Ciberguerras y actores asimétricos: el Conti Group y Costa Rica (y un poquito, el Perú)
Como el mundo está tan tranquilo, nos viene bien una ciberguerra para ponerle algo de diversión a la vida…
Desde mediados de abril de 2022,, el gobierno de Costa Rica está bajo ataque de un organización dedicada al ransomware, llamada Conti. La definición rápida de ransonware es un programa dedicado a tomar control de servidores, encriptando el contenido para que solo sea posible liberarlo con una contraseña, por la que se cobra un rescate. En otras palabras, Conti ha secuestrado parte del estado costarricense.
Conti es un software creado en 2020 por lo que, al parecer, es una organización criminal rusa. Digo al parecer porque se mueve en la Darknet, usando TOR, un software que permite ocultar con bastante eficacia el origen de sus publicaciones. El nombre de la organización es WizardSpider y parece estar basada en San Petersburgo, y tiene una trayectoria importante de ataques ransomware a empresas y organizaciones públicas: el servicio de salud de Irlanda fue atacado hace aproximadamente un año.
Ciertamente, el nombre Conti circula porque también ha atacado a la DIGIMIN, la dirección de inteligencia del Ministerio del Interior. Es muy distinto a lo que pasa en Costa Rica, donde el ransomware ha capturado 100 veces más datos que en el Perú; además, por el tipo de datos que han exhibido, no parece ser un ataque particularmente crítico; pero eso refuerza la idea que Conti y los que estén detrás son peligrosos, y explica la oferta de 10 millones de dólares que el Programa de Recompensas para el Crimen Organizado Transaccional del Departamento de Estado ha hecho.
(Para el lector con inclinaciones más técnicas, ESET tiene una explicación más detallada de cómo se realizan los ataques. ZDNet tiene otro artículo, similarmente para técnicos. PWC tiene un documento sobre las implicaciones técnicas, políticas y económicas de este ransomware. El gobierno chileno ha publicado una nota sobre el caso peruano, incluidas recomendaciones; el Centro Nacional de Seguridad Digital del Perú publica alertas integradas casi diariamente, pero no hay una comunicación más general sobre los riesgos que algo como Conti podría plantear al país.)
La situación en Costa Rica se ha agravado. Al menos el Ministerio de Hacienda, el Fondo de Desarrollo y Asignaciones Familiares (Fodesaf), el Ministerio de Trabajo y Seguridad Social (MTSS) y la Sede Interuniversitaria de Alajuela (Siua) está severamente comprometidos por el ataque, sino que la organización criminal ha duplicado de 10 a 20 millones el rescate pedido, y, con algo de grandilocuencia, ha dicho que Costa Rica “fue destruid[a] por 2 personas. Estamos decididos a derrocar al gobierno mediante un ataque cibernético. Ya lo hemos hecho. Hemos mostrado toda la fuerza y el poder.”
Todo indica que se trata de ataques oportunistas, en los que se aprovecha que hay vulnerabilidades en los sistemas que funcionan con Microsoft Windows, o personal estatal descuidado con malas prácticas informáticas, que permiten sembrar el ransonware. Pero Costa Rica resulta un buen blanco por obvias razones: es un país relativamente rico e informatizado pero no tan grande o con suficientes recursos como para protegerse de toda posible amenaza; dado que el énfasis de las organizaciones cibercriminales es secuestrar empresas, no necesariamente se esperaba un ataque de esta escala.
Pero Conti es una amenaza compleja que existe en los márgenes más opacos del sistema mundo contemporáneo. La realidad es que en Rusia, muchos grupos de cibercriminales guardan una relación relativamente fluida y de mutua utilidad con el estado ruso, en particular con el FSB. Desde la primera ciberguerra, la invasión digital a Estonia de 2007, Rusia ha sido adepta a permitir, o quizá a alentar, que diversos grupos de hackers de sombrero negro, cibercriminales y todo lo que pueda haber en medio, se entretengan atacando a enemigos de todo tipo del estado ruso, o promoviendo actividades ilegales que benefician a diversos actores.
Mapear la realidad de esta alianza entre estado y cibercriminales es trabajo a tiempo completo; la información disponible es escasa y en muchos casos solo hay fragmentos; y claramente, hay interés político de los países de los Cinco Ojos para inclinar la interpretación de los hechos conocidos de una manera u otra. Pero lo cierto es que hay indicios suficientes sobre la tolerancia, connivencia e incluso, participación del estado ruso en algunas de estas actividades, que pueden ser útiles para vigilar, presionar o castigar a enemigos políticos.
Es parte de un panorama complejo que está transformando los conflictos internacionales y las relaciones entre países. Porque en el fondo, esto es un problema de relaciones internacionales, de la manera como la globalización digital ha abierto puertas para que las relaciones de poder se modifiquen y se vuelvan asimétricas. Las potencias tienen la capacidad de resistir asaltos informáticos de sus competidores directos, pero los países con menos recursos pueden ser víctimas de estas organizaciones criminales que se esconden tras los objetivos geopolíticos de las grandes potencias.
Sabemos más sobre cómo se plantea el conflicto desde la posición de EEUU y los Cinco Ojos, porque las democracias son menos opacas que las dictaduras o los autoritarismos personalistas. Pero eso no quiere decir que no haya un tramado de espionaje, sabotaje informático y ataques entre todas las partes. Las filtraciones de inteligencia de EEUU durante la antesala y la misma guerra de invasión de Rusia en Ucrania muestran capacidades de ciberespionaje muy amplias; estas se combinan con lo que se llama “OSINT” o inteligencia de fuentes abiertas: el Centro para la Resiliencia Informacional, por ejemplo, sigue la guerra mediante herramientas abiertas.
La cuestión de fondo es donde quedamos los países vulnerables, que ni estamos en una alianza que nos proteja, ni tenemos la capacidad de defendernos solos, pero que hemos logrado un grado respetable de desarrollo de servicios en red. Que no vayamos a enfrentarnos a otro país en una ciberguerra no significa que no seamos vulnerables a sus ataques, o a las consecuencias indirectas de sus ataques. No es solo pandillas de cibercriminales, sino agresiones de menor cuantía, pero sistemáticas y amplias, como las reveladas por Edward Snowden sobre el espionaje de la NSA de EEUU, o el uso de software comercial para infiltrar al estado, o para espiar a los ciudadanos desde nuestro propio estado, como ha ocurrido con Pegasus.
En otras palabras: el orden internacional, el sistema de normas y tratados que se supone reconoce los derechos de todos, ciudadanos y estados nación, es cada día menos relevante cuando se trata del espacio digital. No es que ese orden internacional haya sido perfecto e inviolable nunca, pero las flexiones y torsiones que sufría eran dentro del marco claro de las relaciones entre estados, con ciertos limites bien definidos entre lo que era criminalidad, negocio y poder estatal.
Hoy por hoy, las bandas criminales se asocian con algunos estados para atacar a otros estados, más allá de su territorio, y hacen uso de los productos de la globalización, como la Internet o el sistema bancario, para mover sus ganancias. Si bien en muchos países el poder estatal está constantemente en cuestión por la violencia criminal, esta nueva capa de fragilidad no es un accidente, sino una consecuencia del diseño fallido del orden internacional y de la falta de voluntad de las grandes potencias de perder oportunidades de hacer uso de esos espacios opacos para sus propios fines.
El problema, como lo hemos visto en muchos casos, es que cuando las actividades criminales crecen más allá de cierto punto se vuelven auto sostenibles, más allá del producto mismo que sea la razón de su existencia. Las redes criminales alrededor de las drogas, por ejemplo, no solo diversifican su actividad sino que se mantienen en funcionamiento cuando colapsa el liderazgo. Se reinventan, digamos. Las organizaciones criminales que usan ransomware pueden haber sido resultado de una transacción consciente con los servicios de seguridad rusos; pero la autonomía que están adquiriendo, probablemente resultado de una transacción entre las partes, lleva a pensar que serán una amenaza muy compleja para países en la periferia de la globalización.
Pensar en un rediseño del orden internacional en función de estas realidades sería un ejercicio intelectual interesante aunque las posibilidades de hacerlo viable, en el contexto de una globalización fría como la que vivimos, son minúsculas. Pero poner en primer plano la urgencia de pensar algo más que medidas informáticas para las amenazas cibercriminales, y en particular para los actores no estatales, legítimos o no, es una urgencia compleja, de largo plazo, pero igual, necesaria.
Mientras tanto, confiemos que Costa Rica logre vencer a WizardSpider, y que esta banda no ataque a ningún otro país.