Estas fueron las afectaciones en 9 instituciones públicas por ciberataques

(CRHoy.com).- Robo de credenciales, afectación de funcionalidad de sistemas informáticos, exfiltración de información, problemas con cuentas de correo y modificación del sitio web fueron algunas de las afectaciones que sufrieron diferentes instituciones públicas tras los ciberataques ocurridos este año y que provocaron una declaratoria de emergencia por parte del gobierno.

Sin embargo, un informe de la Contraloría General de la República (CGR) determinó que de 7 ataques cometidos, el Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT) solamente detectó 1; además evidenciaron la falta de comunicación entre dicho ministerio y la Comisión Nacional de Emergencias (CNE).

En el documento se detallan los problemas que enfrentaron 9 instituciones públicas:

• Ministerio de Hacienda: Exfiltracion de información; cifrado de información y afectación de la funcionalidad de los sistemas informáticos.
• MICITT: Modificación del sitio web y afectación de la funcionalidad de los sistemas informáticos.
• Instituto Meteorológico Nacional: Exfiltración de información y afectación de la funcionalidad de los sistemas informáticos.
• RACSA: Exfiltración de información y afectación de la funcionalidad de los sistemas informáticos.
• CCSS: Robo de credenciales de RRSS; ataque por medio de SQL inyección; exfiltración de información y afectación de la funcionalidad de los sistemas informáticos.
• Ministerio de Trabajo: Cifrado de información, exfiltración de información y afectación de la funcionalidad de los sistemas informáticos.
• JASEC: Cifrado de información y afectación de la funcionalidad de los sistemas informáticos.
• Sede Interuniversitaria de Alajuela: Exfiltración de información y afectación de la funcionalidad de los sistemas informáticos.
• Ministerio de Salud: Cuentas de personas funcionarias comprometidas.

Insuficiente capacidad instalada

El ente contralor determinó que a 6 meses de la declaratoria de la emergencia y aunque el rol técnico debe ser asumido por el Centro de Respuesta de incidentes de Seguridad Informática (CSIRT-CR), el cual está a cargo del MICITT, el mismo no cuenta con la suficiente capacidad instalada tanto en recursos humanos como tecnológicos para la detección oportuna de incidentes de ciberseguridad.

El 6 de octubre del 2022, la Junta Directiva de la CNE, acordó autorizar la contratación de 8 profesionales en informática y una persona en administración por un periodo de 12 meses; sin embargo, al momento de emitido el informe, la Contraloría no tenía evidencia de dichas contrataciones.

¿Con qué herramientas tecnológicas cuenta el país? La Contraloría determinó que el CSIRT-CR realiza los monitoreos, pero la herramienta utilizada para ese fin solo permite la identificación de un ataque hasta el momento que el sitio web se encuentra fuera de servicio.

"El CSIRT-CR tiene una baja capacidad de detección de incidentes de ciberseguridad, lo cual se evidencia a través de las pruebas de vulnerabilidad de ciberseguridad efectuadas por el ente Contralor en septiembre de 2022, en las cuales se detectaron siete entidades públicas con incidentes materializados adicionales a las incluidas en el Plan General de la Emergencia, e incluso se identificó la firma o alias del grupo atacante, de las cuales el CSIRT-CR únicamente había detectado uno de ellos (sin que hubiese sido notificado por parte de la institución afectada), dificultando la atención oportuna y la toma de decisiones enfocada en prevenir ataques cibernéticos", señaló la CGR.

Una respuesta enviada por el MICITT a la Contraloría y que viene en el informe indica que el CSIRT-CR opera con limitadas condiciones que no le permiten un monitoreo puntal y específico, como los hizo la misma Contraloría en las pruebas de la auditoría.

"No obstante, las pruebas efectuadas por el ente Contralor comprenden la revisión de los componentes externos utilizando la técnica OSINT (Open Source Intelligence) en la cual tan solo se requiere, a nivel técnico, de un navegador de internet para revisar las configuraciones al sitio web de diversas entidades públicas, que en este caso permitieron detectar sitios web comprometidos por ataque "defacement", datos cifrados por "ransomware" y exfiltración de información", explicó la CGR.