Así operan 'Conti' y el grupo de piratas informáticos detrás de aparente 'hackeo' a Hacienda

Como si fuese una enfermedad, Conti es una variante de software que salió en el 2020, justamente durante la emergencia sanitaria mundial por COVID-19: los expertos lo catalogan como “uno de los hijos de la pandemia”.

La organización criminal que orquesta estos ataques es de origen ruso y ha tomado fuerza durante la crisis geopolítica que se enfrenta en Ucrania, casualmente en una encrucijada por encontrar maneras de financiamiento y la desestabilización económica, producto de las sanciones que han sido impuestas por Occidente.

Según Adalid Medrano, abogado especialista en delitos informáticos y protección de datos, este grupo se caracteriza por respetar los sistemas cibernéticos de empresas y organizaciones que se encuentren dentro de Rusia y, sobre todo, por ser bastante organizados. 

"Están muy estructurados, tienen personas que se dedican específicamente a negociar, por ejemplo, otras que se dedican a propagar los programas informáticos maliciosos", explicó.

Si continuamos con el ejemplo de la enfermedad, esta variante de ataque es de alta agresividad por la gran cantidad de formas que adquiere; es decir, es una infección que toma muchísimas versiones y logra atacar, de manera simultánea, varios sistemas, tal y como lo explica Esteban Jiménez, experto en ciberseguridad.

Pero, ¿cómo ingresa Conti a un sistema? Según Jiménez, puede lograrse por páginas web o servidores vulnerables que no han sido actualizados en un tiempo específico. Esto quiere decir que el Ministerio de Hacienda costarricense no habría sido elegido como un blanco de víctima, sino que fue gracias al resultado de un sistema aleatorio. 

"Un sistema de descubrimiento automático encontró un servidor vulnerable en la red y lo ataca; y así le da paso al equipo de hackers para que hagan su trabajo", añade el experto. 

Respecto al aparente hackeo, aún no reconocido así por el  Ministerio de Hacienda, Esteban Jiménez indica que, de manera parcial, se podría atribuir a Conti, debido a ciertos posteos preliminares que atribuyen el ataque a este malicioso software. 

¿Se deberá negociar con los hackers para recuperar los datos?

Jiménez explica que, siguiendo el protocolo de respuesta a incidentes, la organización afectada tiene un plazo de 12 horas para establecer con claridad el proceso de investigación, recuperación de información, erradicación de la amenaza y el restablecimiento del sistema, para el caso de Costa Rica, el servicio de Administración Tributaria Virtual (ATV) y TICA.

"Se inicia un contrareloj. Las muestras deben enviarse a un laboratorio para estudiar el tipo de cifrado y así determinar si existe una 'vacuna' o no. Básicamente, el muestreo se tiene que hacer en la primera hora de ataque", añade.

Los expertos consultados coinciden en que este tipo de organización criminal extorsiona al afectado con altas sumas de dinero, aduciendo que en su poder tiene gran cantidad de datos valiosos y sensibles, aunque esto no sea cierto, tal cual, un juego de póker. 

¿Cuánto dinero piden? 

Es variable, pero Jiménez indica que usualmente oscila entre los $5.000 hasta los $50.000 por servidor. En el caso de Costa Rica, se rumora que los hackers tienen en su poder 1.024 gigas de múltiples formatos. 

Por otra parte, Adalid Medrano señala que el Gobierno debe de tomar una decisión con pinzas.

"Uno se pregunta ¿qué pasaría si el Gobierno decide pagar el rescate? Eso conllevaría un incentivo a que grupos criminales ataquen la estructura costarricense, sabiendo que se les va a pagar. Por más sensible que sea la información que está resguardada en Hacienda, no sería prudente pagar porque nos estaríamos convirtiendo en un blanco", concluyó.