asia Meridional en ámbitos como la creación de capacidades y la implementación de medidas legales que son necesarias para reforzar las defensas. Mientras tanto, América Latina es un objetivo especialmente atractivo para los hackers y otros delincuentes digitales: la región sufrió cerca del 12% de los ciberataques globales registrados por X-Force de IBM, a pesar de que sólo cuenta con el 8% de la población mundial.

En parte, el problema es consecuencia de una tendencia positiva: América Latina se ha digitalizado a gran velocidad en los últimos años. La pandemia aceleró el proceso de automatización que ya se estaba produciendo tanto en el sector público como en el privado. La región tiene una de las tasas más altas del mundo de uso de teléfonos inteligentes y redes sociales, y el comercio electrónico, la banca en línea y otros sectores están en auge. Sin embargo, según los expertos, el evidente talento para adoptar nuevas tecnologías ha superado a las ciberdefensas de la región.

“El espíritu emprendedor e innovador de América Latina no está reñido con una preocupación por la seguridad”, afirmó Louise Marie Hurel, miembro del Royal United Services Institute y fundadora de la Red Latinoamericana de Estudios sobre Ciberseguridad. “No es una prioridad política y, con pocas excepciones, la región carece de la infraestructura de ciberseguridad necesaria”, afirmó.

En 2020, sólo 12 estados de la región contaban con una estrategia nacional en materia de ciberseguridad, lo cual se considera un primer paso para organizar la respuesta y defensa de un país. Aunque ese número ha aumentado a 20 naciones en 2023, su implementación sigue siendo un reto. Como dijo un analista de ciberseguridad: “Ha habido muchas presentaciones de PowerPoint, pero muy poca acción”. En 2020, sólo 10 países de la región contaban con una entidad gubernamental dedicada a encargarse de velar por la ciberseguridad, mientras que el déficit de trabajadores cualificados se estima en 600 000 profesionales (y de la fuerza existente, las mujeres sólo representan una cuarta parte, lo que añade una brecha de diversidad al ya de por sí endeble panorama). Este vacío se ha dejado sentir en la escalada de ataques.

Los expertos estiman que América Latina experimenta unos 1 600 ataques por segundo. Según la Interpol, la región batió un récord mundial de ciberataques en el primer semestre de 2020, con tres veces más ataques a través de navegadores móviles que el promedio mundial. Y aunque los hackers se centran prácticamente en cualquier cosa, es especialmente alarmante la lista de ataques recientes contra gobiernos e instituciones públicas.

El sistema judicial brasileño sufrió 13 ataques consecutivos entre 2020 y 2022, paralizando servicios, posponiendo los casos de la gente y corriendo el riesgo de que se destruyeran pruebas. La Secretaría de Hacienda de Río de Janeiro no pudo recaudar ningún impuesto, mientras que los ciudadanos que necesitaban documentos tuvieron que solicitarlos en persona después de que la dependencia fuera atacada en 2022. En Quito, el gobierno municipal tuvo que suspender los servicios a la población en abril de 2022 para poder hacer frente a un ataque de ransomware. El año previo, los argentinos encontraron todos sus datos y documentos personales a la venta en la dark web después de que un pirata informático se infiltrara en octubre en el Registro Civil del país, el RENAPER. El atacante llegó a publicar en Twitter el documento de identidad del astro del fútbol Lionel Messi. Un año antes, el mayor proveedor de Internet del país, Telecom Argentina, tuvo que luchar para restablecer sus sistemas después de que en julio de 2020 un atacante que pedía 7.5 millones de dólares de rescate infectara 18 000 estaciones de trabajo. Este fue sólo uno de los más de 1 500 ataques reportados en Argentina ese año, un 60% más que el año anterior, y la proyección es que el país alcance una cifra récord de ataques en 2023.

El servicio de inteligencia peruano fue atacado por Conti casi al mismo tiempo que Costa Rica, sin que se haya facilitado mucha información al respecto. Los ataques del grupo activista Guacamaya a la Secretaría de la Defensa Nacional (SEDENA) de México filtraron miles de documentos clasificados y correos electrónicos privados, incluso acerca de la salud del presidente de México. El grupo de hacktivistas también vulneró redes militares y empresas mineras en Colombia, Guatemala y Chile. La petrolera mexicana Pemex vio afectados sus sistemas de pago por un ataque en 2019, que según la empresa se contuvo a tiempo y ninguna infraestructura crítica se vio afectada, pero siguen existiendo dudas sobre lo que realmente sucedió.

Automatizar primero, proteger después

Aunque puede resultar difícil precisar el origen geográfico de los ciberataques de alto perfil en América Latina, por lo general proceden de todo el mundo, incluyendo Rusia y China y, cada vez más, de la propia región. Brasil y Venezuela se citan habitualmente como dos focos de actividad hacker. Sin embargo, a pesar de la avalancha de ataques nacionales e internacionales, demasiados responsables de la toma de decisiones, tanto en el sector público como en el privado, siguen considerando el ciberespacio como un problema tecnológico, algo de lo que se ocupan los equipos informáticos, en lugar de un componente estructural que debe abordarse desde las cúpulas directivas y los palacios presidenciales.

“Los líderes de los gobiernos deben trabajar con sus órganos legislativos, involucrando al sector privado y a la comunidad técnica en la asignación de recursos dedicados a la ciberseguridad”, dijo Belisario Contreras, que dirigió el programa de ciberseguridad de la Organización de Estados Americanos (OEA) y hoy es director principal a cargo de las estrategias de seguridad y tecnología en el despacho de abogados Venable.

La llamada de atención suele ocurrir después de que los sistemas hayan fallado y la extorsión haya comenzado. Matías Dib, cofundador y jefe de producto de Hackmetrix, una startup chilena de ciberseguridad, dice que la brecha de seguridad que se produjo en el Banco de Chile en 2018—cuando se robaron 10 millones de dólares del banco—fue un catalizador para que el país desarrollara su ciberseguridad. Aún así, Dib asegura que hasta la fecha se encuentra con clientes que no tienen ni la menor idea del concepto de ciberseguridad. “La mayoría de las empresas acuden a nosotros después de haber sufrido un ataque”, explica Adalberto García, especialista en ciberseguridad de Control Risks en Colombia. “Un cliente incluso tenía las funciones de seguridad incluidas en la tecnología que habían comprado; simplemente no se les ocurrió activarlas”.

Saber más sobre las amenazas podría ayudar a mejorar la conciencia sobre el tema. Pero sin leyes que obliguen a las víctimas a denunciar las infracciones cibernéticas, las empresas e instituciones a menudo tratan de guardar silencio, con el fin de proteger su reputación. “Algunas empresas prefieren pagar el rescate y acabar con el asunto, sin arriesgar su reputación”, afirma García. El objetivo puede ser recuperar sus sistemas—si, como dice García, el hacker es “de fiar”, ya que no hay garantías de que el atacante cumpla su palabra—y evitar un dolor de cabeza reputacional y legal.

Pero si nadie conoce el tipo de ataque sufrido, ninguna persona vinculada al blanco original podrá protegerse. “El ciberespacio está interconectado como una red de carreteras, y todos los que circulan por esa autopista digital pueden verse afectados”, afirma Dib. Y el código de silencio a menudo es inútil; los propios hackers entran en Internet para vanagloriarse o burlarse de la empresa, o simplemente filtran la información adquirida. “A menudo se produce una doble o triple extorsión”, afirma Hurel.

Cuando el conglomerado colombiano Empresas Públicas de Medellín (EPM) sufrió un ataque de ransomware en diciembre de 2022, la empresa compartió muy poca información. “EPM dijo que solo se habían visto afectados los datos de los clientes, pero estaban enviando camiones cisterna con agua a los barrios que no tenían servicio, y muchas zonas estuvieron a oscuras, sin energía, durante un largo periodo de tiempo”, dijo Camilo García, editor del blog MuchoHacker.lol. Otros blancos colombianos fueron atacados casi al mismo tiempo que sucedió la brecha de seguridad de EPM, lo que plantea interrogantes sobre la posible coordinación entre los hackers. Los sistemas de las filiales del proveedor de servicios sanitarios Keralty fueron desconectados, lo que impidió a los pacientes y al personal médico recibir o prestar asistencia, mientras se filtraba información personal de los clientes a la dark web. Para Camilo García, como las empresas no están obligadas a informar de las infracciones, Colombia se ha convertido en un arenero para los hackers. “Todos los grupos de hackers están aquí, probando todo tipo de ataques diferentes, ensayando para objetivos más grandes”, afirma.

“Esa falta de requerimientos de información es uno de los puntos más débiles de América Latina”, dijo Dib, de Hackmetrix. “Corresponde a los gobiernos hacer que sea obligatorio presentar denuncias”.

Superficie digital

Durante la pandemia, incluso los cartórios o notarios de Brasil, conocidos por su predilección por el papel, desarrollaron un sistema de videoconferencia para validar documentos oficiales a distancia. Pero ese impulso hacia la digitalización de la información sensible también conlleva riesgos evidentes. “América Latina tiene muchas infraestructuras de vital importancia, desde los oleoductos y gasoductos de los miembros de la OPEP hasta instituciones financieras que operan a escala multinacional”, explica Reisinger. La expansión digital avanza más rápido que la disponibilidad de talento para hacer que esos sistemas sean seguros, y eso no solo es un problema para América Latina. En una encuesta realizada por el Foro Económico Mundial, el 59% de las empresas globales afirmaron que sus equipos carecían de las competencias necesarias para responder a una brecha de ciberseguridad.

Dada la escasez de talento, en muchos países latinoamericanos la tarea de apuntalar las ciberdefensas ha recaído en los militares. En Brasil, las fuerzas de seguridad y el comando militar de ciberdefensa se convirtieron en la columna vertebral de la gobernanza de la seguridad digital del país. “A veces convertirlo en una asunto de defensa es la mejor manera de encontrar la asignación presupuestaria para la ciberseguridad”, dijo Hurel. Aún así, Brasil es con diferencia el país más atacado de la región, y se encuentra entre los 10 primeros a nivel mundial, según datos compartidos por Palo Alto Networks. “Las organizaciones brasileñas, en su conjunto, parecen estar menos conscientes y educadas en relación a cuáles son las mejores prácticas y los riesgos cibernéticos, y sobre qué hacer en caso de un ataque”, dijo Reisinger a AQ.

No todos los hackers lo hacen por dinero. El grupo activista Guacamaya, que filtró decenas de terabytes de datos robados sobre un proyecto minero en Guatemala y sobre los militares mexicanos y chilenos, dice defender la naturaleza y luchar contra la opresión, el neocolonialismo y el modelo extractivista en la región. Su principal objetivo es hacer pública la información. “Me puse en contacto con ellos y me enviaron varios terabytes, apenas puedo rascar la superficie”, afirma García, el bloguero colombiano. Reisinger afirma que los acontecimientos geopolíticos influyen enormemente en la elección de objetivos de muchos ciberactores, ya sean actores patrocinados por el Estado o hacktivistas.

Algunos hackers parecen empeñados en socavar la democracia. La manipulación digital de la información ha sido un reto constante para los gobiernos y los procesos electorales, pero los ataques directos también constituyen una amenaza. El tribunal electoral brasileño sufrió varios ataques durante las elecciones regionales de 2020, dirigidos al sistema de recuento de votos. Según el tribunal, los hackers solo consiguieron retrasar el recuento, pero eso ya fue suficiente para que los brasileños, acostumbrados a conocer los resultados electorales minutos después del cierre de las urnas, desconfiaran profundamente del sistema.

Se puede gestionar

Por abrumadores que parezcan los retos, la buena noticia es que las soluciones están bastante claras. “A pesar de nuestros mejores esfuerzos, los ciberataques persistirán, al igual que seguimos expuestos a la delincuencia callejera. La clave está en diseñar estrategias para minimizar estos riesgos”, señala Contreras. Implicarán voluntad política, tecnología, recursos, personal y, sobre todo, conciencia de que los sistemas digitales y las ciberredes son vías públicas.

Los expertos coinciden en que las políticas públicas nacionales son esenciales, pero después de diseñar y aprobar una estrategia de ciberseguridad, ponerla en práctica puede convertirse en todo un reto. “Pasar de la estrategia a la implementación es clave”, dijo Kerry-Ann Barret, gerente del Programa de Ciberseguridad de la OEA. “Promovemos que haya una partida presupuestaria específica en los presupuestos nacionales, al igual que todos los presupuestos tienen una partida para la defensa nacional”, apuntó.

El establecimiento de una ruta clara para que las fuerzas del orden investiguen y pongan freno a la impunidad contribuiría en gran medida a aumentar la protección. “Tenemos la tecnología, ahora necesitamos voluntad política para destinar recursos a los equipos cibernéticos encargados de hacer cumplir la ley”, afirmó Elvis Secco, agregado de la Policía Federal de Brasil en la embajada del país en México. Tanto las empresas como las instituciones públicas necesitan tener claros canales de comunicación con las autoridades, con requisitos de información que faciliten las investigaciones y eviten la propagación de infecciones. Las normas de cumplimiento resultan útiles para incitar a las personas y las organizaciones a actuar.

Barret también destacó la necesidad de preparar a los diplomáticos de la región, dado el crucial papel que desempeñan las organizaciones multilaterales y los foros internacionales a la hora de abordar el reto de forma cooperativa. “La amenaza aumentará casi inevitablemente, pero más que alarma, necesitamos una aceptación de la realidad”, dijo Barret a AQ, “para que dejemos de poner curitas e institucionalicemos las competencias digitales que necesitamos”.

La OEA ha estado presionando a los Estados miembros para que trabajen juntos, ofreciéndoles formación y recursos técnicos. Pero cuando se trata de colaborar, un experto afirma que la región se enfrenta a otro gran obstáculo: la confianza, especialmente entre el sector privado y los gobiernos. Para varias industrias, existe el reto adicional de cooperar sin coludirse de una manera que podría violar las leyes antimonopolio, pero las soluciones creativas son posibles. El sector financiero latinoamericano, uno de los primeros blancos de los ciberdelincuentes, es visto por los analistas como un segmento que coopera eficazmente para evitar las amenazas. “El sector bancario fue capaz de encontrar formas de compartir información sobre seguridad”, afirmó Hurel.

Todos los expertos consultados por AQ coinciden en que la primera línea de defensa es bastante sencilla: La formación básica en todos los niveles de cualquier organización, e incluso en los hogares, es fundamental. Según un estudio de IBM, el error humano es la causa principal del 95% de las brechas cibernéticas. “El phishing es la razón número uno por la que las empresas resultan invadidas”, afirma García, de Control Risks, “y una vez que una persona hace clic en un mensaje infectado, las instituciones rara vez proporcionan canales internos para que lo denuncien.” Conocer el riesgo y dar la voz de alarma puede evitar que un simple descuido se convierta en un desastre mayor.

De hecho, tras el estallido de la crisis de 2022 en Costa Rica, Mora descubrió que la brecha inicial en el Ministerio de Hacienda se había detectado dos días antes de que él recibiera el mensaje del observador internacional. “Pensaban que podían ocuparse de ello internamente, que no era gran cosa”, dijo Mora. Una mejor comunicación y una mayor concientización sobre la amenaza a la ciberseguridad a la que se enfrenta América Latina serían un excelente punto de partida.

Tags: Costa Rica, cybersecurity, Technology