Ministra tras hackeo al ICE: ‘Esto es un llamado de atención a los países: ojo con quién hace negocios’

Paula Bogantes, jerarca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), afirmó que el hackeo al Instituto Costarricense de Electricidad (ICE) debería servir como advertencia para Costa Rica y el resto de países sobre sus socios tecnológicos y comerciales.

“Esto es un llamado de atención a los países: ojo con quién usted hace negocios, si es un gobierno que comparte sus mismos valores o no”, recalcó la ministra, en una entrevista con La Nación.

Así respondió luego de que se le consultara sobre el origen del ataque y su presunto vínculo con China. El jueves 12 de marzo, ella había informado de que el punto de origen del ataque se localizaría en el gigante asiático.

El viernes, Bogantes insistió en que todavía no tienen certeza de ese vínculo, que los análisis siguen en marcha y que, por lo tanto, no se han comunicado con ningún alto cargo chino.

No obstante, enfatizó en que, si se confirma la procedencia del ataque informático, el episodio evidenciaría la importancia de evaluar con cuáles gobiernos se debería mantener relaciones en áreas estratégicas.

Actualmente, la empresa china Huawei es una de las principales proveedoras de tecnología del ICE y tiene interés en participar en el concurso para el desarrollo de la red 5G.

Sobre ese tema, la ministra recordó que Costa Rica fijó en el 2023 requisitos de ciberseguridad para el despliegue de esa red, incluida la exigencia de que las empresas participantes provengan de países que hayan firmado el Convenio de Budapest sobre Ciberdelincuencia, algo que China no ha hecho y que excluiría a Huawei de entrada.

Recalcó que esperaría que los países firmantes de ese tratado internacional se comprometan a desarticular células de ciberdelincuencia en sus territorios.

“Haremos lo propio con China, pero yo no puedo garantizar que China vaya a desarticular esta específica ‘Amenaza Persistente Avanzada’; es muy lamentable”, indicó.

Roce diplomático

El jueves, después de que Paula Bogantes anunció el hackeo de un universo de aproximadamente 9 GB de correos electrónicos de funcionarios del ICE y su presunto ligamen con China, la embajada en Costa Rica expresó su “profunda sorpresa y decepción” por las declaraciones de funcionarios de la administración del presidente Rodrigo Chaves Robles.

“Sacrificar las relaciones entre China y Costa Rica para complacer a otros países no logra ganar el respeto de nadie”, aseguró un portavoz de la misión diplomática, al tiempo que calificó de infundadas las “acusaciones formuladas por ciertos funcionarios costarricenses” y rechazó categóricamente los señalamientos.

“Hasta la fecha, la parte china no ha recibido ninguna solicitud de asistencia ni evidencia presentada por el Gobierno costarricense. Cabe subrayar que China no tiene ningún interés en los datos de Costa Rica”, se consignó en la nota diplomática.

Sin confirmar origen chino de hackeo

Bogantes reconoció este viernes que aún no tienen certeza sobre el origen del ataque informático. “Al día de hoy no podemos asegurar al 100% que se trate de un actor de amenaza o ciberdelincuente con procedencia china”, informó.

Según explicó, la hipótesis se basa principalmente en análisis técnicos realizados por distintos equipos especializados.

En el proceso, han participado el Micitt, el equipo de ciberseguridad del ICE, la firma internacional Mandiant —perteneciente a Google— y una empresa privada contratada por el Instituto para apoyar en el análisis forense.

De acuerdo con Bogantes, especialistas de Mandiant emitieron una alerta en febrero y, con base en esa información, iniciaron los estudios, aunque el ICE, de previo, ya había notado algo extraño.

Justo ese mes, el Grupo de Inteligencia de Amenazas de Google (GTIG, por sus siglas en inglés) anunció que desarticuló a un grupo de ciberespionaje denominado UNC2814, cuyo perfil de trabajo coincide con el descrito por la ministra Bogantes sobre los hackers del ICE.

Según GTIG, UNC2814 estaba siendo rastreado desde el 2017 y, al momento de la desarticulación, tenía intrusiones confirmadas en 42 países, en cuatro continentes, y con infecciones sospechadas en al menos 20 más.

El arma central de este grupo es un programa malicioso denominado GRIDTIDE: una puerta trasera —término técnico para un acceso oculto e ilegítimo a un sistema—, escrito en lenguaje C, capaz de ejecutar comandos remotos, subir archivos al sistema comprometido y extraer información.

Su característica más sofisticada es la manera en que se comunica con sus operadores. En lugar de usar servidores propios —más fáciles de detectar y bloquear—, GRIDTIDE usa Google Sheets como canal de mando y control, camuflando el tráfico malicioso dentro de llamadas legítimas a esa aplicación de hojas de cálculo.

Alertados por Mandiant y Google

El director nacional de ciberseguridad del Micitt, Gezer Molina Colomer, explicó este viernes que el vínculo entre esa información de febrero y lo ocurrido en el ICE, se estableció a partir de indicadores técnicos detectados durante el análisis forense de la red informática del ICE.

También, confirmó que las autoridades de Costa Rica fueron alertados por Mandiant y Google, y detalló, que el análisis identificó condiciones de “comando y control”, mediante APIs de Google Sheets, método observado en operaciones atribuidas a UNC2814.

“Se trata de un informe de notificación de víctimas de Mandiant. Ellos detectaron condiciones de ‘comando y control’ mediante APIs de Google Sheets. Identificaron que este tipo de actividad no solo ocurría en Costa Rica, sino también en otros países en el sector telecomunicaciones”, precisó.

Ante consultas de si el gobierno posee pruebas propias que permitan confirmar la atribución del ataque, Bogantes agregó que esa información forma parte del proceso judicial y que no podía dar más detalles.

Sin embargo, coincidió con Molina Colomer en que, fuera de las alertas de Google, los métodos que utilizó el agresor en el caso del ICE se pueden asociar con comportamientos previos.

“Por ese patrón se puede decir que pareciera tratarse del mismo actor. Toda esa evidencia estará disponible para las autoridades en el momento en que la soliciten”, aseveró la ministra Bogantes en referencia a la investigación que llevaría el Organismo de Investigación Judicial (OIJ).

Este jueves, el ICE informó que tampoco brindaría más información del caso, para no interferir con el proceso legal.

Marco Acuña, presidente del ICE, sí confirmó en conferencia de prensa que fueron sustraídos 9 gigabytes de información de buzones de correo electrónico de uso administrativo.