El Centro de Informática (CI) de la Universidad de Costa Rica (UCR) reveló en el pasado jueves 28 de abril en el diagnóstico Ransomware Conti que, entre el 18 y el 27 de abril del presente año, se registraron 63.930.784 de intentos de acceso desautorizados a los sistemas de la institución.
Henry Lizano, director del CI, afirmó que todos los intentos de infiltración de Conti a la UCR han sido mitigados: “Hasta el momento hemos detenido desde el lunes que apareció en Hacienda a la fecha más de 60 millones de probables ataques”.
Esta no es una situación que aqueja únicamente a la UCR, otras instituciones estatales como la Universidad Nacional (UNA) y la Sede Interuniversitaria de Alajuela (SIUA) han reportado accesos sin autorización a sus plataformas.
“Debemos cambiar la percepción de que la seguridad es un gasto y verlo más bien como una inversión en la protección de uno de los activos más valiosos de cualquier organización, su información”, Henry Lizano.
Axel Hernández, director de la Dirección de Tecnologías (DTCI) de la UNA, dijo a UNIVERSIDAD que la institución reporta un promedio de 170 mil intentos de ataques a sus sistemas digitales al mes.
Por su parte, Noelia Soto, directora administrativa de la SIUA, afirmó que tuvieron que bajar casi todos los dominios de la red institucional como medida de seguridad contra el ataque de los ciberdelincuentes a uno de sus servidores el pasado 25 de abril.
“El filtrado de datos se presentó solamente en el servidor de Git, todos los demás servicios del dominio siua.ac.cr se están reestableciendo de manera paulatina, los servidores y otros equipos fueron revisados para asegurar que solo existe este único filtrado de datos”, comentó Soto.
Tanto la Rectoría de la Universidad Técnica Nacional (UTN) como el Departamento de Administración de Tecnologías de Información y Comunicaciones del Tecnológico de Costa Rica (TEC) afirman que sus instituciones no han experimentado ningún ataque cibernético a la fecha.
El CI ha detenido en múltiples ocasiones el ingreso del ransomware Conti. “Esto lo sabemos por el bloque de conexiones SSH y RDP, el bloqueo de las direcciones de Mando y Control de Conti y los IoCs o indicadores de compromiso”, comentó Lizano.
A pesar de esto, Lizano explica que no se puede atribuir todas las amenazas únicamente a esta organización delictiva, debido a que también podría tratarse de cualquier otro tipo de malware de ransomware, como Ryuk.
Impacto de la ciberdelincuencia
La Sede Interuniversitaria de Alajuela ha sido la institución donde las infiltraciones han tenido mayor impacto. “El pasado 25 de abril, los ciberdelincuentes encontraron un servidor que maneja el versionamiento de una página web en desarrollo, que se encontraba desactualizado desde enero del 2022. Utilizaron una vulnerabilidad del servicio git para bajar el código de algunas páginas que estaban en desarrollo en dicho servidor”, explicó Soto.
Agregó, que esta ha sido la única ocasión registrada en la que se detectó el ingreso al sistema. Igualmente, comentó que espera que para esta semana nuevamente se disponga de las plataformas para el acceso del personal y estudiantado de la institución.
El Centro de Informática señala dos afectaciones importantes producto del ingreso sin autorización a los sistemas digitales por parte de los hackers. “Primero, el cifrado de los archivos de las bases de datos, esto impide el registro y lectura de cualquier tipo de transacción, esta acción es mejor conocida como sistema caído. Segundo, el cifrado de archivos del sistema operativo o la elevación de privilegios que permiten inhabilitar los servicios, bloqueando su acceso”, explicó Lizano.
Ahora, ¿por qué se busca el acceso a la información y sistemas de una institución? Lizano explica que este secuestro de datos busca un pago económico para evitar la filtración de información y permitir nuevamente el acceso a las plataformas.
“El objetivo principal es el de obtener un pago por el rescate de la información cifrada (secuestrada), estos grupos criminales inclusive reclutan personas dentro de las organizaciones a las cuales les prometen hasta un 5% de las ganancias obtenidas. Estos recates se solicitan en criptomonedas, normalmente Bitcoins, los cuales no son rastreables y mantienen el anonimato de los delincuentes”, detalló Lizano.
Refuerzo de la Seguridad Digital
A razón de los ataques a la UCR, el Centro de Informática propuso varias recomendaciones a la institución para mejorar su nivel de seguridad cibernética. Además, Lizano resaltó la importancia de invertir en protección digital.
“Debemos cambiar la percepción de que la seguridad es un gasto y verlo más bien como una inversión en la protección de uno de los activos más valiosos de cualquier organización, su información”, comentó Lizano.
Dentro de las medidas se menciona la actualización de contraseñas y parches, el bloqueo de direcciones provenientes de Rusia y China, el acceso obligatorio mediante VPN a servidores remotos y la divulgación constante de información preventiva para la comunidad universitaria, entre otras.
La SIUA, al ser la institución que mayor afectación ha tenido por los hackeos, estableció nuevos protocolos de protección y aumentó en general su ciberseguridad.
“Se han aplicado una serie de medidas de seguridad a los equipos y servicios, como cambios de contraseña, escaneos automáticos, filtros de acceso más restrictivos, ingreso de indicadores de compromiso CONTI a nuestros equipos Firewall, entre otros. Hemos recibido un gran apoyo de distintas universidades y el Conare, en el proceder ante este incidente”, informó Soto.
En la UNA, desde la DTIC se han reforzado los esfuerzos para prevenir posibles ataques. “Se han implementado medidas permanentes y preventivas para minimizar los riesgos potenciales de estas amenazas (..), entre las principales medidas están el respaldo de los servidores que soportan las plataformas tecnológicas institucionales de manera diaria y la verificación de los firewalls”, detalló Hernández.
