Los ataques a sitios web estatales no son algo nuevo y tampoco ocurren exclusivamente en Costa Rica. Se calcula que un 70% de los portales en internet tienen algún tipo de debilidad o error en el código fuente o en el de su infraestructura, llámense hardware obsoleto, uso inadecuado de lenguajes de programación, utilización de librerías, repertorios o repositorios desactualizados, cuyas repercusiones suelen ser devastadoras.
Lo de la Caja Costarricense de Seguro Social (CCSS), obviamente, no es casual; obedece a que las instituciones estatales gozan de una muy alta popularidad social y tecnológica. Los cibercriminales conocen su trascendencia por el simple hecho de estar dentro de la gama del sector público.
Partiendo de esa premisa, existen dos vertientes: una es el interés económico y la otra es ridiculizar públicamente al sitio web estatal.
La primera —expectativa de pago— es poco probable que se dé, puesto que el gobierno que opte por pagar con el fin de evitar el conocimiento público de que fue atacado y que, fruto de ello, terceros obtuvieron datos de sus bases, muestra pública y vergonzosamente que las medidas de seguridad de varias instituciones no son eficaces, no detectan que personas ajenas están accediendo a sus sistemas ni pueden detener, aislar y contener el origen de las intrusiones.
Esa es apenas la punta del iceberg de lo acontecido en los últimos meses, primero al Ministerio de Hacienda y luego a la CCSS.
En virtud de que esas entidades no han sido capaces de poner a funcionar sus servidores, cabe preguntarse:
1. Por qué los encargados de la seguridad informática no fueron capaces de detectar las amenazas en tiempo real o, cuando menos, dentro de lo que conocemos como “tiempo prudencial”, a fin de que no se produjera el enorme inconveniente en el que se encuentra el gobierno.
2. Cómo se explica que no sepan de dónde, ya sea local o remoto, salieron los ataques ni desde cuándo se han estado orquestando, debido a que para la perpetración hubo una etapa inicial, o lo que se conoce como “etapa de reconocimiento”, que no es otra cosa que una fase durante la cual los ciberdelincuentes tratan de conocer información técnica de la víctima.
Lo que está ocurriendo fue maquinado hace tiempo y ni los encargados ni los sistemas de monitoreo de actividades sospechosas tuvieron habilidades para descubrirlo.
3. Cómo es posible que a estas alturas los sistemas perjudicados no estén de nuevo en línea. Rápidamente y para no extenderme mucho, he de señalar que un servidor web es una parte de la red de sistemas que puede usar una entidad, ya sea pública o privada, es decir, los tipos y las cantidades de servidores que una organización necesita son los servidores web, los servidores de bases de datos y los servidores de respaldos, por citar algunos de los más habituales.
Ante lo ocurrido, en este aspecto, que no se haga uso de toda la plataforma de servidores y que pasen semanas para solucionar los problemas, deja mucho que desear acerca del manejo de la emergencia nacional.
No pretendo atacar al gobierno en ejercicio, sino, más bien, que uno como usuario de los servicios gubernamentales y los ciudadanos nacionales y extranjeros radicados en Costa Rica, en general, resultamos perjudicados debido a que los ataques cibernéticos no afectan solamente a las instituciones como tales, también a cada uno de nosotros.
La información contenida en los servidores vulnerados tienen datos referentes a todos nosotros, por ende, las instituciones, ustedes y yo, a título personal, somos los perjudicados.
Que quienes están detrás posean información sensible de la población es algo sumamente preocupante. Si los mecanismos de detección y contención del ataque fueran capaces de identificar o mitigar las acciones delictivas, no estaríamos en la situación en que nos encontramos y, peor aún, en la zozobra de no saber cuáles datos se filtraron.
El autor es especialista en delitos informáticos.
