Empresa estatal afirma que servicios de televisión y telecomunicaciones no fueron vulnerados.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), así como el Instituto Costarricense de Electricidad (ICE) confirmaron este jueves que cibercriminales de origen chino vulneraron un servidor de la empresa estatal, sustrayendo 9 GB de correos internos de la institución.
Así lo dieron a conocer la mañana de este 12 de marzo la ministra Paula Bogantes Zamora, el presidente ejecutivo del ICE, Marco Acuña Mora y personal técnico de ambas entidades.
Bogantes afirmó que la empresa Mandiant, del grupo Google, alertó en febrero al gobierno de la existencia de una brecha de seguridad en la infraestructura del ICE perpetrada por un "actor de amenaza con posible origen de China", a partir de lo cual se estableció una coordinación técnica entre los equipos del ministerio y el ICE para el análisis y seguimiento del incidente.
"Como parte del proceso de investigación, un análisis forense técnico realizado por un ente experto especializado en la materia, confirmó la presencia de este actor de amenaza con énfasis o con enfoque en la industria de telecomunicaciones, y cuyo objetivo es el ciberespionaje. A partir de los resultados, el Micitt se contactó con el gobierno de los Estados Unidos, quienes nos están apoyando y coordinando esfuerzos para la atención del incidente", detalló la ministra.
Según Bogantes, este actor de amenaza ha sido identificado en 42 países y su enfoque son las empresas del sector telecomunicaciones y el ciberespionaje.
Marco Acuña, presidente del ICE, señaló que detectaron la primera actividad sospechosa en los sistemas a finales de enero, momento a partir del cual empezaron a aplicar protocolos para contener la actividad irregular. "Después iniciamos las conversaciones o activación de servicios de ciberseguridad externos que tenemos con proveedores de Estados Unidos, y durante ese periodo de enero a la fecha, se han identificado movimientos en la red informática de la institución", agregó.
Acuña precisó que el incidente no afecta las redes de electricidad o telecomunicaciones, que son los servicios críticos de la empresa, pero sí las redes de tecnología de información que manejan los correos electrónicos de la institución, específicamente información administrativa.
Definitivamente se trata de un grupo —por su actividad por su comportamiento, tanto por lo que nosotros hemos visto con nuestros expertos como lo indiciado por los especialistas externos que tenemos—, dedicado al ciberespionaje. ¿Qué significa eso? Pues que roban información para diferentes fines, que no creo que sean fines transparentes y lícitos. De la información, sí voy a mencionar un dato, hemos logrado notar la extracción de 9 GB de información, de correos electrónicos, entre otros, de un total pues muchísimo más grande".
El presidente de la empresa estatal afirmó que alguna de esa información vulnerable puede ser considerada "sensible", pero reiteró a la población que no hay afectación en los servicios que se les brindan.
Acuña afirmó que interpuso una denuncia penal ante el Ministerio Público por este hecho, pues el ciberespionaje es un delito tipificado en la normativa nacional e internacional. Según dijo, la denuncia contiene una cronología de hechos, así como los informes internos y externos recibidos sobre el caso.
La ministra Bogantes rechazó en un inicio especular sobre si los cibercriminales podrían haber sido contratados como parte de una conspiración, producto del retiro de visas por parte de los Estados Unidos a funcionarios públicos costarricenses, debido a sus posiciones respecto a la negativa del gobierno de Rodrigo Chaves Robles de permitir que tecnología de empresas chinas se pueda emplear en nuevas redes de telecomunicaciones en el país.
Es prematuro en este momento decir más allá o compartirles información más allá de la que les hemos dicho porque como dije, es una investigación que está en curso y como indicó don Marco Acuña, el ICE además presentó la denuncia ante el OIJ para que el organismo haga lo propio, investigando algún posible responsable dentro de la institución".
Sin embargo, momentos después afirmó que los actores de amenaza suelen ser financiados "por otros gobiernos" y descartó haber tenido comunicación con el gobierno de China respecto a este tema, pero dijo que lo harán posteriormente a que la amenaza sea contenida.
El presidente del ICE afirmó que el servidor afectado se encuentra en Costa Rica y no en la nube; y que entre lo vulnerado hay correos electrónicos de empleados y correspondencia interna, aunque puso en perspectiva que la empresa estatal tiene unos 10.000 GB de información de ese tipo, y solo 9 GB habrían sido extraídos.
Acuña agregó que están estudiando si el hecho de que ocho de los diez componentes críticos de los sistemas del ICE tienen tecnología de la empresa china Huawei podría estar relacionado con esta situación.
La ministra Bogantes afirmó que el presidente Chaves y la presidenta electa Laura Fernández Delgado se encuentran debidamente informados de esta situación, y que la misma no fue comentada en la conferencia de prensa del miércoles porque "son noticias que tenemos que tener mucho cuidado de cuándo se informan y hoy es el momento oportuno para hacerlo".
Bogantes finalizó diciendo que durante el 2025, el Micitt atendió más de 118 millones de intentos de ataque cibernético que fueron contenidos por su División de Ciberseguridad.