Ciberataque al Gobierno de Costa Rica

El ciberataque al Gobierno de Costa Rica es un

ataque informático de índole extorsiva iniciado la Ciberataque al Gobierno de
noche (UTC-6:00) del domingo 17 de abril del 2022 Costa Rica
en perjuicio de casi una treintena de instituciones
públicas de la República de Costa Rica, incluido su
Ministerio de Hacienda, el Ministerio de Ciencia,
Innovación, Tecnología y Telecomunicaciones
(MICITT), el Instituto Meteorológico Nacional
(IMN), la Radiográfica Costarricense S. A.
(RACSA), la Caja Costarricense de Seguro Social,
Página web del Ministerio de Hacienda mostrando un
el Ministerio de Trabajo y Seguridad Social (MTSS),
mensaje plano avisando de los trabajos para recuperar
el Fondo de Desarrollo Social y Asignaciones
los servicios a raíz del ataque.
Familiares (FODESAF) y la Junta Administrativa
del Servicio Eléctrico Municipal de Cartago Lugar  Costa Rica
(JASEC).1 2​ ​ Blanco(s) Gobierno de Costa Rica
Fecha 17 de abril-actualidad
El grupo prorruso Conti Group se adjudicó el primer
grupo de ataques y solicitó un rescate de 10 millones Tipo de ataque Ciberataque
de dólares estadounidenses a cambio de no liberar la Arma(s) Ransomware
información sustraída del Ministerio de Hacienda, la Perpetrador(es) Conti Group
cual podría incluir información sensible como las Hive Ransomware Group
declaraciones de impuestos de los ciudadanos y
empresas que operan en Costa Rica.3 4​ 5​ ​

Como consecuencia, el gobierno debió dar de baja los sistemas informáticos empleados para declarar
impuestos, así como para el control y manejo de las importaciones y exportaciones, causando pérdidas al
sector productivo por el orden de los 30 millones de dólares estadounidenses diarios.6 7​ ​ Asimismo, fueron
retiradas de la red las páginas web del MICITT.

Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la empresa Microsoft,
entre otras, para afrontar el ataque cibernético. El ataque consistió en infecciones a sistemas informáticos
con ransomware, defacement de páginas web, sustracción de archivos de correos electrónicos y ataques al
portal de recursos humanos de la Seguridad Social, así como a su cuenta oficial de Twitter.8 9​ ​

El 6 de mayo del 2022, el gobierno de los Estados Unidos a través del FBI ofreció una recompensa de 10
millones de dólares estadounidenses por información que permitiera identificar a una persona o personas en
posición de liderazgo dentro de Conti Group, y 5 millones de dólares estadounidenses adicionales por
información que permitiera la captura o condena, en cualquier país, de personas que ayudaran o
conspiraran en realizar ataques con el ransomware de Conti.10 11
​ ​

El 8 de mayo de 2022, el nuevo presidente de Costa Rica, Rodrigo Chaves Robles, decretó el estado de
emergencia nacional debido a los ciberataques, al considerarlos un acto de terrorismo. Días después, en una
conferencia de prensa, afirmó que el país estaba en estado de guerra12 13​ ​ y que había evidencias de que
gente dentro de Costa Rica estaba ayudando a Conti, por lo que los calificó de "traidores" y
"filibusteros".14 15
​ ​
El 31 de mayo del 2022 en horas de la madrugada, Hive Ransomware Group realizó un ataque contra la
Caja Costarricense de Seguro Social (CCSS), obligando a la institución a apagar todos sus sistemas críticos,
incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación
(SICERE).16 17 ​ ​ El primero almacena la información médica sensible de los pacientes que atiende la
Seguridad Social, mientras que el segundo es el utilizado para el cobro de las cuotas de aseguramiento de la
población.18 ​

Índice
Antecedentes
Conti Group
Hive Ransomware Group
Ataque
Ataque de Conti Group
Ataque de Hive Ransomware Group
Declaratoria de emergencia
Referencias

Antecedentes

Conti Group

Conti Group es una organización criminal dedicada a realizar ataques de ransomware, sustrayendo archivos
y documentos de servidores para luego exigir un rescate. Su modus operandi consiste en infectar los
equipos con el malware Conti, el cual opera con hasta 32 subprocesos lógicos individuales, lo que lo hace
mucho más rápido que la mayoría de los virus de su tipo.19 ​

El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo. Otro
miembro conocido como Mango actúa como gerente general y se comunica con frecuencia con Stern.
Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. Los números de
personas involucradas fluctúan, alcanzando hasta 100. Debido a la constante rotación de miembros, el
grupo recluta nuevos miembros mediante sitios de reclutamiento de trabajo legítimos y sitios de piratas
informáticos.20 ​

Los programadores ordinarios ganan entre $1500 a $2000 por mes, y los miembros que negocian pagos de
rescate pueden tomar una parte de las ganancias. En abril de 2021, un miembro de Conti Group afirmó
tener un periodista anónimo que tomó una parte del 5  % de los pagos de ransomware al presionar a las
víctimas para que pagaran.20 ​

Durante la invasión rusa de Ucrania en 2022, Conti Group anunció su apoyo a Rusia y amenazó con
implementar "medidas de represalia" si se lanzaban ciberataques contra el país.21 22
​ 23
​ ​ Como resultado,
una persona anónima filtró aproximadamente 60  000 mensajes de registros de chat internos junto con el
código fuente y otros archivos utilizados por el grupo.24 25
​ ​
Las opiniones expresadas en las filtraciones incluyen el apoyo a Vladimir Putin, Vladimir Zhirinovsky, el
antisemitismo (incluso hacia Volodímir Zelenski). Un miembro conocido como Patrick repitió varias
afirmaciones falsas hechas por Putin sobre Ucrania. Patrick vive en Australia y puede ser ciudadano ruso.
También se encontraron mensajes que contenían homofobia, misoginia y referencias al abuso infantil.26 ​

Conti ha sido responsable de cientos de incidentes de ransomware desde 2020. El FBI estima que, desde
enero de 2022, hubo más de 1000 víctimas de ataques asociados con el ransomware Conti con pagos de las
víctimas superiores a $150 000 000, lo que convierte a la cepa Conti Ransomware en la variedad de
ransomware más dañina jamás documentada.27 ​

Días después del anuncio del FBI, Conti anunció que iniciaría un proceso de cierre de operaciones.28 ​
Algunos de los miembros de Conti migraron a organizaciones más pequeñas como Hive, HelloKitty,
AvosLocker, BlackCat y BlackByteo; otros fundaron algunas propias.29 ​

Hive Ransomware Group

Hive Ransomware Group es una organización criminal conocida por su ensañamiento contra las
organizaciones o instituciones de salud pública, en particular hospitales y clínicas30 ​. Apareció en junio de
202131 ​y de acuerdo con el Buró Federal de Investigaciones (FBI) funciona como un ransomware basado
en afiliados, emplea una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que crea desafíos
importantes para la defensa y la mitigación. Hive utiliza múltiples mecanismos para comprometer las redes
comerciales, incluidos los correos electrónicos de phishing con archivos adjuntos maliciosos para obtener
acceso y el Protocolo de Escritorio Remoto (RDP en Inglés) para moverse una vez en la red.32 ​

De acuerdo con un reporte de Cisco, los criminales de Hive han evidenciado una seguridad operativa baja
al revelar información sobre su proceso de encriptación y otros detalles operativos. El reporte también
indica que Hive emplea todos y cada uno de los medios necesarios para convencer a sus víctimas de que
paguen, incluida la oferta de sobornos a los negociadores de las víctimas una vez que se realiza el pago del
rescate.33 ​

En agosto de 2021, ZDNet publicó que Hive había atacado al menos 28 organizaciones de salud en los
Estados Unidos, afectando clínicas y hospitales a lo largo de Ohio y Virginia del Oeste. Entre las víctimas
se encontraba el Memorial Healthcare System, quien se vio forzado a que sus hospitales usaran expedientes
de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados. La organización
terminó pagando el rescate para recuperar el acceso a sus sistemas.34 ​

En diciembre de 2021 Hive reveló haber atacado 355 compañías a lo largo de seis meses, la gran mayoría
en los Estados Unidos. De esas, al menos 104 terminaron pagando el rescate por recuperar sus sistemas.35 ​

En febrero de 2022 cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubrieron
una vulnerabilidad en el algoritmo de cifrado del ransomware de Hive que permitía obtener la clave maestra
y recuperar la información secuestrada.36 ​

El sitio especializado TechTarget afirmó que Hive Ransomware Group se comunica en ruso, pero que no
hay información sobre la localización de sus operaciones.35 ​

Bleeping Computer LLC reportó que algunos de los hackers de Conti migraron a organizaciones como
Hive, sin embargo, el grupo ha rechazado tener vinculación con Conti, pese a que una vez iniciado el
proceso de cierre de operaciones y sus hackers llegaron a ese otro grupo criminal, la organización empezó
la táctica de publicar los datos filtrados en la red profunda, tal y como lo hacía Conti.37 ​
La experta Yelisey Boguslavskiy de AdvIntel identificó y confirmó con un alto nivel de certeza que Conti
estuvo trabajando con Hive durante más de medio año, al menos desde noviembre de 2021. Según su
información, Hive utilizaba activamente los accesos de ataque iniciales proporcionados por Conti.37 ​

A diferencia de Conti Group, Hive no está asociado con apoyo directo a la invasión rusa de Ucrania, a
pesar de que el pago de los rescates a Hive probablemente sea recibido por las mismas personas dentro de
Conti que reclamaron la alineación colectiva del grupo con el gobierno ruso.37 ​

También en mayo de 2022, Hive atacó a la Comunidad de Navarra, España, forzando a un centenar de
instituciones a volver a la era del papel mientras los sistemas eran recuperados.38 39
​ ​ Ese mismo mes Hive
también atacó al Banco Central de Zambia, sin embargo, la entidad rechazó pagar el rescate afirmando que
tenía los medios para recuperar sus sistemas, sin embargo, ingresó al chat de los extorsionadores y
suministró el enlace a una "foto polla"40 41
​ 42
​ ​con el mensaje:

Chúpate esta verga y deja de bloquear redes bancarias pensando que monetizarás algo, aprende
a monetizar.
Banco Central de Zambia.

Ataque

Ataque de Conti Group

Los servidores del Ministerio de Hacienda de Costa Rica fueron los primeros en ser vulnerados durante la
noche del domingo 17 de abril. La cuenta de Twitter BetterCyber fue la primera en replicar, al día siguiente,
la publicación del foro de Conti Group que daba cuenta del hackeo a la institución gubernamental
costarricense indicando que habían sido sustraídos 1 terabyte de información de la plataforma ATV,
empleada por el gobierno para que la ciudadanía y las empresas presenten sus declaraciones de impuestos.
A su vez, la publicación indicaba que la data empezaría a ser publicada el 23 de abril.43 ​

Antes de las 10 de la mañana del lunes santo, el Ministerio de Hacienda informó mediante un comunicado
de prensa y a través de sus redes sociales que "debido a problemas técnicos", la plataforma de
Administración Tributaria Virtual (ATV) y el Sistema Informático Aduanero (TICA) habían sido
deshabilitados, y que se prorrogaría el plazo para la presentación y pago de impuestos que vencían ese día,
hasta el siguiente día hábiles después de que se restablecieran los sistemas.44 ​ La institución no reconoció
inmediatamente haber sido hackeada e inicialmente se negó a responder a preguntas de la prensa sobre la
afirmación de Conti Group.45 46 ​ ​

Al día siguiente, Conti Group publicó una nueva entrada en su foro anunciando que pedían 10 millones de
dólares estadounidenses como rescate de la información sustraída.47 ​ El Ministerio de Hacienda confirmó
que la información publicada hasta el momento correspondía a información del Servicio Nacional de
Aduanas, empleada para insumos y soporte.48 ​

En relación con las comunicaciones que han sido detectadas en las redes sociales, y calificadas
como hackeo, el Ministerio de Hacienda comunica lo siguiente:

Efectivamente, desde la madrugada de hoy enfrentamos una situación en algunos de

nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos
externos, quienes durante las últimas horas han tratado de detectar y reparar las
situaciones que se están presentando.
 Este Ministerio ha tomado la decisión de permitir a los equipos de investigación
realizar un análisis profundo en los sistemas de información, por lo cual ha tomado la
decisión de suspender temporalmente algunas plataformas como ATV y TICA, y se
estarán reiniciando los servicios una vez que los equipos concluyan sus análisis.

En las últimas horas se ha detectado la exposición de algunos de los datos que

pertenecen a la Dirección General de Aduanas, la cual está realizando los procesos
de investigación de la información, según lo establece el plan de respuesta.

Los datos identificados hasta el momento son de carácter histórico y los utiliza el Servicio
Nacional de Aduanas como insumos y de soporte.
Ministerio de Hacienda

Horas después del comunicado de Hacienda, el micrositio del Ministerio de Ciencia, Innovación,
Tecnología y Telecomunicaciones (MICITT) sufrió un defacement en el cual se dejó el mensaje: "Te
saludamos desde Conti, búscanos en tu red". 49 50
​ 51
​ ​

Jorge Mora Flores, director de Gobernanza Digital de Costa Rica indicó que a raíz del ataque, y porque el
servidor afectado alberga otras páginas, se tomó la decisión de apagarlo mientras se realizaban las
verificaciones correspondientes para determinar hasta qué punto se logró vulnerar la seguridad.51 ​
Posteriormente, una actualización en el foro de Conti Group indicaba que los ataques contra los ministerios
de Costa Rica continuarían "hasta que el gobierno nos pague".52 ​

Horas después, Conti atacó el Instituto Meteorológico Nacional de Costa Rica, específicamente en un
servidor de correo electrónico, sustrayendo la información allí contenida.53 54 ​ ​ Conti afirmó que el
escenario que estaba viviendo Costa Rica era una "versión beta de un ataque cibernético global a un país
completo".55 ​ Posteriormente, en otra actualización en su foro, indicaron que si el Ministerio de Hacienda
no informaba a sus contribuyentes qué era lo que estaba ocurriendo, ellos lo harían:

Si el ministro no puede explicar a sus contribuyentes qué está ocurriendo, nosotros lo

haremos: 1) hemos penetrado su infraestructura crítica, obtenido acceso a cerca de 800
servidores, descargado cerca de 900 GB de bases de datos y cerca de 100 GB de documentos
internos, bases de datos en el formato MSSQL mdf, hay más que solo el correo, primer
nombre, apellidos... Si el ministro considera que esa información no es confidencial, la
publicaremos. El problema de la fuga no es el principal problema del Ministerio, sus copias de
seguridad también fueron encriptadas, 70 % de su infraestructura probablemente no podrá ser
restaurada y tenemos puertas traseras en gran número de sus ministerios y compañías privadas.
Pedimos una cantidad significativamente pequeña de la que gastarán en el futuro. Su negocio
de exportaciones ya experimenta problemas y ya perdieron los 10 millones de dólares que
podrían habernos pagado.
Conti Group

Más tarde ese día, el Gobierno de Costa Rica negó haber recibido una solicitud de rescate, pese a la
publicación en el foro de Conti Group relativa a los 10 millones de dólares estadounidenses.

El 20 de abril, Conti publicó 5 GB adicionales de información robada al Ministerio de Hacienda.56 ​ En

horas de la tarde el Gobierno convocó a una conferencia de prensa en la Casa Presidencial donde alegó que
la situación estaba bajo control, y que además de Hacienda, MICITT y el IMN, había sido atacada la
Radiográfica Costarricense S. A. (RACSA), mediante la vulneración de servidor de correo electrónico
interno.57 58
​ ​En el ínterin, la Caja Costarricense de Seguro Social (CCSS) reportó haber sufrido un ataque
cibernético en su sitio de recursos humanos, el cual estaba siendo combatido.59 60 ​ ​ Conti Group no se
adjudicó la responsabilidad del ataque, dado que la Caja reportó
horas después que no se sustrajo información sensible de los
asegurados, como su historial médico o de contribuciones a pensión
o seguro de salud, y que las bases de datos habían quedado
intactas.61 ​

La Ministra de la Presidencia, Geannina Dinarte Romero, indicó

que esto se trataba de un caso de crimen organizado internacional y (VIDEO) Conferencia de prensa del
que el Gobierno de Costa Rica no pagaría ningún rescate.62 ​ Gobierno de Costa Rica el 20 de
Asimismo, anunció que estaban recibiendo asistencia técnica de los abril.
gobiernos de Estados Unidos, Israel y España, así como de la
empresa Microsoft, que era la que operaba los servidores del
Ministerio de Hacienda en un primer lugar.62 ​

El 21 de abril, Conti Group atacó en horas de la madrugada los servidores del Ministerio de Trabajo y
Seguridad Social (MTSS), así como del Fondo de Desarrollo Social y Asignaciones Familiares
(FODESAF). El informe preliminar del Gobierno apunta a que fue sustraída información como correos
electrónicos, datos sobre pago de pensiones y ayudas sociales de ambas instituciones.63 ​ Asimismo, el
grupo ofreció un 35 % de descuento en el monto del rescate exigido si el Gobierno de Costa Rica realizaba
un pago rápido.64 ​

Antes del mediodía, el MICITT realizó una conferencia de prensa donde el Gobierno reiteró su posición de
no pagar el rescate exigido por Conti Group, por lo que horas después el grupo criminal anunció que
empezaría a publicar de inmediato la información sustraída, instando a los ciberdelincuentes costarricenses
a aprovecharla para cometer phishing.65 66
​ ​

El presidente Carlos Alvarado Quesada dio ese día su primera declaración pública sobre el hackeo.67 ​

Reitero que el Estado Costarricense NO PAGARÁ NADA a

estos criminales cibernéticos. Pero mi criterio es que este
ataque no es un tema de dinero, sino que busca amenazar la
estabilidad del país, en una coyuntura de transición. Esto no
lo lograrán. Como siempre lo hemos hecho, cada persona de
esta tierra pondrá de su parte para defender a Costa Rica.
Carlos Alvarado Quesada

(VIDEO) Declaración del presidente

En horas de la tarde el Gobierno emitió una directriz dirigida al
Carlos Alvarado Quesada sobre el
sector público con el fin de resguardar el correcto funcionamiento,
hackeo.
confidencialidad y ciberseguridad del aparato público. El
documento dispone que en caso de presentarse alguna situación
que afecte la confidencialidad, disponibilidad e integridad de servicios disponibles al público, la
continuidad de las funciones institucionales, la suplantación de identidad de la institución en redes sociales,
e incluso aquellos que a lo interno de la institución se consideren bajo control, se deberá informar al Centro
de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) del evento; además, de manera
preventiva, la institución afectada deberá respaldar la información referente al incidente acontecido, para las
investigaciones correspondientes.68 ​

Asimismo las instituciones deberán realizar los procesos de mantenimiento en su infraestructura de

telecomunicaciones, sea que le corresponda a la Administración Pública o alguna empresa contratada. Esas
acciones incluyen actualizaciones permanentes de todos los sistemas institucionales, cambio de contraseñas
de todos los sistemas y redes institucionales, deshabilitar servicios y
puertos no necesarios y monitorear la infraestructura de red.
Además de aplicar cualquier alerta dada por el CSIRT-CR, según
corresponda a su institución.68 ​

La directriz también ordena realizar al menos dos veces al año un

análisis de vulnerabilidades a los sitios web oficiales del Gobierno
de Costa Rica.68 ​ (VIDEO) Ministra del MICITT sobre
la directriz firmada tras el
La mañana del 22 de abril, el Gobierno de Costa Rica informó que ciberataque.
desde el día previo no se registraban nuevos ataques de Conti
Group contra el país. Sin embargo, el director de Gobernanza
Digital, Jorge Mora, detalló que desde el lunes que empezaron a tomar medidas de prevención en las
instituciones del Estado, detectaron 35.000 solicitudes de comunicación de malware, 9900 incidentes de
phishing, 60.000 intentos de control remoto de infraestructura informática y 60.000 intentos de minado de
criptomonedas en infraestructura informática de las primeras 100 instituciones estatales intervenidas.69 ​

El 23 de abril, Conti Group atacó a la Junta Administrativa del Servicio Eléctrico Municipal de Cartago
(JASEC), la empresa pública encargada del suministro eléctrico de la provincia de Cartago.70 ​ Jorge Mora
Flores informó ese día que podría haberse comprometido información de los abonados.71 72 ​ ​ Al día
siguiente, reportó que la información de contabilidad y recursos humanos de la institución fue cifrada como
parte del ataque.73 ​

El 25 de abril, Conti anunció que cambiaría su estrategia de ataques al Estado de Costa Rica, enfocándose
ahora en grandes empresas del sector privado. El grupo anunció que dejaría de anunciar sus hackeos en su
página en la red profunda, para enfocarse en solicitar el rescate respectivo por la información sustraída y
cifrada.74 ​

El 26 de abril, el MICITT reportó que fue atacada la página web de la Sede Interuniversitaria de Alajuela y
que hubo intento de vulnerar los servidores del Instituto de Desarrollo Rural (INDER), pero que fue
efectivamente repelido.75 ​ El 29 de abril el gobierno reportó un intento de hackeo al Ministerio de
Economía, Industria y Comercio (MEIC)76 ​ y un día después contra la Fábrica Nacional de Licores
(FANAL) y las municipalidades de Turrialba y Golfito.77 ​

El 2 de mayo se reportó otro intento de hackeo en el Ministerio de Justicia y Paz (MJP), aunque fue
repelido.78 ​ Al día siguiente se reportaron ciberataques a las municipalidades de Garabito y Alajuelita,
aunque tampoco lograron su cometido;79 ​ también se registró un intento de ataque a la Junta de Protección
Social (JPS).80 ​

El 4 de mayo, MICITT reportó intentos de hackeo a la Comisión Nacional de Préstamos para la Educación
(CONAPE) y uno más al Colegio Universitario de Cartago (CUC), aunque este último no fue
responsabilidad de Conti.

Ataque de Hive Ransomware Group

El 31 de mayo a las dos de la mañana (UTC-6:00), la Caja Costarricense de Seguro Social (CCSS) detectó
flujos de información anómalos en sus sistemas y empezó a recibir reportes de distintos hospitales de
comportamiento anómalo en diversos equipos, por lo que de inmediato procedió a apagar todos sus
sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de
Recaudación (SICERE). Algunas impresoras de la institución imprimieron mensajes con códigos o
caracteres aleatorios,81 ​ mientras que otras imprimieron instrucciones predeterminadas de Hive
Ransomware Group de cómo recuperar el acceso a los sistemas.82 ​

En una conferencia de prensa antes del mediodía las autoridades de la CCSS calificaron el ataque como
"excepcionalmente violento" y detallaron que los primeros incidentes se registraron en el Hospital San
Vicente de Paul, en la provincia de Heredia; luego en el Hospital de Liberia, provincia de Guanacaste, y de
ahí migró a los hospitales de la Gran Área Metropolitana.83 ​

El presidente de la CCSS, Álvaro Ramos Chaves, afirmó que las bases de datos con información sensible
no fueron vulneradas, pero que al menos una treintena de servidores (de los más de 1500 que tiene la
institución) fueron contaminados con el ransomware. Agregó que tenían la solución informática para
levantar los sistemas, pero que tomaría tiempo pues debía revisarse cada uno de los equipos para garantizar
que al conectarlos y acceder a la información allí contenida, los hackers no pudieran hacerlo también.84 ​

Como consecuencia, una cifra aún indeterminada de asegurados vio sus citas médicas canceladas.85 ​ Los
centros médicos de la CCSS debieron recurrir al papel, debido a que también fue sacado de la red el
EDUS-no conectado (conocido como Expediente Digital en Ambiente de Contingencia) como medida de
seguridad, situación que podría permanecer así durante varios días.84 ​

Los EBAIS, áreas de salud y hospitales se quedaron sin acceso al Expediente Digital Único en Salud
(EDUS), al Expediente Digital en Ambiente de Contingencia (EDAC), al módulo de control de ocupación
hospitalaria y egresos de pacientes (ARCA), al sistema de Validación de Derechos, Facturación y otros.
Las sucursales financieras se quedaron sin acceso al Sistema Centralizado de Recaudación (SICERE), al
Registro Control y Pago de Incapacidades (RCPI), al Sistema Integrado de Comprobantes (SICO), a los
sistemas de inspección y plataformas web asociados a la gestión de patronos. Las oficinas y áreas
administrativas se quedaron sin poder utilizar las computadoras y los teletrabajadores solo podían acceder a
Office 365 (Word, Excel, PowerPoint, Outlook, Teams).86 87 ​ ​

En total en el primer día de afectación, 4871 usuarios perdieron sus citas médicas.88 ​ Al día siguiente la
cifra aumentó en 12 mil personas más. Asimismo, la CCSS reportó que la mayor afectación se
experimentaba en el servicio de Laboratorio, donde solo el 45 % del servicio en la institución funcionaba
con normalidad, 48 % tenía afectación parcial y 7 % presentaba retrasos. Asimismo, una revisión de 108
establecimientos de salud arrojó que el 96  % de los servicios hospitalarios funcionaba con plan de
contingencia, el 18 % de las consultas externas presentaban afectaciones parciales, 19 % de los servicios de
radiología e imágenes médicas tenían afectación parcial y el 37  % de los servicios de farmacia estaba
afectado.89 ​

El 1 de junio durante una conferencia de prensa en la Casa Presidencial, el presidente ejecutivo de la

CCSS, Álvaro Ramos Chaves anunció la apertura de una investigación administrativa en contra del
Departamento de Tecnologías de Información de la institución por el hackeo, para determinar si hubo
negligencia. El presidente de la República, Rodrigo Chaves Robles, afirmó que debían sentarse
responsabilidades porque menos de 15 computadoras de la CCSS tenían instalado el sistema
microCLAUDIA donado por el Reino de España luego del primer grupo de ataques cibernéticos por parte
de Conti Group.90 ​

Asimismo, Ramos Chaves reveló que las afectaciones por el ataque eran 27 veces mayores a lo reportado el
primer día, pues había 800 servidores infectados y más de 9000 terminales de usuario final afectadas, por lo
que los sistemas no podrían ser recuperados en la primera semana como se tenía previsto.90 ​

El 2 de junio, Hive Ransomware Group solicitó $5 millones en bitcoin para que la CCSS pudiera recuperar
sus servicios.91 ​
El 4 de junio la Superintendencia de Pensiones (SUPEN) anunció la suspensión hasta nuevo aviso de la
posibilidad de trasladar libremente los fondos de pensiones complementarias entre las distintas operadoras,
pues para ello se necesitaba de uno de los sistemas de la CCSS que estaba afectado por el hackeo.92 ​

Ante la caída de sus sistemas para el reporte de las planillas y pago de contribuciones sociales, la CCSS
debió ampliar hasta el 10 de junio el plazo para que los patronos presentaran la planilla correspondiente al
mes de mayo. Asimismo, anunció que los trabajadores independientes y asegurados voluntarios no podrían
pagar sus cuotas mensuales debido a la imposibilidad de realizarles la factura correspondiente.93 ​ El
régimen de pensiones por Invalidez, Vejez y Muerte (IVM) debió habilitar cuentas bancarias y correos
específicos para que las personas con créditos hipotecarios pudieran pagar sus mensualidades y reportar los
abonos.94 ​ Asimismo, 163 establecimientos de salud de la Caja habilitaron líneas telefónicas específicas
para que la población evacuara dudas respecto a la continuidad de los servicios y el estado de sus citas
médicas.95 ​

Declaratoria de emergencia
El 22 de abril de 2022, el entonces presidente electo de Costa Rica, Rodrigo Chaves Robles anunció su
pretensión de declarar el estado de emergencia nacional una vez asumiera el poder, debido a los
ciberataques contra el sector público del país.96 ​

El 3 de mayo del 2022, la Cámara de Industrias de Costa Rica (CICR), la Cámara Nacional de
Transportistas de Carga (CANATRAC), la Cámara de Comercio Exterior de Costa Rica (CRECEX), la
Cámara de Almacenes Fiscales y Generales de Depósito (CAMALFI), la Cámara Costarricense de
Navieros (NAVE), la Cámara de Exportadores de Costa Rica (CADEXCO) y la Asociación de Agentes de
Aduanas (AAACR) solicitaron declarar estado de emergencia por la situación de las aduanas del país a raíz
del hackeo de Conti Group y advirtieron que en pocos días, si la situación no mejoraba, Costa Rica podría
presentar una paralización del comercio internacional por acumulación de contenedores de carga, dado que
Aduanas debió realizar trámites en papel, elevando a tres y hasta cuatro días las esperas para recibir visto
bueno para movilizar los contenedores.97 ​

El 8 de mayo, al asumir el poder, Chaves Robles firmó el Decreto Ejecutivo Nº 43542-MP-MICITT,

declarando estado de emergencia nacional por los ciberataques contra el sector público de Costa Rica y
dispuso que la Presidencia de la República tomara el control del planteamiento, dirección y coordinación de
los procesos necesarios para lograr la contención y solución, y no la Comisión Nacional de Emergencias a
quien por ley corresponde atender ante situaciones de emergencia nacional declarada.98 ​

El 16 de mayo, el presidente Chaves afirmó que el país estaba en estado de guerra por los hackeos de Conti
y denunció que había nacionales ayudando al "grupo terrorista" que el fin de semana previo había
amenazado con derrocar al gobierno recién electo.99 ​

No sabemos, no tenemos información de quién nos está pagando impuestos bien y mal. Hay
una afectación enorme en el proceso de comercio internacional ya que el sistema TICA de
Aduanas no está funcionando. No sabemos cómo avanza ni siquiera la ejecución
presupuestaria del país: Costa Rica no sabe cuánto del presupuesto está gastando cada quién, si
nos vamos a pagar o no. Estamos pagando salarios casi que a ciegas en base a planillas
anteriores, eso representa un reto enorme para el futuro ¿qué pasa si alguien se le sobrepasa
por una plantilla extraordinaria y estamos repitiendo la misma planilla? Hay gente a la que el
Estado se le está pagando menos de lo que debería por usar planillas anteriores. Eso representa
un riesgo enorme porque los sistemas no son flexibles para recobrar los excesos de pagos.
Tenemos 27 instituciones atacadas y 9 instituciones muy afectadas incluyendo el Ministerio de
Hacienda que es el que recibe los ingresos y hace los gastos del Estado. Nos quieren ahogar a
través del sistema financiero de las finanzas públicas del Estado.
 Rodrigo Chaves Robles, presidente de Costa Rica.
Al día siguiente, decenas de trabajadores del Ministerio de Educación Pública (MEP) se lanzaron a las
calles para protestar por el impago de sus salarios, pagos menores a lo que correspondía, entre otros
problemas vinculados a la imposibilidad de actualizar las planillas estatales debido al hackeo. El MEP cifró
en 16.000 la cantidad de trabajadores afectados en el pago de sus salarios (3000 sin ningún pago y 13.000
con pagos de alguna forma incorrectos) y el Ministerio de Hacienda, como medida de contingencia,
suministró una herramienta que debía ser llenada a mano para poner al día los pagos de los empleados.100 ​

El 21 de mayo, debido a nuevas protestas, los sindicatos negociaron con el Gobierno, quien se
comprometió a pagar los montos adeudados y recuperar posteriormente cualquier suma pagada de más a los
trabajadores.101 ​ El 27 de mayo la Sala Constitucional de la Corte Suprema de Justicia declaró con lugar
más de 200 recursos de amparo presentados contra el Estado por parte de trabajadores del MEP afectados
en el pago de sus salarios, y ordenó tomar medidas de contingencia para poner al día los pagos en el plazo
de un mes.102 ​ El 30 de mayo el gobierno anunció que el MEP y Hacienda habían pagado más de 6 mil
millones de colones como planilla extraordinaria correspondiente a 25.618 movimientos pendientes de
cancelar debido al hackeo.103 ​

Referencias
1. «Hacienda, Micitt, IMN,
Racsa y CCSS atacados
por ‘hackers’, confirmó
Gobierno» (https://www.na
cion.com/el-pais/servicios/
hacienda-micitt-imn-y-racs
a-atacados-por-hackers/D
MCT7BZYIZGHZIHQQPO
KN2WWYM/story/). La
Nación. Consultado el 20
de abril de 2022.
2. «Portal de Recursos
Humanos de CCSS sufre
ataque cibernético» (http
s://www.nacion.com/el-pai
s/salud/portal-de-recursos-
humanos-de-la-ccss-sufre-
ataque/J5NBWGIURRGIJ
F5Q2UQOUSGLWI/story/).
La Nación. Consultado el
20 de abril de 2022.
3. «Gobierno confirma que
'Conti' exige $10 millones
de "rescate" | Teletica» (htt
ps://www.teletica.com/naci
onal/gobierno-confirma-qu
e-conti-exige-10-millones-
de-rescate_309715).
www.teletica.com.
Consultado el 20 de abril
de 2022.
4. « "En la dark web sí se
realizó una publicación
que pide $10 millones de, 7. «Importaciones están
aparentemente, Conti paralizadas debido a
Group" » (https://delfino.cr/ hackeo de Hacienda |
2022/04/en-la-dark-web-si- Crhoy.com» (https://www.cr
se-realizo-una-publicacion hoy.com/economia/importa
-que-pide-10-millones-de-a ciones-estan-paralizadas-d
parentemente-conti-group). ebido-a-hackeo-de-hacien
delfino.cr. Consultado el da/). CRHoy.com |
20 de abril de 2022. Periodico Digital | Costa
5. «Conti amenaza con Rica Noticias 24/7.
Consultado el 20 de abril
revelar datos internos de
Hacienda y base de de 2022.
contribuyentes | 8. Hidalgo, Kristin. «Vulneran
Crhoy.com» (https://www.cr cuenta de Twitter de la
hoy.com/tecnologia/conti-a CCSS y publican
menaza-con-revelar-datos- contenido ajeno a la
internos-de-hacienda-y-ba institución» (https://www.a
se-de-contribuyentes/). meliarueda.com/nota/hack
CRHoy.com | Periodico ean-cuenta-de-twitter-de-la
Digital | Costa Rica -CCSS-noticias-costa-
Noticias 24/7. Consultado rica). ameliarueda.com.
el 20 de abril de 2022. Consultado el 21 de abril
6. «Costa Rica reporta de 2022.
pérdidas por $125 millones 9. «¡Atacan de nuevo!
por caos en aduanas» (http Hackean cuenta de Twitter
s://www.larepublica.net/not de la CCSS | Crhoy.com»
icia/costa-rica-reporta-perd (https://www.crhoy.com/tec
idas-por-125-millones-por- nologia/atacan-de-nuevo-h
caos-en-aduanas). ackean-cuenta-de-twitter-d
www.larepublica.net. e-la-ccss/). CRHoy.com |
Consultado el 20 de abril Periodico Digital | Costa
de 2022. Rica Noticias 24/7.
Consultado el 21 de abril
de 2022.
10. «EE. UU. ofrece $10
millones de recompensa
por información sobre
líderes de Conti Group» (ht
tps://delfino.cr/2022/05/ee-
uu-ofrece-10-millones-de-r
ecompensa-por-informacio
n-sobre-lideres-de-conti-gr
oup). delfino.cr.
Consultado el 7 de mayo
de 2022.
11. Welle (www.dw.com),
Deutsche. «EE. UU. ofrece
recompensa por hackers
tras ataque a Costa Rica |
DW | 07.05.2022» (https://
www.dw.com/es/ee-uu-ofre
ce-recompensa-por-hacker
s-tras-ataque-a-costa-rica/
a-61716275). DW.COM.
Consultado el 7 de mayo
de 2022.
12. « "Estamos en guerra": 5
claves para entender el
ciberataque que tiene a
Costa Rica en estado de
emergencia» (https://www.
bbc.com/mundo/noticias-a
merica-latina-61516874).
BBC News Mundo.
Consultado el 31 de mayo
de 2022.
13. «Costa Rica declara el
estado de emergencia por
el ciberataque de Conti» (h
ttps://derechodelared.com/
costa-rica-estado-emergen
cia-ciberataques/).
derechodelared.com. 9 de
mayo de 2022. Consultado
el 31 de mayo de 2022.
14. «(Video) Rodrigo Chaves:
“Conti tiene filibusteros en
Costa Rica”» (https://www.l
arepublica.net/noticia/vide
o-rodrigo-chaves-conti-tien
e-filibusteros-en-costa-
rica). www.larepublica.net.
Consultado el 31 de mayo
de 2022.
15. Welle (www.dw.com),
Deutsche. «Rodrigo
Chaves dice que Costa
Rica está "en guerra" | DW
| 17.05.2022» (https://www.
dw.com/es/rodrigo-chaves-
dice-que-costa-rica-est%C
3%A1-en-guerra/a-618202
39). DW.COM. Consultado
el 31 de mayo de 2022.
16. «Costa Rica’s public
health agency hit by Hive
ransomware» (https://www.
bleepingcomputer.com/ne
ws/security/costa-rica-s-pu
blic-health-agency-hit-by-hi
ve-ransomware/).
BleepingComputer (en
inglés estadounidense).
Consultado el 31 de mayo
de 2022.
17. «CCSS sufrió 'hackeo'
durante la madrugada de
este martes» (https://www.t
eletica.com/nacional/ccss-
sufrio-hackeo-en-la-madru
ga-de-este-martes_31247
6). Teletica. 31 de mayo de
2022. Consultado el 31 de
mayo de 2022.
18. «Hospitales trabajan con
las computadoras
apagadas» (https://www.na
cion.com/el-pais/salud/nue
vo-hackeo-en-ccss-la-madr
ugada-de-este-martes/GM
VEKKG7QBGM3NVW3RF
NKSCMAM/story/). La
Nación. Consultado el 31
de mayo de 2022.
19. «Conti Ransomware» (http
s://digital.nhs.uk/cyber-alert
s/2020/cc-3544). NHS
Digital (en inglés).
Consultado el 21 de abril
de 2022.
20. Nast, Condé. «The
Workaday Life of the
World’s Most Dangerous
Ransomware Gang» (http
s://www.wired.co.uk/article/
conti-leaks-ransomware-w
ork-life). Wired UK (en
inglés británico). ISSN  1357-
0978 (https://issn.org/resource/is
sn/1357-0978). Consultado el
21 de abril de 2022.
21. Reichert, Corinne. «Conti
Ransomware Group Warns
Retaliation if West
Launches Cyberattack on
Russia» (https://www.cnet.
com/news/politics/conti-ran
somware-group-warns-reta
liation-if-west-launches-cy
berattack-on-russia/).
CNET (en inglés).
Consultado el 21 de abril
de 2022.
22. Bing, Christopher (25 de
febrero de 2022). «Russia-
based ransomware group
Conti issues warning to
Kremlin foes» (https://www.
reuters.com/technology/rus
sia-based-ransomware-gro
up-conti-issues-warning-kr
emlin-foes-2022-02-25/).
Reuters (en inglés).
Consultado el 21 de abril
de 2022.
23. Nast, Condé. «The
Workaday Life of the
World’s Most Dangerous
Ransomware Gang» (http
s://www.wired.co.uk/article/
conti-leaks-ransomware-w
ork-life). Wired UK (en
inglés británico). ISSN  1357-
0978 (https://issn.org/resource/is
sn/1357-0978). Consultado el
21 de abril de 2022.
24. Team, Threat Intelligence
(1 de marzo de 2022).
«The Conti ransomware
leaks» (https://blog.malwar
ebytes.com/threat-intellige
nce/2022/03/the-conti-rans
omware-leaks/).
Malwarebytes Labs (en
inglés estadounidense).
Consultado el 21 de abril
de 2022.
25. CNN, Sean Lyngaas. « 'I
can fight with a keyboard':
How one Ukrainian IT
specialist exposed a
notorious Russian
ransomware gang» (https://
www.cnn.com/2022/03/30/
politics/ukraine-hack-russi
 an-ransomware-gang/inde
x.html). CNN. Consultado
el 21 de abril de 2022.
26. LeeMarch 14 2022, Micah
LeeMicah. «Leaked Chats
Show Russian
Ransomware Gang
Discussing Putin’s
Invasion of Ukraine» (http
s://theintercept.com/2022/0
3/14/russia-ukraine-conti-r
ussian-hackers/). The
Intercept (en inglés).
Consultado el 21 de abril
de 2022.
27. «Reward for Information:
Owners/Operators/Affiliate
s of the Conti Ransomware
as a Service (RaaS)» (http
s://www.state.gov/reward-f
or-information-owners-oper
ators-affiliates-of-the-conti-r
ansomware-as-a-service-r
aas/). United States
Department of State (en
inglés). Consultado el 7 de
mayo de 2022.
28. «Conti Ransomware
Operation Shut Down After
Brand Becomes Toxic |
SecurityWeek.Com» (http
s://www.securityweek.com/
conti-ransomware-operatio
n-shut-down-after-brand-be
comes-toxic).
www.securityweek.com.
Consultado el 31 de mayo
de 2022.
29. «Did the Conti
ransomware crew
orchestrate its own
demise?» (https://www.co
mputerweekly.com/news/2
52520524/Did-the-Conti-ra
nsomware-crew-orchestrat
e-its-own-demise).
ComputerWeekly.com (en
inglés). Consultado el 31
de mayo de 2022.
30. «Hive ransomware group
claims to steal California
health plan patient data» (h
ttps://venturebeat.com/202
2/03/29/hive-ransomware-
group-claims-to-steal-califo
rnia-health-plan-patient-dat
a/). VentureBeat (en inglés
estadounidense). 29 de
marzo de 2022.
Consultado el 31 de mayo
de 2022.
31. «FBI issues alert about
Hive ransomware» (https://
www.healthcareitnews.co
m/news/fbi-issues-alert-ab
out-hive-ransomware).
Healthcare IT News (en
inglés). 2 de septiembre de
2021. Consultado el 31 de
mayo de 2022.
32. «Alert Number MC-
000150-MW» (https://www.
ic3.gov/Media/News/2021/
210825.pdf). Internet Crime
Complaint Center. 25 de
agosto de 2021.
Consultado el 31 de mayo
de 2022.
33. McKay, Kendall (2 de
mayo de 2022). «Conti and
Hive ransomware
operations: Leveraging
victim chats for insights» (h
ttps://s3.amazonaws.com/t
alos-intelligence-site/produ
ction/document_files/files/0
00/095/787/original/ranso
mware-chats.pdf?1651576
098). CISCO. Consultado
el 31 de mayo de 2022.
34. «FBI releases alert about
Hive ransomware after
attack on hospital system
in Ohio and West Virginia»
(https://www.zdnet.com/arti
cle/fbi-releases-alert-about
-hive-ransomware-after-att
ack-on-hospital-system/).
ZDNet (en inglés).
Consultado el 31 de mayo
de 2022.
35. «Hive ransomware claims
hundreds of victims in 6-
month span» (https://www.t
echtarget.com/searchsecur
ity/news/252510974/Hive-r
ansomware-claims-hundre
ds-of-victims-in-six-month-
span). SearchSecurity (en
inglés). Consultado el 31
de mayo de 2022.
36. Kim, Giyoon (18 de febrero
de 2022). «A Method for
Decrypting Data Infected
with Hive Ransomware» (h
ttps://arxiv.org/pdf/2202.08
477.pdf). Universidad de
Cornell. Consultado el 31
de mayo de 2022.
37. «Costa Rica’s public
health agency hit by Hive
ransomware» (https://www.
bleepingcomputer.com/ne
ws/security/costa-rica-s-pu
blic-health-agency-hit-by-hi
ve-ransomware/).
BleepingComputer (en
inglés estadounidense).
Consultado el 31 de mayo
de 2022.
38. Otazu, Amaia (28 de mayo
de 2022). «Un ataque
informático devuelve a la
era del papel a 179
entidades navarras» (http
s://elpais.com/espana/202
2-05-28/un-ataque-informat
ico-devuelve-a-la-era-del-p
apel-a-179-entidades-nava
rras.html). El País.
Consultado el 31 de mayo
de 2022.
39. Actual, Pamplona. «El
culpable del hackeo a las
webs municipales
navarras es el ransomware
Hive» (https://www.pamplo
naactual.com/articulo/tecn
ologia/el-culpable-de/2022
0530124441303052.html).
Pamplona Actual.
Consultado el 31 de mayo
de 2022.
40. «El Banco de Zambia
responde con una
"fotopolla" a la extorsion
de los ciberdelincuentes
que les atacaron.» (https://
derechodelared.com/banc
o-de-zambia-respuesta-ran
somware/).
derechodelared.com. 25
 de mayo de 2022.
Consultado el 31 de mayo
de 2022.
41. «Ransomware Attackers
Get Short Shrift From
Zambian Central Bank» (ht
tps://www.bloomberg.com/
news/articles/2022-05-18/r
ansomware-attackers-get-s
hort-shrift-from-zambian-ce
ntral-bank).
Bloomberg.com (en
inglés). 18 de mayo de
2022. Consultado el 31 de
mayo de 2022.
42. «National bank hit by
ransomware trolls hackers
with dick pics» (https://ww
w.bleepingcomputer.com/n
ews/security/national-bank
-hit-by-ransomware-trolls-h
ackers-with-dick-pics/).
BleepingComputer (en
inglés estadounidense).
Consultado el 31 de mayo
de 2022.
43. «Conti claims to have
hacked Ministerio de
Hacienda, a government
ministry in Costa Rica» (htt
ps://twitter.com/_bettercybe
r_/status/15157929161402
04041/photo/1). Twitter (en
inglés). Consultado el 21
de abril de 2022.
44. «Sistemas de Hacienda
caídos, ministerio omite
referirse a supuesto
hackeo» (https://delfino.cr/
2022/04/sistemas-de-hacie
nda-caidos-ministerio-omit
e-referirse-a-supuesto-hac
keo). delfino.cr.
Consultado el 21 de abril
de 2022.
45. «En este momento las
plataformas Administración
Tributaria Virtual (Atv) y
TICA se encuentran fuera
de servicio. Nuestros
equipos técnicos trabajan
para su restablecimiento
en el menor tiempo
posible. inmediatamente
se solvente la situación, se
comunicará por este
mismo medio.» (https://twitt
er.com/haciendacr/status/1
516051998768087040).
Twitter. Consultado el 21
de abril de 2022.
46. «¿Hackearon Hacienda?
Sistemas ATV y TICA
fuera de servicio | Teletica»
(https://www.teletica.com/n
acional/hackearon-haciend
a-sistemas-atv-y-tica-fuera-
de-servicio_309530).
www.teletica.com.
Consultado el 21 de abril
de 2022.
47. «Latest update from Conti:
"We ask only 10m USD for
keeping your taxpayers'
data" » (https://twitter.com/_
bettercyber_/status/151611
3184633110529). Twitter
(en inglés). Consultado el
21 de abril de 2022.
48. «ACLARACIÓN DEL
MINISTERIO DE
HACIENDA SOBRE
COMUNICACIONES EN
REDES SOCIALES
CALIFICADAS COMO
HACKEO» (https://twitter.c
om/haciendacr/status/1516
190939114803203).
Twitter. Consultado el 21
de abril de 2022.
49. «Conti allegedly hacks
Ministerio de Ciencia,
Innovation, Technology, y
Telecomunicaciones'
website» (https://twitter.co
m/_bettercyber_/status/151
6238126825492483).
Twitter (en inglés).
Consultado el 21 de abril
de 2022.
50. «‘Ataque al Micitt es
simbólico, para
deslegitimarlo’, dice
exviceministro sobre
hackeo» (https://www.naci
on.com/el-pais/servicios/at
aque-al-micitt-es-simbolico
-para-deslegitimarlo/OFGY
HESK3ZD77AWENW36T
MSUHQ/story/). La Nación.
Consultado el 21 de abril
de 2022.
51. «Autoridades confirman
que "hackers" atacaron
otro ministerio este lunes |
Teletica» (https://www.teleti
ca.com/nacional/autoridad
es-confirman-que-hackers-
atacaron-otro-ministerio-es
te-lunes_309591).
www.teletica.com.
Consultado el 21 de abril
de 2022.
52. «Latest update on #Conti's
cyberattack against Costa
Rica's Ministerio de
Hacienda» (https://twitter.c
om/_bettercyber_/status/15
16344303525765124).
Twitter (en inglés).
Consultado el 21 de abril
de 2022.
53. «Investigan si robaron
información de correos del
IMN | Crhoy.com» (https://w
ww.crhoy.com/tecnologia/i
nvestigan-si-robaron-infor
macion-de-correos-del-im
n/). CRHoy.com | Periodico
Digital | Costa Rica
Noticias 24/7. Consultado
el 21 de abril de 2022.
54. «Costa Rica: Hackers
rusos accesaron a
servidores de correo del
Meteorológico» (https://ww
w.estrategiaynegocios.net/l
asclavesdeldia/costa-rica-
hackers-rusos-accesaron-a
-servidores-de-correo-del-
meteorologico-FA774135
1).
www.estrategiaynegocios.
net. Consultado el 21 de
abril de 2022.
55. «Conti's latest update on
the cyberattack against the
Costa Rican Instituto
Meteorologico Nacional:»
(https://twitter.com/_betterc
yber_/status/15165699374
18113025). Twitter (en
 inglés). Consultado el 21
de abril de 2022.
56. «Conti publishes an
additional ~5 GB of data
allegedly belonging to the
Ministerio de Hacienda of
Costa Rica» (https://twitter.
com/_bettercyber_/status/1
516934122878517248).
Twitter (en inglés).
Consultado el 21 de abril
de 2022.
57. «Más instituciones bajo
ataque de Conti, que
aumenta presión a un
gobierno con débil
respuesta» (https://www.elf
inancierocr.com/tecnologi
a/mas-instituciones-bajo-at
aque-de-conti-que-aument
a/DDMQK5ZXKFHBXDGF
B3MTX3GYR4/story/). El
Financiero. Consultado el
21 de abril de 2022.
58. «Director de Gobernanza
digital señala a Conti y
afirma que hackeo está
“bajo control” | Crhoy.com»
(https://www.crhoy.com/nac
ionales/director-de-gobern
anza-digital-senala-a-conti
-y-afirma-que-hackeo-esta-
bajo-control/). CRHoy.com
| Periodico Digital | Costa
Rica Noticias 24/7.
Consultado el 21 de abril
de 2022.
59. «Portal de Recursos
Humanos de la CCSS es
la nueva víctima del
ataque de hackers» (http
s://www.larepublica.net/not
icia/portal-de-recursos-hu
manos-de-la-caja-es-la-nu
eva-victima-del-ataque-de-
hackers).
www.larepublica.net.
Consultado el 21 de abril
de 2022.
60. «Hackeo: CCSS enciende
alerta ante posibles
efectos en sus servicios
esenciales» (https://www.n
acion.com/el-pais/salud/cc
ss-rastrea-origen-de-ataqu
e-cibernetico-a-su/CEP5P
FF6Q5BBFORCKFRJL7Y
WA4/story/). La Nación.
Consultado el 21 de abril
de 2022.
61. «CCSS sobre ‘hackeo’:
‘No se extrajo información
sensible’ ni se afectó
EDUS o Sicere» (https://w
ww.nacion.com/el-pais/ser
vicios/ccss-sobra-hackeo-n
o-se-extrajo-informacion/N
S6ZL4BMOBDPXFQA6Y
UOG7Y2PQ/story/). La
Nación. Consultado el 21
de abril de 2022.
62. « "Estamos ante una
situación de crimen
organizado internacional y
no estamos dispuestos a
ninguna extorsión o escuento-ofrecido-por-cibe
pago" » (https://delfino.cr/2
022/04/estamos-ante-una-
situacion-de-crimen-organi
zado-internacional-y-no-es
tamos-dispuestos-a-ningun
a-extorsion-o-pago).
delfino.cr. Consultado el
21 de abril de 2022.
63. «Ministerio de Trabajo y
Fodesaf se suman a
blancos de ataques
informáticos • Semanario
Universidad» (https://sema
nariouniversidad.com/pais/
ministerio-de-trabajo-y-fod
esaf-se-suman-a-blancos-
de-ataques-informaticos/).
semanariouniversidad.com
. 21 de abril de 2022.
Consultado el 22 de abril
de 2022.
64. «Hackers ofrecen
descuento del 35% al
Gobierno de Costa Rica y
prometen no tocar al sector
privado» (https://www.larep
ublica.net/noticia/hackers-
ofrecen-descuento-del-35-
al-gobierno-de-costa-rica-y
-prometen-no-tocar-al-sect
or-privado).
www.larepublica.net.
Consultado el 22 de abril
de 2022.
65. «Conti anuncia
publicación de toda la data
robada a Costa Rica tras
negativa del gobierno a
pagar rescate» (https://delfi
no.cr/2022/04/conti-anunci
a-publicacion-de-toda-la-d
ata-robada-a-costa-rica-tra
s-negativa-del-gobierno-a-
pagar-rescate). delfino.cr.
Consultado el 22 de abril
de 2022.
66. «Gobierno sostiene que no
pagará ningún rescate
pese a descuento ofrecido
por ciberdelincuentes» (htt
ps://delfino.cr/2022/04/gobi
erno-sostiene-que-no-paga
ra-ningun-rescate-pese-a-d
rdelincuentes). delfino.cr.
Consultado el 22 de abril
de 2022.
67. «Alvarado: "Este
ciberataque busca
amenazar la estabilidad
del país en una coyuntura
de transición" » (https://delf
ino.cr/2022/04/alvarado-est
e-ciberataque-busca-amen
azar-la-estabilidad-del-pai
s-en-una-coyuntura-de-tran
sicion). delfino.cr.
Consultado el 22 de abril
de 2022.
68. «GOBIERNO FIRMA
DIRECTRIZ QUE
FORTALECE LAS
MEDIDAS DE
CIBERSEGURIDAD DEL
SECTOR PÚBLICO» (http
s://www.presidencia.go.cr/c
omunicados/2022/04/gobie
rno-firma-directriz-que-forta
lece-las-medidas-de-cibers
eguridad-del-sector-public
o/).
69. «Micitt: “desde ayer no se
han registrado nuevos
incidentes informáticos”»
(https://delfino.cr/2022/04/
micitt-desde-ayer-no-se-ha
 n-registrado-nuevos-incide privado costarricense |
ntes-informaticos). Crhoy.com» (https://www.cr
delfino.cr. Consultado el hoy.com/tecnologia/conti-c
22 de abril de 2022. ambia-de-tactica-ahora-am
70. «Jasec se convierte en la enaza-directamente-al-sect
nueva víctima de Conti | or-privado-costarricense/).
Crhoy.com» (https://www.cr CRHoy.com | Periodico
hoy.com/nacionales/jasec- Digital | Costa Rica
se-convierte-en-la-nueva-v Noticias 24/7. Consultado
ictima-de-conti/). el 25 de abril de 2022.
CRHoy.com | Periodico 75. «‘Hackers’ atacan sede
Digital | Costa Rica interuniversitaria de
Noticias 24/7. Consultado Alajuela y sistemas del
el 25 de abril de 2022. Inder» (https://www.nacion.
71. «Micitt: Ataque a Jasec com/el-pais/servicios/hack
pudo comprometer ers-atacan-sede-interunive
información de abonados | rsitaria-de-alajuela/GOPF
Crhoy.com» (https://www.cr GRNABND4NJIDJVZX7CI
hoy.com/nacionales/micitt- COU/story/). La Nación.
ataque-a-jasec-pudo-comp Consultado el 4 de mayo
rometer-informacion-de-ab de 2022.
onados/). CRHoy.com | 76. «MEIC detectó a Conti en
Periodico Digital | Costa computadoras de usuarios,
Rica Noticias 24/7. mientras que Micitt
Consultado el 25 de abril mantiene alerta sobre
de 2022. avisos recientes de los
72. «Datos personales de ‘hackers’» (https://www.elfi
usuarios de Jasec nancierocr.com/tecnologia/
pudieron ser robados por meic-detecto-a-conti-en-co
Conti, advierte el mputadoras-de-usuarios/Q
Gobierno» (https://www.na SBZYDJKRFDOFM5LIDZ
cion.com/el-pais/servicios/ KSYELWU/story/). El
datos-personales-de-usuar Financiero. Consultado el
ios-de-jasec-pudieron-ser/ 4 de mayo de 2022.
MHAXCPEODBDRHKI6L 77. «Micitt detecta
PMWV5PHGQ/story/). La ciberataques de Conti en
Nación. Consultado el 25 Fanal y en las
de abril de 2022. municipalidades de
73. «Conti cifra sistemas de Turrialba y Golfito» (https://
contabilidad y recursos www.elfinancierocr.com/tec
humanos de Jasec, según nologia/micitt-detecta-ciber
Micitt | Crhoy.com» (https:// ataques-de-conti-en-fanal-
www.crhoy.com/nacionale y-en/RPKLPJSNEVGQRD
s/conti-cifra-sistemas-de-c EYJ4B4GX4AWA/story/).
ontabilidad-y-recursos-hu El Financiero. Consultado
manos-de-jasec-segun-mic el 4 de mayo de 2022.
itt/). CRHoy.com | 78. «Autoridades confirman
Periodico Digital | Costa intentos de ciberataques
Rica Noticias 24/7. en Ministerio de Justicia y
Consultado el 25 de abril JPS» (https://www.teletica.
de 2022. com/amp/nacional/autorida
74. «Conti “cambia de táctica”: des-confirman-intentos-de-
Ahora amenaza ciberataques-en-ministerio
directamente al sector -de-justicia-y-jps_310540).
www.teletica.com.
Consultado el 4 de mayo
de 2022.
79. «Ciber criminales apuntan
a las municipalidades,
Garabito y Alajuelita
afectadas • Semanario
Universidad» (https://sema
nariouniversidad.com/pais/
ciber-criminales-apuntan-a
-las-municipalidades-gara
bito-y-alajuelita/).
semanariouniversidad.com
. 2 de mayo de 2022.
Consultado el 4 de mayo
de 2022.
80. «JPS sufre ataque
“aislado” de Conti;
Gobierno asegura que está
contenido | Crhoy.com» (htt
ps://www.crhoy.com/nacion
ales/jps-sufre-ataque-aisla
do-de-conti-gobierno-aseg
ura-que-esta-contenido/).
CRHoy.com | Periodico
Digital | Costa Rica
Noticias 24/7. Consultado
el 4 de mayo de 2022.
81. «FOTOS Y VIDEO: Los
extraños mensajes de las
impresoras de la CCSS
tras hackeo | Crhoy.com»
(https://www.crhoy.com/nac
ionales/fotos-y-video-los-e
xtranos-mensajes-de-las-i
mpresoras-de-la-ccss-tras-
hackeo/). CRHoy.com |
Periodico Digital | Costa
Rica Noticias 24/7.
Consultado el 31 de mayo
de 2022.
82. «Hive Ransomware Group,
el grupo de cibercriminales
que atacó la CCSS y tiene
predilección por
instituciones de salud» (htt
ps://delfino.cr/2022/05/hive
-ransomware-group-el-gru
po-de-cibercriminales-que-
ataco-la-ccss-y-tiene-predil
eccion-por-instituciones-de
-salud). delfino.cr.
Consultado el 31 de mayo
de 2022.
83. «Hackeo a la CCSS: "Fue
un ataque
excepcionalmente
violento", pero no se
vulneraron bases de datos
o sistemas críticos» (http
s://delfino.cr/2022/05/hack
eo-a-la-ccss-fue-un-ataque
-excepcionalmente-violent
o-pero-no-se-vulneraron-b
ases-de-datos-o-sistemas-
criticos). delfino.cr.
Consultado el 31 de mayo
de 2022.
84. «Hackeo a la CCSS: "Fue
un ataque
excepcionalmente
violento", pero no se
vulneraron bases de datos
o sistemas críticos» (http
s://delfino.cr/2022/05/hack
eo-a-la-ccss-fue-un-ataque
-excepcionalmente-violent
o-pero-no-se-vulneraron-b
ases-de-datos-o-sistemas-
criticos). delfino.cr.
Consultado el 31 de mayo
de 2022.
85. «‘Nos dijeron que nos
llamarían para
reprogramar‘, contó
asegurada afectada por
‘hackeo’ en CCSS» (http
s://www.nacion.com/el-pai
s/salud/hackeo-en-ccss-ob
liga-a-muchos-enfermos-a/
3SL6H3YFOVHDJNIX3G
YF2GLPYA/story/). La
Nación. Consultado el 31
de mayo de 2022.
86. «CCSS confirma alrededor
de 30 servidores afectados
por hackeo | Crhoy.com»
(https://www.crhoy.com/nac
ionales/ccss-confirma-alre
dedor-de-30-servidores-afe
ctados-por-hackeo/).
CRHoy.com | Periodico
Digital | Costa Rica
Noticias 24/7. Consultado
el 31 de mayo de 2022.
87. «Atención: Estos son los
servicios afectados por
hackeo en la CCSS |
Crhoy.com» (https://www.cr
hoy.com/nacionales/atenci
on-estos-son-los-servicios-
afectados-por-hackeo-en-l
a-ccss/). CRHoy.com |
Periodico Digital | Costa
Rica Noticias 24/7.
Consultado el 31 de mayo
de 2022.
88. «CCSS reportó afectación
de 4.871 usuarios en 80
establecimientos de salud,
tras hackeo a sistemas
informáticos» (https://delfin
o.cr/2022/06/ccss-reporto-a
fectacion-de-4-871-usuario
s-en-80-establecimientos-d
e-salud-tras-hackeo-a-siste
mas-informaticos).
delfino.cr. Consultado el 4
de junio de 2022.
89. «Más de 12 mil pacientes
se quedaron sin atención
médica en segundo día de
‘hackeo’ en la CCSS |
Crhoy.com» (https://www.cr
hoy.com/nacionales/mas-d
e-12-mil-pacientes-se-que
daron-sin-atencion-medica
-en-segundo-dia-de-hacke
o-en-la-ccss/). CRHoy.com
| Periodico Digital | Costa
Rica Noticias 24/7.
Consultado el 4 de junio
de 2022.
90. «CCSS investigará si hubo
negligencia para prevenir
hackeo a la institución» (htt
ps://delfino.cr/2022/06/ccss
-investigara-si-hubo-neglig
encia-para-prevenir-hacke
o-a-la-institucion).
delfino.cr. Consultado el 4
de junio de 2022.
91. «Ciberdelicuentes piden
$5 millones en bitcoins a la
CCSS» (https://delfino.cr/2
022/06/ciberdelicuentes-pi
den-5-millones-en-bitcoins
-a-la-ccss). delfino.cr.
Consultado el 4 de junio
de 2022.
92. «Supen suspende
temporalmente la libre
transferencia entre
operadoras de pensiones |
Crhoy.com» (https://www.cr
hoy.com/nacionales/supen
-suspende-temporalmente-
la-libre-transferencia-entre-
operadoras-de-
pensiones/). CRHoy.com |
Periodico Digital | Costa
Rica Noticias 24/7.
Consultado el 4 de junio
de 2022.
93. «CCSS amplía el plazo
para que patronos
presenten planillas: se
extenderá hasta el 10 de
junio debido a hackeos» (h
ttps://delfino.cr/2022/06/ccs
s-amplia-el-plazo-para-que
-patronos-presenten-planill
as-se-extendera-hasta-el-1
0-de-junio-debido-a-hacke
os). delfino.cr. Consultado
el 4 de junio de 2022.
94. «Régimen de IVM habilita
cuentas y correos para
depósito y reporte de pago
de créditos» (https://delfin
o.cr/2022/06/regimen-de-iv
m-habilita-cuentas-y-corre
os-para-deposito-y-reporte-
de-pago-de-creditos).
delfino.cr. Consultado el 4
de junio de 2022.
95. «163 establecimientos de
la CCSS habilitan líneas
telefónicas para consultas
de usuarios tras hackeo»
(https://delfino.cr/2022/05/1
63-establecimientos-de-la-
ccss-habilitan-lineas-telefo
nicas-para-consultas-de-us
uarios-tras-hackeo).
delfino.cr. Consultado el 4
de junio de 2022.
96. «Rodrigo Chaves sobre
ciberataques: "Estamos
preparando un decreto de
emergencia nacional" » (ht
tps://delfino.cr/2022/04/rodr
igo-chaves-sobre-ciberata
ques-estamos-preparando-
un-decreto-de-emergencia-
nacional). delfino.cr.
 Consultado el 31 de mayo 99. «Chaves afirma que país or-cibertaques). delfino.cr.
de 2022. está en guerra por ataques Consultado el 31 de mayo
97. «Cámaras empresariales cibernéticos y que habría de 2022.
piden declaratoria de ticos ayudando a Conti» (h 102. «Sala IV declara 'con
emergencia nacional por ttps://delfino.cr/2022/05/ch lugar' más de 200 amparos
situación en aduanas» (htt aves-afirma-que-pais-esta- contra el MEP por atraso
ps://delfino.cr/2022/05/cam en-guerra-por-ataques-cib en pago de salarios» (http
aras-empresariales-piden- erneticos-y-que-habria-tico s://delfino.cr/2022/05/sala-i
declaratoria-de-emergenci s-ayudando-a-conti). v-declara-con-lugar-mas-d
a-nacional-por-situacion-e delfino.cr. Consultado el e-200-recursos-de-amparo
n-aduanas). delfino.cr. 31 de mayo de 2022. -contra-el-mep-por-atraso-
Consultado el 31 de mayo 100. «Hackeo de Conti ha en-pago-de-salarios).
de 2022. afectado pagos de 12 mil delfino.cr. Consultado el
98. Rodrigo Chaves Robles. docentes, MEP volverá a 31 de mayo de 2022.
«Declara estado de planilla manual para 103. «MEP y Hacienda pagan
emergencia nacional en resolver crisis» (https://delfi más 25 mil movimientos
todo el sector público del no.cr/2022/05/hackeo-de-c pendientes mediante
Estado costarricense, onti-ha-afectado-pagos-de- planilla extraordinaria |
debido a los cibercrímenes 12-mil-docentes-mep-volve Ministerio de Educación
que han afectado la ra-a-planilla-manual-para-r Pública» (https://www.mep.
estructura de los sistemas esolver-crisis). delfino.cr. go.cr/noticias/mep-haciend
de información» (http://ww Consultado el 31 de mayo a-pagan-mas-25-mil-movi
w.pgrweb.go.cr/scij/Busqu de 2022. mientos-pendientes-media
eda/Normativa/Normas/nr 101. «Gobierno acuerda nte-planilla-extraordinaria).
m_texto_completo.aspx?p sobrepago para cancelar www.mep.go.cr.
aram1=NRTC&nValor1=1 salarios de educadores Consultado el 31 de mayo
&nValor2=96886&nValor3 afectados por cibertaques» de 2022.
=130028&strTipM=TC). (https://delfino.cr/2022/05/g
www.pgrweb.go.cr. obierno-acuerda-sobrepag
Consultado el 31 de mayo o-para-cancelar-salarios-d
de 2022. e-educadores-afectados-p

Obtenido de «https://es.wikipedia.org/w/index.php?
title=Ciberataque_al_Gobierno_de_Costa_Rica&oldid=144008429»

Esta página se editó por última vez el 5 jun 2022 a las 20:08.

El texto está disponible bajo la Licencia Creative Commons Atribución Compartir Igual 3.0;
pueden aplicarse
cláusulas adicionales. Al usar este sitio, usted acepta nuestros términos de uso y nuestra política de privacidad.
Wikipedia® es una marca registrada de la Fundación Wikimedia, Inc., una organización sin ánimo de lucro.