Hacienda dedicó 55.160 horas y gastó ¢330 millones en atender hackeo
Asegura que sistemas críticos externos operan al 100%
El Ministerio de Hacienda concluirá el proceso de rehabilitación de todos sus sistemas informáticos a principios de noviembre próximo, tras el hackeo sufrido hace cinco meses y que le costó a la institución unos ¢330 millones hasta el momento en planillas.
En la actualidad, los sistemas críticos de cara a los contribuyentes, empresas e instituciones para trámites tributarios, aduaneros, de pago de salarios y presupuestarios están habilitados y operando sin problemas, más allá de las pulgas “normales” o situaciones a nivel de usuarios. Lo que queda es terminar de levantar varios sistemas internos.
José Willy Cortés, director de Tecnologías de Información y Comunicación del Ministerio de Hacienda, dijo que más del 50% de los sistemas informáticos internos están operando. En las próximas siete semanas se restablecerán los restantes, incluyendo CompraRed que fue sustituido por el Sistema de
Compras Públicas (Sicop) pero aún es necesario para consultas de información histórica.
El hackeo mediante un ransomware (un sistema que encripta y secuestra datos) fue revelado el primer lunes después de Semana Santa, en abril anterior. De inmediato se accionó el protocolo con acciones que abarcan la deshabilitación de todos los sistemas y aplicaciones.
A la situación de Hacienda se sumaron otros ataques de grupos de ciberdelincuentes, entre ellos Conti, a diferentes entidades públicas como la Caja Costarricense de Seguro Social (CCSS).
Despliegue humano
Hacienda inició un proceso de revisión, limpieza y rehabilitación de las plataformas y servicios, en el cual estuvo dedicado el 95% del personal de TIC de Hacienda y especialistas de firmas como GBM y Microsoft, con apoyo del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Dos meses después de operar con mecanismos y herramientas de contingencia, se restablecieron los sistemas de la Administración Tributaria Virtual (ATV), Tecnología de Información para el Control Aduanero (Tica) y Exonet.
Respecto al proyecto de Hacienda Digital se separaron las responsabilidades dado que, por su dimensión e importancia, requiere una dirección exclusiva y dedicada completamente. En este momento, mientras se designa una persona, la responsabilidad la tiene la viceministra de Ingresos, Priscila Zamora.
El proyecto estaba en la etapa de licitaciones y en este momento se estaría revisando las ofertas, así como preparando carteles para nuevos concursos sobre servicios en la nube, seguridad e interoperabilidad.
El único impacto aquí fue que el personal técnico asignado a Hacienda Digital también estuvo en la atención de la emergencia causada por el hackeo.
Lo restablecido
Hacienda procedió en dos etapas para la rehabilitación de sistemas de información. En la primera fase se enfocó las aplicaciones críticas y de apoyo de ATV, Tica, Exonet (exoneraciones) y Trámites Virtuales (Travi).
Se suma Integra, que incluye funcionalidades de recursos humanos y planillas de Tesorería Nacional para pago de salarios a los funcionarios de ministerios y pensiones a funcionarios jubilados, así como del Ministerio de Educación. También está el Sistema Integrado de Administración Financiera (Sigaf) que también está en operación desde finales de junio.
En el caso de Integra se debía actualizar la información de las operaciones y acciones realizadas por cada ministerio durante los meses en los cuales estuvo fuera de servicio y se funcionó con mecanismos de contingencia. Esta tarea, a cargo de cada ministerio, acaba de finalizar y en esta semana se estaría pagando salarios quincenales a través de Integra.
Con Sigaf también se trabajó con un sistema de contingencia y quedaría totalmente actualizado en este mes de setiembre.
Los sistemas críticos de cara a contribuyentes, empresas e instituciones están al 100%. Cortés agregó que en su levantamiento se trabajó en garantizar que reiniciaran su funcionamiento con una seguridad que sea razonablemente superior.
Se incluye aquí el sistema del facturador, donde las situaciones que se presentan se originan en vencimientos u olvido de contraseñas por parte de los contribuyentes, aparte de ajustes de configuración normales.
El sistema de validación de facturas electrónicas, por la conclusión del contrato de la Empresa de Servicios Públicos de Heredia (ESPH), desde el 6 de junio pasado es provisto por el consorcio de las firmas PC Central e IT Tera.
El caso de Sicop, un servicio en la nube brindado por Radiográfica Costarricense S. A. (Racsa), presentó falencias en las últimas semanas y se trabaja para asegurarse que el proveedor cumpla con la situación de su disponibilidad.
Daños del hackeo
Aparte de la salida de operación de los sistemas y servicios, así como el secuestro de información, no hubo necesidad de volver a rediseñar o desarrollar alguno de los software o aplicaciones desde cero pues se contaba con los respectivos respaldos.
Desde que los sistemas fueron “apagados”, se procedió a revisarlos para determinar si contenían algún software maligno, limpiarlos y actualizarlos. De forma complementaria, se reconfiguraron los equipos (lo que incluía actualización de los sistemas operativos y aplicaciones).
Cortés reiteró lo ya indicado oficialmente de que “sí hubo afectación de información pero no hubo robo de identidad”, por lo que los datos no pudieron ser asociados a ninguna identificación de persona física o jurídica.
Tampoco hubo destrucción o desaparición de ningún sistema, código de programación o datos, pues se cuenta con los respectivos respaldos. “El hecho de que hoy tengamos Tica o ATV operando es porque logramos restablecer la información con los respaldo que teníamos”, afirmó Cortés.
En el trabajo de restablecimiento se realizaron pruebas de vulnerabilidad y de penetración para levantar sistemas más seguros, lo que implicó identificar debilidades y resolverlas a través del equipo de desarrollo y programación.
La inversión fue de 55.160 horas, entre horario ordinario y extras, lo que en dinero son aproximadamente ¢330 millones solamente de planilla, pues el personal se dedicó entre 95% y 99% en el restablecimiento de los servicios y la atención de la emergencia.
Según Apple, cuando los usuarios crean un passkey, abren una clave digital única que solo funciona para el sitio para el que fue creado.
Se trata de un sistema mediante el cual se cambian las contraseñas por un estándar de inicio de sesión que se basa en la biometría, es decir en la huella dactilar del usuario o bien el escaneo de su rostro.
Los passkeys están basados en WebAuthn, una API de autenticación web que elimina la necesidad de introducir una clave y la sustituye por los datos que se guardan en Touch ID o en Face ID.
Importante: Con esta nueva tecnología no hay necesidad de crear o administrar contraseñas.
¿ES UN SERVICIO SEGURO?
Este sería un paso relevante para garantizar la seguridad de los usuarios. La herramienta crea un escudo más fuerte contra el phishing debido a que es más difícil falsificar los datos biométricos que robar las claves a través de campañas engañosas.
Para que un hacker pueda robar su contraseña deberá primero robarle su dispositivo de Apple, luego entrar a los servicios digitales, y además tener sus datos biométricos para acceder a las plataformas.
El sistema funciona con dos tipos de clave: una privada y otra pública. Cuando el usuario quiere acceder a uno de sus servicios, el iPhone, iPad o Mac enviará una clave pública al servidor de la plataforma a la que se quiere ingresar, y la clave privada es la que se almacena en el dispositivo.
Al trabajar de esta manera, no habría mayor problema si se hackearan las claves del servidor del servicio porque para poder robar la información de la persona también necesitan la clave privada que está almacenada en el dispositivo.
Los ciberdelincuentes no podrán engañar a las personas para que compartan sus claves en un sitio web falso porque no pueden filtrarse a los sistemas biométricos de Apple, tampoco porque no se guarda nada en un servidor web.
Los passkeys funcionan en las aplicaciones y se sincronizan en todos los dispositivos Apple mediante el llavero de iCloud.
¿CÓMO ROBAN LAS CONTRASEÑAS LOS
Las contraseñas son el talón de Aquiles en la vida digital de muchas personas, especialmente porque vivimos en una época en la que una persona promedio tiene 100 claves de inicio de sesión para recordar, demostró un estudio de la firma NordPass.
Esto es tierra fértil para los ciberdelincuentes quienes cada vez desarrollan más técnicas para robar las claves.
Las formas más comunes para robar las contraseñas según la firma de ciberseguridad ESET son:
Phishing e ingeniería social: Los seres humanos somos propensos a tomar decisiones equivocadas cuando nos apresuramos. Los ciberdelincuentes explotan estas debilidades a través de la ingeniería social, un truco psicológico diseñado para convencernos de hacer algo que no deberíamos. Mediante este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas para incluir un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará un malware que solicitará que ingreses sus datos personales y así estafarlo.
Malware: Los correos electrónicos de phishing son el vector principal para este tipo de ataque, aunque también puede ser víctima de malware al hacer clic en un anuncio malicio.
Ataques de fuerza bruta: La mayoría de las personas se inclinan por utilizar contraseñas fáciles de recordar (y de adivinar), y que cometa el error de utilizar las mismas contraseñas para acceder a múltiples sitios y servicios. Sin embargo, lo que muchas veces no se tiene en cuenta es que las contraseñas débiles pueden abrir la puerta a las denominadas técnicas de fuerza bruta para descubrir contraseñas. Uno de los tipos de fuerza bruta más comunes es el credential stuffing. En este caso, los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario/contraseñas previamente comprometidas en un software automatizado. Luego, la herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia. De esta manera, los cibercriminales podrían desbloquear varias de tus cuentas con una sola contraseña.
¿DÓNDE FUNCIONARÁN LOS
De momento estas claves digitales estarán disponibles en todos los dispositivos de Apple al iniciar sesión en las diferentes aplicaciones y sitios web.
En el caso de Apple TV, una Mac y en los dispositivos que no son de Apple, el usuario podrá iniciar sesión con una clave de acceso que se le enviará al dispositivo seleccionado para activar el acceso biométrico.
APPLE NO ES LA ÚNICA EN ESTA LÍNEA…
Google y Microsoft anunciaron que se unían a Apple para ampliar el soporte de los inicios de sesión sin contraseña tanto en los dispositivos como en los navegadores.
¿EN QUÉ SE DIFERENCIA DE LAS PLATAFORMAS EN LAS QUE YA SE PUEDE INGRESAR CON DATOS BIOMÉTRICOS?
Existen servicios que ya ofrecen la posibilidad de iniciar sesión con datos biométricos, pero la diferencia radica en que siempre hay que digitar una contraseña para luego poder programar la autenticación con la huella o con la cara.
Los passkeys permiten la opción de ingresar sin la necesidad de crear una clave.
¿Será el fin de las contraseñas? Todavía no, pero es un paso importante para lograrlo algún día.
Los llegan como parte de las novedades de iOS 16, iPadOS 16 y macOS Ventura.