El Centro de Respuesta de Incidentes de Seguridad Informática de Costa Rica (CSIRT-CR) del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) confirmó que desde el día de ayer (17/4/22) se comunicó con el Ministerio de Hacienda para informar de una publicación de un supuesto ataque de Ransomware al sistema de Administración Tributaria Virtual (ATV). La supuesta actividad maliciosa identificada es la de “Conti”, malware perteneciente a la familia de los Ransomware y que utiliza la modalidad de extorsión con sus víctimas.

Según informaron desde el Micitt, el equipo de Hacienda les ha asegurado que se encuentran trabajando para determinar si existe evidencia de algún Ransomware dentro de sus sistemas, y que hasta el momento no tienen evidencia que se haya extraído información sensible de las personas o de la institución y que al mismo tiempo sus sistemas utilizan cifrado en el almacenamiento de contraseñas por lo que estas se encuentran seguras y no hay evidencia de riesgo de sustracción de algún tipo de credencial; los respaldos de cifrado de la información son parte de las políticas de seguridad de dicho Ministerio.

Lea también: Sistemas de Hacienda caídos, ministerio omite referirse a supuesto hackeo.

Por su parte Jorge Mora Flores, director de Gobernanza del Micitt, señaló:

Ante las amenazas de incidentes de ciberseguridad, se cuenta con un protocolo de atención de incidentes, el cual fue enviado al Ministerio de Hacienda sumado a los propios protocolos de seguridad con los que ya cuenta el Ministerio. Parte de estos protocolos incluye suspender de forma temporal algunos servicios para garantizar la operación y la seguridad de la información, mientras se determina si existió o no un incidente informático”.

Mora también indicó que el CSIRT-CR envía constantemente alertas técnicas acerca de actualizaciones de seguridad para diferentes sistemas y recomendaciones a seguridad a todo el sector público y el sector financiero del país, y con respecto al tema de Conti ya habían alertado sobre esta amenaza informática en setiembre del 2021 y el 15 de marzo de este año.

Desde el CSIRT-CR confirmaron que para este caso se encuentra en contacto con el equipo de Hacienda y se han puesto a las órdenes para cualquier consulta específica. Así mismo, confirmaron encontrarse en contacto con agencias internacionales que puedan brindarles información actualizadas acerca de nuevos indicadores de compromiso relacionados con estos cibera-delincuentes para poder actualizar a todas las instituciones del país.

Recomendaciones de ciberseguridad

Desde el CSIRT-CR aprovecharon el incidente reportado para recordar a todas las empresas privadas e instituciones del Estado a continuar fortaleciendo sus medidas de seguridad por medio de las siguientes recomendaciones:

  • Aplicar las recomendaciones de seguridad que se han enviado con anterioridad desde el CSIRT-CR.
  • Tenga una sólida protección del correo electrónico y utilice doble factor de autenticación (MFA por sus siglas en inglés).
  • No abra archivos adjuntos de destinatarios que no conozca dado que pueden estar infectados con malware y Ransomware.
  • Utilice una política de privilegios mínimos dentro de los sistemas de su organización.
  • Realice copias de seguridad constantes de su información y sistemas críticos.
  • Mantener actualizados sus sistemas y sistemas operativos con las últimas versiones y actualizaciones de
  • Aumentar los niveles de protección en los equipos que cumplan las funciones de AntiSpam, WebFilter y Antivirus.
  • Verificar y controlar los servicios de escritorio remoto (RDP).
  • En caso de ser víctima de un Ransomware, no pagar por ningún tipo de extorsión.
  • Contactar al Centro de Respuesta a Incidentes en Seguridad Informática (CSIRTCR) al correo [email protected] Este equipo le brindará ayuda para resolver el incidente y le recomendará cómo actuar para recuperar los archivos si existiera ya algún mecanismo probado