El 19 de abril de 2022 el nombre del Ministerio de Hacienda de Costa Rica aparecía en el sitio de la Dark Web del grupo de ransomware Conti como una nueva víctima. Junto a su nombre, una entrada publicada en el blog de la banda criminal decía que habían accedido a sus sistemas, cifrado archivos y robado 1TB con información. El grupo demandó el pago de 10 millones de dólares y amenazó con afectar a otros organismos públicos del país para demostrar el alcance que podría tener un ataque masivo a infraestructuras críticas de una nación, si no se contactaban para negociar. Aproximadamente una semana después, el 27 de abril, el grupo aseguraba haber accedido al menos a ocho entidades de Costa Rica y en otra entrada de su blog aparecía el nombre de otro organismo público, pero esta vez era de Perú.
Los ataques a las entidades públicas de Costa Rica interrumpieron varios servicios y actividades, como fue el caso del comercio internacional debido a las consecuencias que provocó en los sistemas de aduanas. Por otro lado, desde el Ministerio de Educación informaron que el pago de salarios de más de 12 mil docentes se vio afectado a raíz del ciberataque. Vale la pena destacar que el presidente saliente de Costa Rica, Carlos Alvarado, realizó una cadena nacional para explicar a la población lo que estaba ocurriendo y las medidas que se estaban tomando, y días después el presidente entrante, Rodrigo Chaves, declaró el estado de emergencia nacional.
Según el medio Wired, esta es la primera vez que un país declara emergencia nacional como consecuencia de ataques de ransomware. Al parecer fueron un total de 27 las instituciones de gobierno de Costa Rica afectadas por esta ola de ataques que comenzaron a mediados de abril con Conti y duraron hasta mayo, cuando el grupo de ransomware Hive, el cual se cree que tiene vinculaciones con Conti, atacó a la Caja Costarricence de Seguro Social (CCSS).
Por otro lado, las presiones ejercidas por el grupo Conti advirtiendo la posible escalada hacia infraestructuras críticas y amenazando a la estabilidad de un país entero fue un hecho que no se había observado antes. Lo mismo ocurrió en Perú, donde Conti en el medio de los ataques a Costa Rica atacó a organismos gubernamentales del país sudamericano y amenazó con afectar a sus infraestructuras críticas y con una escalada similar a la que estaba ocurriendo en ese momento en el país centroamericano.
Todo esto tuvo lugar en un contexto en el que a raíz del conflicto entre Ucrania y Rusia, donde se han registrado distintos tipos de ciberataques, se ha puesto sobre la mesa la necesidad de que tanto empresas como organismos gubernamentales revisen sus procesos y mecanismos de seguridad para prevenir cualquier escalada o cambio en la escena como consecuencia del conflicto geopolítico entre ambos países. Y parte de estas consecuencias también están relacionadas con Conti, el grupo de ransomware que más víctimas se cobró en 2021 y también en lo que va de 2022, el cual se cree tiene vinculaciones con Rusia y del cual se supo más sobre su estructura y cómo funciona luego de que se filtraran chats internos debido a una filtración interna luego de que la banda expresara su apoyo a la invasión de Rusia a Ucrania.
Por todo esto, en este nuevo capítulo del podcast Conexión Segura repasamos qué fue lo que pasó con Conti en Costa Rica, qué está pasando con el ransomware en 2022, qué es Conti y por qué es uno de los grupos de ransomware.