¿Por qué la información de la CCSS no fue robada en el intento de hackeo y qué se pudo hacer mejor?

Como todo el país sabe, el sistema EDUS y otros programas sensibles de la Caja Costarricense del Seguro Social, fueron hackeados por un grupo identificado como Hive, por su modo de operación.

El presidente ejecutivo de la CCSS, Álvaro Ramos, negó que se tratara de un robo de información, sino solamente un intento que se trajo abajo los sistemas antes de que pudieran sustraer los datos sensibles. Así las cosas, la CCSS habría estado mejor preparada de Hacienda en este asunto, después de que Conti (“la competencia” de Hive) lograra extraer los datos en el primer ataque.

El experto explica

Según William Martínez, experto en el tema, el ataque a la CCSS -como el de Hacienda- fue “todo un sofisticado sistema de ataque que tiene varias etapas, algunas automáticas, y otras controladas por cibercriminales de forma remota utilizando una puerta trasera”.

Martínez explico que tanto Hive, como Conti, tienen “un sistema, expertos y software que alguien puede contratar para hacer un ataque. Es lo mismo: ransomware, que es secuestrar datos encriptándolos para luego pedir rescate”.

El experto explicó que normalmente empieza por infección de correos electrónicos, luego “se realiza con un conjunto de aplicaciones super conocidas de un software de pruebas de seguridad llamado Cobalto Strike”.

Al parecer, según la información con que se cuenta, que no es toda como sí la tienen los expertos de la CCSS, las impresoras comenzaron de pronto a imprimir caracteres basura o sin sentido, lo que habría alertado a los funcionarios, quienes procedieron a apagar el sistema.

“En particular, el esquema Hive ataca, encripta y cuando ya terminó, imprime las notas diciendo que todo está encriptado y pidiendo el pago por rescate. Sin embargo, una cantidad importante de impresoras comenzaron a imprimir pero basura, no un mensaje de rescate“.

“Cuando un atacante se pone a revisar qué hay en la red enviando datos a los puertos que encuentre, puede ocurrir que las impresoras, que no entienden, empiecen a imprimir basura creyendo que deben imprimir esos mensajes. Si es así, y fue en ese momento que se detectó, el ataque estaba apenas iniciando. La orden de apagar todos los equipos habría cortado el ataque”, explica Martínez.

Eso explicaría, según lo que se sabe, que Hives no lograra terminar de encriptar la información y sustraerla de los sistemas de la CCSS, pero dejó al sistema infectado, de manera que ahora deberá hacerse limpieza parte por parte hasta garantizar seguridad de nuevo.

La CCSS informó que durante la semana el sistema estará inhabilitado y cada centro de salud aplicará sus propias medidas de contingencia, sin que haya una línea central de la institución ante lo sucedido.

“Como están todos los servidores apagados, y no se sabe en cuáles está el malware, lo que se hace es ir uno por uno, encendiéndolos y limpiándolos. También dijeron que los datos no fueron encriptados, y que de todas maneras hay respaldos diarios así que no habría afectación en ese sentido. Solo la habría durante la espera por revisión de los servidores. Si todo es como se apunta, el sistema de vigilancia de los sistemas de la Caja hizo su trabajo“, agregó el especialista puntarenense graduado de la Universidad de Costa Rica.

“Sigo sin saber a qué se refieren con ‘afectación’, si ya se había iniciado la encriptación y las máquinas de usuario y servidores mencionados están encriptados, o implemente infectados”, indicó recientemente.

Buen desempeño de la CCSS pero…

No obstante, señaló que se pueden criticar dos temas del desempeño por parte de los especialistas de la CCSS: “No, la contención no se hace “normalmente” apagando todo. Si la detección funciona bien, con buena segmentación, se pueden hacer aislamientos sin tener que apagar a todo el mundo de golpe. Pero si funciona, funciona”.

“Lo otro es que dijeron que un sistema de contingencia fuera de línea para el expediente digital, no lo pudieron poner a funcionar porque apagaron todo. Eso es un fallo porque un sistema de contingencia no debería depender de tener los sistemas principales funcionando. Supongo que el problema es que el tal sistema también pudo haberse visto comprometido”, añadió.

Finalmente, externó su opinión sobre la respuesta de la CCSS en su atención a los pacientes: “Lo otro que también podemos revisar es la respuesta distribuida. Algunos lugares siguieron atendiendo gente, pero otros negaban el servicio. En un caso de contingencia, debe haber una respuesta estandarizada, cuya implementación puede variar dependiendo de los recursos y posibilidades de cada lugar”.

Si desea conocer más detalles técnicos, siga al experto en sus entradas de Facebook o sígalo en Twitter: