La ciberseguridad como cuestión de estado

IMAGE: Koen One Stop Map - Pixabay

Mi columna de esta semana en Invertia se titula «Ciberseguridad: el nivel de las amenazas crece» (pdf), y trata de visualizar la situación en Costa Rica, tradicionalmente uno de los países más avanzados de la región, que está siendo objeto de un ciberataque de ransomware que pretende amenazar nada menos que la estabilidad de su gobierno, planteando con ello toda una nueva dimensión de la ciberseguridad que la eleva de manera clara a cuestión de estado.

La infiltración de los sistemas gubernamentales se inició el pasado abril aprovechando, presuntamente, la salida de un gobierno que no prestó especial atención al tema, y se llevó a cabo utilizando Conti, un ransomware responsable de cientos de ataques recientes, con más de mil víctimas que se calcula han llegado a pagar más de ciento cincuenta millones de dólares en rescates, lo que lo convierte en la variante de ransomware más costosa de la historia. Habitualmente, el uso de Conti ha estado vinculado con grupos rusos apoyados por la administración Putin que lo utilizan con propósitos de desestabilización y como forma de financiarse, pero en este caso, además de resultar muy difícil adscribir el ataque a un origen específico, todo indica que cuenta con agentes infiltrados dentro del gobierno en los que podrían existir no solo motivaciones económicas, sino también políticas.

El presidente del país, Rodrigo Chaves, que se encontró con el ataque ya desplegado en todo tipo de posiciones cuando tomó posesión el pasado día 8 de mayo, se negó a pagar el rescate de diez millones de dólares exigido, lo que ha llevado no solo a la imposibilidad de mantener funciones tan básicas como los impuestos o las aduanas, sino también a elevar el rescate a los veinte millones de dólares y a la publicación de datos sensibles de la administración, en un esquema de double extortion que pretende ejercer cada más presión sobre sus víctimas. El presidente reaccionó declarando el estado de emergencia y afirmando que el país estaba en guerra, y que no se trataba de una exageración, algo que supone un nivel de amenaza y preocupación insospechado en una nación declarada como pacifista que se desmilitarizó completamente por voluntad propia en el año 1948, un hito que se celebra todos los años el 1 de diciembre como fiesta nacional.

En este momento, el ciberataque, con el presunto apoyo de personas infiltradas, alcanza ya a veintisiete organismos gubernamentales que van desde el objetivo original, el ministerio de finanzas, hasta administraciones municipales y gestores de infraestructuras básicas. El gobierno norteamericano ha ofrecido una recompensa de hasta diez millones de dólares por información que sea susceptible de conducir a la identificación o ubicación de cualquier persona con una posición de liderazgo clave en el grupo de crimen organizado transnacional que utiliza la variante del ransomware Conti, y de hasta cinco millones por información que conduzca al arresto y/o condena de cualquier persona en cualquier país que conspire para participar en un incidente de ransomware mediante la citada variante.

Es perfectamente posible que, como afirman algunos analistas, las amenazas con respecto a la estabilidad del gobierno costarricense sean simplemente una forma de llamar la atención y que, en la práctica, estemos ante un ataque con una simple motivación económica, pero lo que no cabe duda es que nos hallamos ante toda una nueva dimensión de la ciberseguridad, capaz de amenazar de manera directa la estabilidad de los países. Y el problema es que, si bien la ciberseguridad se revela como factor fundamental a tener en cuenta y al que otorgar la máxima prioridad con auditorías y uso de esquemas de hacking ético para la detección de posibles puntos débiles, no está siquiera claro que eso sirva para detener un tipo de ataques que se nutren, en muchos casos, de nuevas amenazas y vulnerabilidades en los sistemas que se descubren con relativa regularidad.

Además de prepararse, algo que muy posiblemente el gobierno anterior de Costa Rica descuidó, ¿qué más puede hacerse cuando un grupo de delincuentes, en algunos casos con el apoyo de gobiernos extranjeros, no se conforma con extorsionar a compañías, sino que amenaza la estabilidad de los países y de sus gobiernos? Además de mejorar y cuidar enormemente las prácticas de ciberseguridad, algo sumamente complejo en entornos gubernamentales y que solo surte efecto en el medio plazo, ¿qué más puede hacerse para desincentivar este tipo de ataques y elevar sus barreras de entrada? ¿Estamos, según todo parece indicar, ante una situación que, desgraciadamente, veremos repetirse en muchos más casos, con todos los problemas que ello conlleva.


This article is also available in English on my Medium page, «Cyber-attacks: now a threat to global stability«

10 comentarios

  • #001
    Benji - 18 mayo 2022 - 13:08

    Un caso interesantísimo donde alguien con el ransomware adecuado o con un reducido grupo de crackers de élite puede devenir al país en un caos.

    Propuesta #1.
    Una de los motivos por los que las extorsiones funcionan (Miro a Sánchez y el Sáhara) es porque hay información con la que extorsionar. Si todo el mundo cumpliera las normas y leyes y protocolos, no habría con qué amenazar a un país democrático. Y digo democracia porque nadie podrá extorsionar jamás al ruso o al cubano o al nicaragüense, por ejemplo.

    Propuesta #2
    Otra medida propuesta es la de los chinos y norcoreanos: nada entra y nada sale, muralla virtual, poco funcional para nosotros

    Propuesta #3 – La sensata
    Invertir en educación y ciberseguridad. Debería haber una clase en 4º ESO y 2º Bachillerato y 2º Módulo/3º carrera donde se enseñe a los alumnos a identificar Phishing y otros esquemas, así como a usar el 2MFA biométrico. Ya ellos enseñarían a sus padres (espero).
    Por otro lado, obligar a las empresas y a la administración a usar el Authenticator de Google/Microsoft/Apple como medida adicional de seguridad

    Conclusión
    Con esto no terminas con el cyberataque, pero la idea es hacer tu país tan difícil de funcionar para ellos que prefieran atacar a otro

  • #002
    Gorki - 18 mayo 2022 - 14:00

    Se muy poco de seguridad informática, pero en cualquiera de los sitios donde he trabajado,, si alguien hubiera entrado en nuestros sistemas informáticos, solo habría afectado al trabajo de uno o dos días, pues en todo teníamos copia diaria, semanal. mensual. anual,… y los ficheros incrementales entre copias por lo que hubiera sido cuestión de horas reestablecer la situación del ordenador a un día antes de la destrucción de los datos.

    Pese a todo, creo que hacen falta expertos en seguridad informática en casi todas las empresas donde he trabajado, pues hay una serie de factores que afectan a la seguridad, como es la encriptación de comunicaciones y de datos en el propio ordenador que se dejan muy a su aire, porque nadie sabe como meterlas mano.

    Siempre me preocupó, lo sencillo que es para un programador instalar bombas lógicas en su equipo informático, o robar la información confidencial de la empresa, pero sinceramente no tuve claro como se evitaban esos riesgos.

    • Chipiron - 19 mayo 2022 - 09:02

      Estoy contigo, Gorki. En primer lugar, igual que tu, no soy un experto en seguridad y menos en Ramsonware. Vaya, soy un auténtico principiante a tu lado, por ejemplo.

      Pero desde que aparecen este tipo de ataques constantemente en las noticas, siempre me hago la misma pregunta que tu:

      No se podria uno proteger con backups diarios? Si es necesario, que ni fuesen incrementales ni que el soporte físico de los mismos siguiese conectado físicamente tras el backup:

      En otras palabras, un banco de discos duros que se fuese LITERALMENTE desconectando FISICAMENTE cada dia después del backup de turno hasta realizar el siguiente. Supongo que mi ignorancia en el tema hace que esta reflexión no sea válida pues ya se estaría aplicando si fuese eficaz.

      Puede ser que el «virus» o «gusano» del ramsonware se introduzca o infecte al sistema meses antes de anunciar el ataque? Lo digo porque en ese caso backups completos del sistema anteriores al anuncio del ataque ya estarían infectados y al restaurarlos se volvería a encriptar toda la información..

      En definitiva, desde mi profunda ignorancia, como consiguen cazar a grandes empresas con un gran equipo IT detrás (que seguro que tiene copias de seguridad de todo hechas periodicamente) con este tipo de malware?

      • Lua - 19 mayo 2022 - 10:20

        Pues porque efectivamente, son ataques programados en el tiempo y se aseguran antes de ejecutarlos que hasta la ultima de tus copias de seguridad este igualmente infectada. No es nada nuevo.

        Lo de desmontar los discos a diario, no serviria de nada, estarias en las mismas.

        • Chipiron - 19 mayo 2022 - 10:36

          Eso es lo que me imaginaba..

          Era demasiado evidente que haciendo backups diarios desconectados físicamente pudieses evitar un ataque así.

          Por casualidad, tienes idea cuanto esperan, desde la infección a la encriptaación y petición de rescate? Algun ejemplo concreto o datos concretos de un ataque de Ramsonware (me refiero a datos más tècnicos)?

  • #008
    menestro - 18 mayo 2022 - 14:02

    Bueno, aquí el esquema de Ciberseguridad nacional lo desarrollo el propietario de la cadena de Workcenter, así que no deberíamos preocuparnos demasiado, ¿Verdad? (emoji poo)

    (es majo, pero eso sí, los snacks, de bar)

  • #009
    Xaquín - 18 mayo 2022 - 15:12

    Que le pregunte al Allende, allí donde esté, que si hubiera preferido un ataque cibernético o el ataque clásico dela CIA. No creo que le importara mucho. Es como preguntar, a los muertos de la II GM, si les importaría «irse» por causa de unas bombas nucleares.

    Sin ayuda «interior», ni los algoritmos más potentes son capaces de entrar en cualquier sistema «bien» protegido.

    Y lo de usar el sistema educativo/ domesticador para evitar ataques de ciberseguridad, me parece llevar el modo Marvel a las entrañas del desaguisado educativo, que hay montado en todos los países que se precien de estar avanzados. En algunos claramente medieval.

    La educación es algo más que introducir área tras área de aprendizaje, sobre todo cuando los directores de travesía son incapaces de asumir ellos mismos, toda la parafernalia que implica una alta tecnología.

    Pero en fin, para algo existe la sección de comentarios en las redes sociales.

    Y los USA regalando millones, para encontrar gente capaz de hacer de piratas exclusivos para ellos. Nada nuevo, bajo el mismo sol que alumbró al Imperio Romano y al Imperio Británico. Dejo al español, porque ni eso supo hacer bien (demasiado dependiente del Vaticano)..

  • #010
    Juan Alberto - 19 mayo 2022 - 08:15

    Nada nuevo bajo el sol, mientras las administraciones se empecinen en seguir regalando dinero a Microsoft en vez de invertir en oro tipo de soluciones, esto seguirá siendo el pan nuestro de cada día.

    Es relativamente fácil atacar cuando sabes que tu oponente sólo usa «el sistema operativo único» como cualquier común.

Dejar un Comentario

Los comentarios están cerrados