EscucharLa Presidencia asumió el control de las acciones para enfrentar los ataques de los ciberdelincuentes desde mediados de abril anterior, de acuerdo al decreto publicado por el Poder Ejecutivo donde se declara el estado de emergencia nacional en el sector público.
“La Presidencia de la República toma el control del planteamiento, dirección y coordinación de los procesos necesarios para lograr la contención y solución (de los ciberataques)”, indica el artículo 3 del decreto 43542-MP-Micitt publicado este 11 de mayo en el diario oficial La Gaceta.
El decreto no específica cómo se operativizará esa gestión (si lo hará directamente el Presidente Rodrigo Chaves, uno de sus vicepresidentes o la ministra de Presidencia, Natalia Díaz) y lo que señala es que “se tienen comprendidas” —dentro de la misma declaratoria de emergencia— todas las acciones, obras y servicios necesarios para contener, solucionar y prevenir nuevos ataques en contra de los sistemas de información del Estado costarricense.
Se establece, además, que de conformidad con lo establecido en la Ley Nacional de Emergencias y Prevención del Riesgo (N° 8488) la declaratoria abarca todas las actividades administrativas del Estado cuando sea estrictamente necesario para proteger los bienes y servicios, así como ante los daños provocados.
La Cámara de Tecnologías de Información y Comunicación (Camtic) valoró positivamente la medida. “Es oportuno que se haya dado la declaración desde el primer día, porque se le da importancia a las implicaciones de los ciberataques a las instituciones públicas del país”, dijo Diego González, coordinador del capítulo de ciberseguridad de la Cámara de Tecnologías de Información y Comunicación (Camtic).
La Cámara de Infocomunicación y Tecnología (Infocom) también considera que el decreto es necesario.
“Vemos positivamente que la nueva administración valore la situación que ha estado viviendo del país desde hace poco más de dos semanas como lo que es, una emergencia nacional que ha impactado los sistemas necesarios para la exportación e importación de mercancías, las plataformas para el cumplimiento de las obligaciones tributarias y el manejo de datos sensibles de empresas y ciudadanos, entre otras”, dijo Mario Montero, presidente de Infocom.
El Colegio de Profesionales en Informática y Comunicación (CPIC) sostuvo que el decreto es un habilitador para acelerr las inversiones en materia de ciberseguridad enfocadas en prevención, contención y solución. “Este decreto indica que el liderazgo lo tomará la Presidencia de la República”, destacó Alonso Ramírez, miembro de la Comisión de Ciberseguridad del CPIC.
Hasta la semana anterior la coordinación de las acciones estuvo a cargo del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), a través de la ahora exministra Paola Vega y la Dirección de Gobernanza Digital, a la cual pertenece el Centro de Respuestas a Incidentes de Ciberseguridad (CSIRT-CR). El Micitt y el Ministerio de la Presidencia emitieron, además, dos directrices sobre las medidas básicas que debían adoptar las entidades.
‘Desastre inevitable’
El decreto indica que la cesación del estado de emergencia será declarada por el mismo Poder Ejecutivo, una vez que se cumplan las fases de la emergencia (contener, solucionar y prevenir nuevos ataques) y se cuente con el criterio técnico emitido por la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias.
El gobierno reconoció, en el decreto, que si bien es posible contar con acciones preventivas es imposible conocer la magnitud del ataque, la tecnología utilizada, las estrategias de los ciberdelincuentes debido a los avances tecnológicos y los diferentes mecanismos de vulneración de la seguridad informática.
“Se está ante una situación de desastre inevitable, de calamidad pública y conmoción interna y anormal que, sin medidas extraordinarias, no puede ser controlada por el gobierno de la República”, se indica en el decreto.
Se agrega que el Ministerio de Hacienda recibió “un fuerte ataque” cibernético sobre sus bases de datos, y que a la fecha se siguen recibiendo nuevos ataques a los sistemas de otras entidades.
Entre las instituciones atacadas se encuentran los ministerios de Trabajo y Seguridad Social, de Economía, Industria y Comercio (MEIC) y de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Fueron atacadas también la Caja Costarricense de Seguro Social, el Instituto Metereológico Nacional (IMN), Radiográfica Costarricense S. A. (Racsa), el Fondo de Desarrollo Social y Asignaciones Familiares (Fodesaf), la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC y varias municipalidades.
En algunos casos, los ciberataques fueron publicados por el grupo Conti, que utiliza un ransomware para captura de datos y pedía inicialmente $10 millones de extorsión, y en otros se detectó el software maligno en equipos de las entidades cuando se implementaron las medidas básicas de revisión y prevención según una las directrices publicadas por el anterior gobierno.
Conti asegura haber publicado prácticamente la totalidad de la información capturada, pero en algunos casos capturó y encriptó datos, o solo encriptó información, por lo que el proceso de reacción de las entidades incluía revisión de sistemas, detección del ransomware y otras amenazas, limpieza de los sistemas y restauración.
En el caso de Hacienda los servicios de la Administración Tributaria Virtual (ATV) y del TICA (Tecnología de Información para el Control Aduanero) fueron inhabilitados, lo que afectó el cumplimiento de las obligaciones las obligaciones tributarias, a los contribuyentes que utilizan el facturador gratuito de Hacienda y la actividad de importación y exportación.
Recursos
El decreto establece la posibilidad para que las entidades aporten recursos para las acciones que se ejecutarán, lo cual también fue destacado por Camtic e Infocom.
González, de Camtic, indicó que a partir de la declaratoria se podrían alinear esfuerzos, recursos, contrataciones y compras de soluciones de última generación para protección de los sistemas. Además, se prioriza la reactivación de los sistemas que están deshabilitados debido a las implicaciones en la economía.
“Sigue faltando un elemento orquestador, designado por Casa Presidencial, para la implementación de acciones como controles lógicos y físicos, capacitación de funcionarios en todas las instituciones”, dijo González.
Infocom también recalcó que el decreto permitiría a las autoridades nutrirse de fondos, por medio de las vías legales correspondientes, para acelerar las inversiones en materia de ciberseguridad.
Montero también destacó que la coordinación y ejecución de las acciones se realice desde la Presidencia. “Esperamos que eso permita que las acciones sean coherentes, consistentes y tomadas en el cortísimo plazo para lograr volver a la normalidad” argumentó Montero. “Será más estratégico para la autorización y ejecución de operaciones puntuales enfocadas a la contención y solución de los ataques cibernéticos”.
Ramírez, del CPIC, indicó que desde Presidencia la situación tendrá una mayor visibilidad de la amplitud del problema técnico y de la deficiencia en protección existente en el Estado, por lo cual será más estratégico para autorización de acciones puntuales y sin posibles obstáculos legales para la contención y solución de los ataques cibernéticos.
“Es un decreto pequeño, de una página, que indica la importancia de lograr la contención y la solución a los ciberataques de manera urgente y expédita por todas las vías posibles, con los recursos para atender los sistemas víctimas de los ataques cibernéticos y de los que están propensos a ser víctimas de ataques cibernéticos”, recalcó Ramírez.
