Costa Rica presentó su Plan General de la Emergencia por Ciberataques, con el que busca disponer de una estrategia que repare y prevea las vulnerabilidades informáticas, como las que padecieron en abril los sistemas de nueve instituciones públicas -cuyo caso inicial y más emblemático fue el Ministerio de Hacienda- y por los cuales tuvieron paralizado durante semanas el normal funcionamiento de la economía del país. Hoy, la reparación de ese escenario involucrará un desembolso superior a los 20 millones de dólares y evidenció la necesidad de diseñar una estrategia de gobernanza digital integral.
“Mediante los reportes de las instituciones involucradas en esta emergencia, se logra determinar que el costo de atención directa de esta emergencia es de 13.418.907.369 colonos (N.de.R: más de 20 millones de dólares) tanto con recursos propios de las instituciones como con recursos del Fondo Nacional de Emergencias (FNE), en todas las fases de atención de la emergencia” dice el plan -que puede observarse aquí y que surgió de la condición de emergencia del país, con la base rectora del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt); y que estima los fondos públicos que deberán invertirse como consecuencia de las vulnerabilidades perpetradas.
A la hora de los repasos, el reporte cita al informe realizado por el Micitt y recuerda que el ciberataque que padeció el Gobierno de Costa Rica fue del tipo extorsivo, realizado entre el 17 y el 23 de abril de 2022 en perjuicio instituciones públicas como el Ministerio de Hacienda, el Micitt, el Instituto Meteorológico Nacional (IMN), la Radiográfica Costarricense Sociedad Anónima (RACSA), el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC), la Caja Costarricense del Seguro Social (CCSS).
Como en aquel momento, el gobierno identificó al atacante: “El grupo de origen ruso Conti (también conocido como Wizard Spider, TrickBot, Ryuk, UNC1878 y Karakurt) se atribuyó el ciberataque (a excepción del caso de la CCSS que fue un incidente en sus redes sociales y en sus bases de datos que Conti no se atribuyó) y solicitó un rescate de 10 millones de dólares a cambio de no liberar la información sustraída del Ministerio de Hacienda, la cual podría incluir información sensible como las declaraciones de impuestos de los ciudadanos y empresas que operan en Costa Rica”.
“El estado resultante de estos ciberataques es la emergencia por el impacto inmediato que generó en los sistemas informáticos vinculados al funcionamiento de servicios críticos del Estado. Pero esto repercute también en una gran diversidad en la actividades económicas y sociales que afectan a toda la población, en donde se generan pérdidas por el encadenamiento con los servicios de Estado, en relación con temas como el comercio, la importación, la exportación, el pago de impuestos, la atención médica, en pago de servicios, entre otros; en una dimensión que de momento no puede ser estimada”, dice el informe.
Sin embargo, el reporte sí involucró estimaciones sobre el costo que involucró (e involucrará) la restitución del funcionamiento del Estado. Así, del reporte exhibido se desprende, además, que la Caja Costarricense del Seguro Social desembolsó recursos propios por casi 15 millones de dólares (10.000 millones de colonos) y que el Ministerio de Hacienda contó con fondos mixtos en la fase de rehabilitación, es decir, en la que se desplegaron acciones para restablecer las líneas vitales y recuperar la autosuficiencia del área afectada: casi 1.400 dólares (917.500 colonos) provenientes del FNE y otros 1,6 millones de dólares (1.123.625.974 colonos) de recursos propios.
Luego, la fase de reconstrucción o la destinada a la recuperación del área afectada, la infraestructura y los sistemas de producción de bienes y servicios; involucró la inyección de más dinero por parte del FNE: 1,5 millones de dólares (1.049 millones de colonos) a Hacienda; otros 960.956 dólares (641 millones de colonos) al Micitt; unos 98.870 dólares (66.000.000 colonos) al IMN; y otros 516.824 dólares (345 millones de colonos) a Trabajo y Seguridad Social. Además, 42.694 dólares (28,5 millones de colonos) para la Sede Interuniversitaria de Alajuela (SIUA); y 194.745 dólares (130 millones de colonos) al JASEC que, a su vez, requirió de un desembolso extra -cubierto con recursos propios-, por 50.933 dólares (34.000.000 colonos).
Todos estos indicadores, que reflejan la cuantía económica de la vulnerabilidad, surgieron del propio Sistema de Reportes de Daños, Pérdidas y Propuestas de Atención por Declaratorias de Emergencia Nacional, sobre la base de las estimaciones de insumos requeridos y realizados por cada entidad y que la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias (CNE) fiscalizará.
La tragedia forzó a la reflexión y en el marco de este plan se aprovechó a hacer un diagnóstico pormenorizado de 226 instituciones “que pone en evidencia condiciones disímiles de seguridad cibernética, en aspectos como el uso de herramientas y técnica, protocolos, respaldos, asesoría técnica, personal especializado, capacitación, aplicación de auditorías, monitoreo, aplicación y actualización de políticas, regulaciones de acceso, entre los múltiples aspectos que involucran la seguridad de los sistemas informáticos”.
Ese repaso establece que, por ejemplo, de esas 226 instituciones analizadas unas 188 no poseen personal especializado en ciberseguridad al frente de sus sistemas, que 28 de ellas cuentan con sistemas desarrollados por terceros pero que no contemplan aspectos de seguridad y que 41 de ellas no realizan copias de seguridad de los sistemas que tienen alojados por un tercero.
Otro dato que pincela el escenario indica que el 28,8 por ciento de las instituciones cuyos sistemas son administrados por terceros, no poseen la trazabilidad de dichas acciones. Es más, en 38 instituciones no se implementaron sistemas de protección y seguridad DNS; y en 99 no se implementaron doble factor de autenticación en sus sistemas.
Es de esperarse, entonces, que en 41 por ciento de las entidades no se realizaran auditorias de seguridad, y que el 38 por ciento no realice pruebas de restauración de copias de seguridad y que en el 32 por ciento de ellas no se configuró el límite de accesos concurrentes que, por ejemplo, evitaría ataques de denegación de servicios DDoS.
Las razones que permitieron semejante escenario están a la vista pero también las acciones que hoy buscan revertirla. Por ejemplo, el Micitt promueve la creación de un Centro de Operaciones de Seguridad (SOC) mediante el que se garantice la gobernanza con monitoreo permanente de la infraestructura pública, a fin de detectar posibles amenazas, anomalías o intentos de intrusión o ataque.
