Escuchar
A los criminales detrás del grupo Conti, responsables de dejar en jaque al Ministerio de Hacienda y a la Caja Costarricense de Seguro Social (CCSS) con repercusiones que todavía persisten, no les importó dejar sin salario o sin citas urgentes a miles de costarricenses, ni tampoco no recibir un solo dólar por su ataque al país, porque, aparentemente, su plan era otro y les resultó.
La seguidilla de amenazas cibernéticas que realizó esta pandilla de delincuentes internacionales en las instituciones públicas del país no fue más que su estrategia para concretar un proceso de reestructuración interno, de acuerdo con informes de los portales de ciberseguridad de mayor renombre en el mundo y entrevistas a expertos nacionales en esta área.
Aunque desde su aparición en 2019, Conti logró posicionarse como una de las organizaciones de hackeo más peligrosas, mediáticas y exitosas del planeta, después de mostrar su apoyo a Rusia en la invasión a Ucrania, varios miembros discreparon e incluso intentaron sabotear al grupo filtrando información sensible. Luego de estas diferencias, los cabecillas de la banda decidieron eliminar la marca “Conti” para seguir operando bajo otro alias.
Esta es una práctica común de las bandas cibernéticas cuando son muy acechadas por las autoridades o enfrentan problema internos, pero como señala una reciente investigación de AdvIntel, un grupo tan notorio y prolífico como Conti no podía simplemente apagar sus servidores para aparecer la semana siguiente con un nuevo nombre y otro logo, porque otros colectivos ya lo habían intentado y fracasaron en el intento.
Los experimentados analistas informáticos Yelisey Bogusalvskiy y Vitali Kremez determinaron que los líderes de Conti decidieron implementar un elemento de “performatividad” en su estrategia de rebranding, para hacer parecer que estaban más activos y fuertes que nunca, cuando en realidad estaban creando silenciosamente fraccionamientos que comenzaron a operar antes del inicio del proceso de cierre.
Estos subgrupos criminales utilizaron alter egos de Conti que ya existían anteriormente y se aliaron con otros colectivos que empezaron a tomar notoriedad, como el que atacó a la CCSS, llamado Hive. De esta forma, los delincuentes podían controlar la narrativa en torno a su disolución, al tiempo que complicaban significativamente cualquier futura atribución de amenazas (aunque al final siempre se descubrió su plan).
Aquí fue donde entró Costa Rica, ya que para ocultar el hecho de que Conti ahora estaba disperso y operaba a través de marcas más pequeñas y novedosas, los dirigentes del grupo criminal decidieron aprovecharse del país y de su poca o casi nula estrategia de ciberseguridad, al hackear las instituciones más importantes para la sociedad y tener notoriedad en medios de comunicación y redes sociales.
LEA MÁS: Sistema TICA de Hacienda vuelve a operar dos meses después de ‘hackeo’
“Para llevar a cabo su última maniobra táctica, los agentes que se quedaron atrás para operar desde el enorme caparazón vacío de Conti tuvieron que asegurarse de que sus payasadas desviaran con éxito la atención de sus camaradas que escapaban. Para hacer esto, tenían que asegurarse de dejar un cebo lo suficientemente grande como para satisfacer a sus fuerzas opuestas. Conti tendría que realizar un gran final, uno lo suficientemente grande como para estar a la altura del nombre del grupo”, explica AdvIntel.
Así fue como el 17 de abril comenzó su ataque a Costa Rica y todos los portales tecnológicos del mundo informaron que Conti estaba más activo que nunca: justo lo que el grupo quería. Incluso, el 8 de mayo el recién juramentado presidente Rodrigo Chaves emitió un anuncio de emergencia nacional que otorgó todavía más notoriedad a la banda.
Importantes sitios de ciberseguridad como We Live Security, Malwarebytes, Bleeping Computer y reportes del referente en cibercrimen y periodista de investigación Brian Krebs, confirmaron que el plan de Conti solo era tomar a Costa Rica como señuelo y no precisamente obtener dinero con la extorsión. Sin embargo, la operación de la pandilla también desencadenó un caos nacional en términos de servicios públicos que afectó a millones de ciudadanos y a la economía regional.
“El único objetivo que Conti quería con este ataque final era usar la plataforma como una herramienta de publicidad, realizando su propia muerte y posterior renacimiento de la manera más plausible que podría haber sido concebida. De hecho, el ataque a Costa Rica puso a Conti en el centro de atención y les ayudó a mantener la ilusión de vida por más tiempo, mientras se llevaba a cabo la reestructuración”, apuntó AdvIntel.
Una nueva red
Ahora, al distribuir a sus miembros entre varios grupos, Conti evita que toda su operación sea eliminada si se detiene a una sola célula, a pesar de que todos los fraccionamientos sean administrados por un liderazgo central, conocido como “reshaev”. También, cambió de una estructura organizativa jerárquica a una en red, más horizontal y descentralizada, y modificó su estrategia de cifrado de datos por la técnica de exfiltración.
¿Pero por qué utilizar a un pequeño país de Centroamérica para su plan maestro?, se podrían preguntar algunos. El abogado especialista en derecho informático y capacitador en ciberdelincuencia Adalid Medrano explicó a La Nación que precisamente el hecho de que sea un país tan minúsculo iba a generar que la situación tuviera amplia cobertura de medios de comunicación nacionales y trascendiera las fronteras.
LEA MÁS: ‘Hackeo’ a CCSS: ¿Cuáles servicios funcionan pasado un mes del ataque?
“Eso por supuesto que les ayudaba, ya no como sería normal para hacer presión para ganar dinero con la extorsión, sino para tener notoriedad a nivel mundial, porque inclusive las decisiones de los presidentes, por ejemplo en el caso de Rodrigo Chaves de hacer una declaratoria de emergencia nacional, eso los hace lucir muy bien a ellos porque a nivel mundial no se comprende bien cuál es el fin de la emergencia nacional”, dijo.
Por su parte, el experto en ciberseguridad y fundador de la primera firma de ciberdefensa en Costa Rica, Esteban Jiménez, comentó a este diario que aunque Conti como marca está completamente muerto, el software dañino que crearon sus integrantes para vulnerar todo tipo de sistemas se continúa utilizando en todo el mundo y es la principal herramienta que utilizan las nuevas subsidiarias de la organización criminal.
“La operación aquí en el país definitivamente apoyó al grupo en fama y reputación, le dio más credibilidad sin importar si desde antes tuviera problemas a lo interno. El grupo Conti fue, sin duda alguna, el más exitoso de los últimos años y la herramienta que utilizan es de muy alta tecnología y de un cifrado de grado militar, bastante potente. Esa herramienta no desapareció, se sigue utilizando y puede ser alquilada”, dijo.
Una reciente investigación de Trend Micro Inc., multinacional japonesa de software de ciberseguridad, arrojó que Conti comparte con la firma LockBit el liderato como los grupos de ransomware más destacados de los últimos años. La empresa rescató que “si bien algunos informes indican que la marca Conti ahora está fuera de línea, su escala continúa convirtiéndola en un excelente caso de estudio para estos enfoques”.
LEA MÁS: Micitt señala ‘desastre’ en ciberseguridad de instituciones públicas
Al clasificar las 10 principales pandillas de ransomware en términos de la cantidad de organizaciones a las que se les filtraron sus datos (de noviembre de 2019 a marzo de 2022), Conti y Lockbit se posicionan como las bandas más efectivas. De hecho, entre ellas representan casi el 45% de todos los incidentes analizados.
“LockBit se ha puesto al día rápidamente en términos de la cantidad total de organizaciones víctimas y, a partir de marzo de 2022, predijimos que superará a Conti alrededor de agosto de 2022 para convertirse en el grupo de ransomware más grande en términos de la cantidad total de organizaciones victimizadas. Sin embargo, dado que es probable que Conti haya cerrado en mayo de 2022, o al menos haya cambiado de marca, es casi seguro que LockBit superará a Conti antes de lo esperado”, indicaron los analistas japoneses.
Finalmente, la única duda que queda es que todo apunta a que Conti obtuvo ayuda de agentes internos en Costa Rica para realizar sus ataques a las instituciones públicas, incluso el presidente Rodrigo Chaves y su gabinete afirmaron que tenían información sobre estas personas que colaboraron con la banda criminal. Sin embargo, hasta la fecha no han dado cuenta de ello y parece que el tema quedará en un simple señalamiento.
LEA MÁS: ‘Gente dentro del país está colaborando con Conti’, dice presidente Chaves
Mientras tanto, millones de costarricenses continúan enfrentando las consecuencias del hackeo, algunos sin siquiera entender qué fue lo que sucedió o por qué pasados casi cuatro meses todavía no se ha resuelto. Trabajadores sin pago de incapacidades, pacientes con problemas de citas o medicamentos y empleados públicos con salarios retenidos solo piden una cosa: soluciones.
