EscucharEste martes 31 de mayo, la Caja Costarricense de Seguro Social (CCSS) informó que durante la madrugada fueron atacados sus sistemas, por lo que de manera preventiva se desactivaron las plataformas, incluyendo el Expediente Digital Único en Salud (EDUS) lo que provocó el uso de documentos físicos para la atención de pacientes.
El ataque ocurre después que la misma entidad había sufrido un hackeo en la segunda quincena del mes de abril. La CCSS es una de las 27 entidades donde se descubrieron problemas de seguridad y una de las nueve afectadas desde que el grupo Conti atacó al Ministerio de Hacienda el pasado 17 de abril anterior.
En aquel momento, los sistemas de la CCSS que fueron afectados fueron los de un sistema web de recursos humanos. La entidad había asegurado que ninguna otra plataforma se vio comprometida.
De acuerdo al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) , en la Caja la afectación del primer ataque habría incluido robo de credenciales y en la funcionalidad de sistema informático de sistema de recursos humanos, ataque por medio de SQL inyección y exfiltración de información de una tabla con datos de bitácora (no afectó datos sensibles).
Durante el resto del mes de abril, desde el Micitt se emitieron directrices, avaladas por el Poder Ejecutivo, para que las entidades adoptaran medidas de ciberseguridad, lo que permitió a 18 entidades identificar sistemas vulnerados por Conti o por otros hackers.
El 8 de mayo anterior, el nuevo gobierno de Rodrigo Chaves decretó emergencia nacional y se empezó a implementar un plan liderado por la Comisión Nacional de Emergencia y Micitt, con un primer paso que fue el diagnóstico a cargo del Instituto Costarricense de Electricidad (ICE) sobre el estado de la ciberseguridad en las entidades públicas, incluyendo instituciones autónomas.
El diagnóstico debía estar al final de la semana anterior, pero todavía no han sido revelados por las autoridades.
Entre tanto, los ataques continúan como lo demuestra el caso de la CCSS. El director de Tecnologías de Información y Comunicaciones de la Caja, Roberto Blanco Topping, aseguró este mismo 31 de mayo que las bases del EDUS, el Sistema Centralizado de Recaudación (Sicere), planillas y pensiones no se vieron comprometidas con el ataque cibernético, según el periódico La Nación.
El funcionario agregó que los equipos técnicos de la institución trabajan para tratar de restaurar servicios críticos, pero que no es posible precisar aún cuando estarán en operación.
Cómo actuar
Los grupos de ciberdelincuentes aprovechan y explotan muchos vectores o formas de ataque para cometer su cometido, de extorsión, fraudes o manipulación.
“En el caso de ciberseguridad no hay ninguna bala de plata”, dijo Juan Bustos, gerente país de Sistemas Aplicativos (Sisap). “Los ataques van a continuar y, cada día, con diferentes métodos, formas y, a veces, con mayor sofisticación. Las organizaciones y la sociedad deben entender que esto no va a parar y que no es de la noche a la mañana que se baja un interruptor para que deje de pasar”.
Las previsiones no son positivas. “En este 2022 se espera un aumento en los ciberataques, al tiempo en que los métodos a través de los cuales se concretan estos ataques se vuelven más sofisticados, por lo que todas las empresas deberían contar con un plan de ciberseguridad que les permita detectar riesgos e implementar las medidas adecuadas para protegerse”, dijo Julio Hong, consultor en colaboración y seguridad de Vinet.
Las empresas e instituciones deben ir más allá de un antivirus y de otras soluciones de ciberseguridad básicas para avanzar a programas sostenibles y sistemáticos en el tiempo, para que todos los componentes y capas de seguridad estén integrados y formen una sola barrera, incluyendo herramientas, procesos y educación de usuarios.
“La experiencia dice que las organizaciones que logran este grado de madurez, no es que dejan de ser atacadas. En ellas el factor de riesgo o la exposición que tienen ante un ataque se reduce y se puede detectar, responder, recuperarse y prepararse mejor”, dijo Bustos.
Los especialistas aseguran que las empresas e instituciones están intentando mejorar sus capas de protección y en la formación de sus colaboradores. Pero eso no quiere decir que dejarán de ser atacados. En caso de ser vulneradas, se debe proceder adecuadamente.
Luis Alonso Ramírez, miembro de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC), indicó que una de las primeras acciones que se realizan para contener un ciberataque es aislar el sistema contaminado de los demás sistemas críticos que se encuentran en operación.
La medida se adopta con el fin de que el sistema contaminado no provoque robo o secuestro de información de los sistemas que se encuentran en operación. “Inmediatamente se debe proceder al tipo de ataque, la forma en que el delincuente cibernético se introdujo en los sistemas o bases de datos, con el fin de determinar patrones que permitan establecer mejoras o cambios inmediatos para bloquear su actuación”, dijo Ramírez.
La ciberseguridad es dinámica y está en constante evolución, pues la delincuencia cibernética está probando nuevas formas de robar información de manera constante. Esto hace que las diferentes capas de seguridad que se activan en las organizaciones puedan ser vulneradas en algún momento.
Al mismo tiempo, la ciberseguridad establece nuevos puntos de protección con nuevas capas de defensa para mitigar o controlar este tipo de ciberataques.
Se recomienda utilizar el múltiple sistema de autenticación para proteger a los usuarios y sus contraseñas. Adicionalmente, para proteger a los sistemas más críticos, se debe contar con una solución que permita monitorear cualquier comportamiento anómalo que se presente contra un sistema crítico.
Erick Múñoz, profesor de tecnología de información de la Universidad Latinoamericana de Ciencia y Tecnología (Ulacit), explicó que el análisis forense cuando se detectó un equipo vulnerado incluye el análisis del estado de los equipos y sistemas, del entorno, de los sitios web visitados por los colaboradores y de los datos registrados y afectados.
Esa revisión abarca los sistemas operativos y soluciones utilizadas, así como las credenciales y autorizaciones de acceso.
“Con las máquinas apagadas se quita la afectada para revisarla aparte, en forma aislada, para que no se active el código malicioso”, explicó Múñoz. “Hay que hacerlo con cuidado, como si se anduviera en un campo minado, pues el hacker también podría borrar huellas o activar códigos maliciosos, como los ransomware”
Los ransomware encriptan y extraen información de las empresas e instituciones con fines extorsivos.
Mantenga medidas básicas y avance
Las medidas que deben mantenerse incluyen:
Proteger los equipos y computadoras: las empresas deben asegurarse de que todos los equipos y las computadoras que utilizan sus colaboradores estén protegidas por una solución de protección de dispositivos finales y protección de denegación de servicios y anti spam, entre otros.
Realizar varias copias de seguridad de los respaldos: muchas veces la consecuencia de un ataque cibernético es la pérdida de información de valor y si esta no se encuentra respaldada, puede ser imposible restaurarla. Igualmente, otra recomendación es tener varias copias de la información y en diferentes lugares.
Optimizar contraseñas y mecanismos de seguridad: también es muy importante que las empresas utilicen contraseñas seguras (que sigan las mejores prácticas de ciberseguridad), que se tengan activados los sistemas de múltiple factor de autenticación.
Ejecutar un diagnóstico: de manera periódica, la empresa debería realizar una revisión de todos sus procesos en línea, preguntándose qué tan seguros son, qué riesgos pueden existir y qué mejoras se pueden incorporar para reducir estos al mínimo. A partir de este diagnóstico, debe surgir el plan de ciberseguridad con acciones puntuales que garanticen la protección de la empresa en el largo plazo. Una metodología de auditoría de la ciberseguridad es el llamado hackeo ético.
Capacitar a los colaboradores: las personas trabajadoras son el punto de ataque más vulnerable y, por ende, la empresa, los colaboradores deben tener claro la responsabilidad por la información que manejan y su deber de resguardar.
Contratar un equipo de ciberseguridad: si la empresa no está en capacidad de realizar un diagnóstico, aplicar medidas básicas o se ha detectado un riesgo importante en sus datos, su web, su correo electrónico, sus equipos, sus procesos de compra, entre otros, es esencial recurrir a los profesionales en el área, para evitar mayores consecuencias que pueden significar grandes costos para el negocio.
Recuerde que estas medidas son básicas: debe avanzar con un plan que contemple herramientas y soluciones de ciberseguridad más sofisticadas que tengan la capacidad para enfrentar ataques sofisticados de los hackers.
