1

UNIVERSIDAD GALILEO
MAESTRIA INFORMATICA FORENSE
SEGURIDAD INFORMATICA
Otto Rene Santizo

“Ciber ataque de Costa Rica

Tipo de ataque generación IV”

Randy Geovanny Osorio Cisneros - 9810140

GUATEMALA, 2022

El ciberataque al Gobierno de Costa Rica es un ataque informático de

índole extorsiva iniciado la noche del domingo 17 de abril del 2022 en perjuicio de casi
una treintena de instituciones públicas de la República de Costa Rica, incluido
su Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y
Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN),
la Radiográfica Costarricense S. A. (RACSA), la Caja Costarricense de Seguro Social,
el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y
Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico
Municipal de Cartago (JASEC).

El grupo prorruso Conti Group se adjudicó el primer grupo de ataques y solicitó un

rescate de 10 millones de dólares estadounidenses a cambio de no liberar la
información sustraída del Ministerio de Hacienda, la cual podría incluir información
sensible como las declaraciones de impuestos de los ciudadanos y empresas que
operan en Costa Rica.
importaciones y exportaciones, causando pérdidas al sector productivo por el orden de
los 30 millones de dólares estadounidenses diarios.67 Asimismo, fueron retiradas de la
red las páginas web del MICITT.
Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la
empresa Microsoft, entre otras, para afrontar el ataque cibernético. El ataque consistió
en infecciones a sistemas informáticos con ransomware, defacement de páginas web,
sustracción de archivos de correos electrónicos y ataques al portal de recursos
humanos de la Seguridad Social, así como a su cuenta oficial de Twitter.
El 6 de mayo del 2022, el gobierno de los Estados Unidos a través del FBI ofreció una
recompensa de 10 millones de dólares estadounidenses por información que permitiera
identificar a una persona o personas en posición de liderazgo dentro de Conti Group, y
5 millones de dólares estadounidenses adicionales por información que permitiera la
captura o condena, en cualquier país, de personas que ayudaran o conspiraran en
realizar ataques con el ransomware de Conti.
El 8 de mayo de 2022, el nuevo presidente de Costa Rica, Rodrigo Chaves Robles,
decretó el estado de emergencia nacional debido a los ciberataques, al considerarlos
un acto de terrorismo. Días después, en una conferencia de prensa, afirmó que el país
estaba en estado de guerra1213 y que había evidencias de que gente dentro de Costa
Rica estaba ayudando a Conti, por lo que los calificó de "traidores" y "filibusteros".
El 31 de mayo del 2022 en horas de la madrugada, Hive Ransomware Group realizó un
ataque contra la Caja Costarricense de Seguro Social (CCSS), obligando a la institución
a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud
(EDUS) y el Sistema Centralizado de Recaudación (SICERE).1617 El primero almacena
la información médica sensible de los pacientes que atiende la Seguridad Social,
mientras que el segundo es el utilizado para el cobro de las cuotas de aseguramiento
de la población.
Conti Group
Conti Group es una organización criminal dedicada a realizar ataques de ransomware,
sustrayendo archivos y documentos de servidores para luego exigir un rescate.
Su modus operandiconsiste en infectar los equipos con el malware Conti, el cual opera
con hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la
mayoría de los virus de su tipo.
El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director
ejecutivo. Otro miembro conocido como Mango actúa como gerente general y se
comunica con frecuencia con Stern. Mango le dijo a Stern en un mensaje que había 62
personas en el equipo principal. Los números de personas involucradas fluctúan,
alcanzando hasta 100. Debido a la constante rotación de miembros, el grupo recluta
nuevos miembros mediante sitios de reclutamiento de trabajo legítimos y sitios de
piratas informáticos.
Los programadores ordinarios ganan entre $1500 a $2000 por mes, y los miembros que
negocian pagos de rescate pueden tomar una parte de las ganancias. En abril de 2021,
un miembro de Conti Group afirmó tener un periodista anónimo que tomó una parte del
5 % de los pagos de ransomware al presionar a las víctimas para que pagaran.20
Durante la invasión rusa de Ucrania en 2022, Conti Group anunció su apoyo a Rusia y
amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra
el país.212220 Como resultado, una persona anónima filtró aproximadamente 60 000
mensajes de registros de chat internos junto con el código fuente y otros archivos
utilizados por el grupo.
Las opiniones expresadas en las filtraciones incluyen el apoyo a Vladimir Putin, Vladimir
Zhirinovsky, el antisemitismo (incluso hacia Volodímir Zelenski). Un miembro conocido
como Patrick repitió varias afirmaciones falsas hechas por Putin sobre
Ucrania. Patrick vive en Australia y puede ser ciudadano ruso. También se encontraron
mensajes que contenían homofobia, misoginia y referencias al abuso infantil.
Conti ha sido responsable de cientos de incidentes de ransomware desde 2020.
El FBI estima que, desde enero de 2022, hubo más de 1000 víctimas de ataques
asociados con el ransomware Conti con pagos de las víctimas superiores a $150 000
000, lo que convierte a la cepa Conti Ransomware en la variedad de ransomware más
dañina jamás documentada.
Días después del anuncio del FBI, Conti anunció que iniciaría un proceso de cierre de
operaciones.Algunos de los miembros de Conti migraron a organizaciones más
pequeñas como Hive, HelloKitty, AvosLocker, BlackCat y BlackByteo; otros fundaron
algunas propias.

Hive Ransomware Group es una organización criminal conocida por su ensañamiento

contra las organizaciones o instituciones de salud pública, en particular hospitales y
clínicas. Apareció en junio de 2021 y de acuerdo con el Buró Federal de
Investigaciones (FBI) funciona como un ransomware basado en afiliados, emplea una
amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que crea desafíos
importantes para la defensa y la mitigación. Hive utiliza múltiples mecanismos para
comprometer las redes comerciales, incluidos los correos electrónicos de phishing con
archivos adjuntos maliciosos para obtener acceso y el Protocolo de Escritorio
Remoto (RDP en Inglés) para moverse una vez en la red.
De acuerdo con un reporte de Cisco, los criminales de Hive han evidenciado una
seguridad operativa baja al revelar información sobre su proceso de encriptación y otros
detalles operativos. El reporte también indica que Hive emplea todos y cada uno de los
medios necesarios para convencer a sus víctimas de que paguen, incluida la oferta de
sobornos a los negociadores de las víctimas una vez que se realiza el pago del rescate.
En agosto de 2021, ZDNet publicó que Hive había atacado al menos 28 organizaciones
de salud en los Estados Unidos, afectando clínicas y hospitales a lo largo
de Ohio y Virginia del Oeste. Entre las víctimas se encontraba el Memorial Healthcare
System, quien se vio forzado a que sus hospitales usaran expedientes de papel,
cancelar procedimientos y derivar pacientes a otros centros no vulnerados. La
organización terminó pagando el rescate para recuperar el acceso a sus sistemas.
En diciembre de 2021 Hive reveló haber atacado 355 compañías a lo largo de seis
meses, la gran mayoría en los Estados Unidos. De esas, al menos 104 terminaron
pagando el rescate por recuperar sus sistemas.
En febrero de 2022 cuatro investigadores de la Universidad de Kookmin en Corea del
Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware de Hive
que permitía obtener la clave maestra y recuperar la información secuestrada.
El sitio especializado TechTarget afirmó que Hive Ransomware Group se comunica en
ruso, pero que no hay información sobre la localización de sus operaciones.
Bleeping Computer LLC reportó que algunos de los hackers de Conti migraron a
organizaciones como Hive, sin embargo, el grupo ha rechazado tener vinculación con
Conti, pese a que una vez iniciado el proceso de cierre de operaciones y sus hackers
llegaron a ese otro grupo criminal, la organización empezó la táctica de publicar los
datos filtrados en la red profunda, tal y como lo hacía Conti.
La experta Yelisey Boguslavskiy de AdvIntel identificó y confirmó con un alto nivel de
certeza que Conti estuvo trabajando con Hive durante más de medio año, al menos
desde noviembre de 2021. Según su información, Hive utilizaba activamente los
accesos de ataque iniciales proporcionados por Conti.
A diferencia de Conti Group, Hive no está asociado con apoyo directo a la invasión rusa
de Ucrania, a pesar de que el pago de los rescates a Hive probablemente sea recibido
por las mismas personas dentro de Conti que reclamaron la alineación colectiva del
grupo con el gobierno ruso.
También en mayo de 2022, Hive atacó a la Comunidad de Navarra, España, forzando a
un centenar de instituciones a volver a la era del papel mientras los sistemas eran
recuperados.Ese mismo mes Hive también atacó al Banco Central de Zambia, sin
embargo, la entidad rechazó pagar el rescate afirmando que tenía los medios para
recuperar sus sistemas, sin embargo, ingresó al chat de los extorsionadores y suministró
el enlace a una "foto polla".
Los servidores del Ministerio de Hacienda de Costa Rica fueron los primeros en ser
vulnerados durante la noche del domingo 17 de abril. La cuenta de Twitter BetterCyber
fue la primera en replicar, al día siguiente, la publicación del foro de Conti Group que
daba cuenta del hackeo a la institución gubernamental costarricense indicando que
habían sido sustraídos 1 terabyte de información de la plataforma ATV, empleada por el
gobierno para que la ciudadanía y las empresas presenten sus declaraciones de
impuestos. A su vez, la publicación indicaba que la data empezaría a ser publicada el
23 de abril.
Antes de las 10 de la mañana del lunes santo, el Ministerio de Hacienda informó
mediante un comunicado de prensa y a través de sus redes sociales que "debido a
problemas técnicos", la plataforma de Administración Tributaria Virtual (ATV) y el
Sistema Informático Aduanero (TICA) habían sido deshabilitados, y que se prorrogaría
el plazo para la presentación y pago de impuestos que vencían ese día, hasta el
siguiente día hábiles después de que se restablecieran los sistemas. La institución no
reconoció inmediatamente haber sido hackeada e inicialmente se negó a responder a
preguntas de la prensa sobre la afirmación de Conti Group.
Al día siguiente, Conti Group publicó una nueva entrada en su foro anunciando que
pedían 10 millones de dólares estadounidenses como rescate de la información
sustraída. El Ministerio de Hacienda confirmó que la información publicada hasta el
momento correspondía a información del Servicio Nacional de Aduanas, empleada para
insumos y soporte.
En relación con las comunicaciones que han sido detectadas en las redes sociales, y
calificadas como hackeo, el Ministerio de Hacienda comunica lo siguiente:
Efectivamente, desde la madrugada de hoy enfrentamos una situación en algunos de
nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos
externos, quienes durante las últimas horas han tratado de detectar y reparar las
situaciones que se están presentando.
Este Ministerio ha tomado la decisión de permitir a los equipos de investigación realizar
un análisis profundo en los sistemas de información, por lo cual ha tomado la decisión
de suspender temporalmente algunas plataformas como ATV y TICA, y se estarán
reiniciando los servicios una vez que los equipos concluyan sus análisis.
En las últimas horas se ha detectado la exposición de algunos de los datos que
pertenecen a la Dirección General de Aduanas, la cual está realizando los procesos de
investigación de la información, según lo establece el plan de respuesta.
Los datos identificados hasta el momento son de carácter histórico y los utiliza el
Servicio Nacional de Aduanas como insumos y de soporte.
Horas después del comunicado de Hacienda, el micrositio del Ministerio de Ciencia,
Innovación, Tecnología y Telecomunicaciones (MICITT) sufrió un defacement en el cual
se dejó el mensaje: "Te saludamos desde Conti, búscanos en tu red".
Posteriormente, una actualización en el foro de Conti Group indicaba que los ataques
contra los ministerios de Costa Rica continuarían "hasta que el gobierno nos pague".
Horas después, Conti atacó el Instituto Meteorológico Nacional de Costa Rica,
específicamente en un servidor de correo electrónico, sustrayendo la información allí
contenida.Conti afirmó que el escenario que estaba viviendo Costa Rica era una
"versión beta de un ataque cibernético global a un país completo". Posteriormente, en
otra actualización en su foro, indicaron que si el Ministerio de Hacienda no informaba a
sus contribuyentes qué era lo que estaba ocurriendo, ellos lo harían:
Si el ministro no puede explicar a sus contribuyentes qué está ocurriendo, nosotros lo
haremos: 1) hemos penetrado su infraestructura crítica, obtenido acceso a cerca de 800
servidores, descargado cerca de 900 GB de bases de datos y cerca de 100 GB de
documentos internos, bases de datos en el formato MSSQL mdf, hay más que solo el
correo, primer nombre, apellidos... Si el ministro considera que esa información no es
confidencial, la publicaremos. El problema de la fuga no es el principal problema del
Ministerio, sus copias de seguridad también fueron encriptadas, 70 % de su
infraestructura probablemente no podrá ser restaurada y tenemos puertas traseras en
gran número de sus ministerios y compañías privadas. Pedimos una cantidad
significativamente pequeña de la que gastarán en el futuro. Su negocio de exportaciones
ya experimenta problemas y ya perdieron los 10 millones de dólares que podrían
habernos pagado.
Más tarde ese día, el Gobierno de Costa Rica negó haber recibido una solicitud de
rescate, pese a la publicación en el foro de Conti Group relativa a los 10 millones de
dólares estadounidenses.

El 20 de abril, Conti publicó 5 GB adicionales de información robada al Ministerio de

Hacienda. En horas de la tarde el Gobierno convocó a una conferencia de prensa en la
Casa Presidencial donde alegó que la situación estaba bajo control, y que además de
Hacienda, MICITT y el IMN, había sido atacada la Radiográfica Costarricense S. A.
(RACSA), mediante la vulneración de servidor de correo electrónico interno. En el ínterin,
la Caja Costarricense de Seguro Social (CCSS) reportó haber sufrido un ataque
cibernético en su sitio de recursos humanos, el cual estaba siendo combatido.Conti
Group no se adjudicó la responsabilidad del ataque, dado que la Caja reportó horas
después que no se sustrajo información sensible de los asegurados, como su historial
médico o de contribuciones a pensión o seguro de salud, y que las bases de datos
habían quedado intactas.
La Ministra de la Presidencia, Geannina Dinarte Romero, indicó que esto se trataba de
un caso de crimen organizado internacional y que el Gobierno de Costa Rica no pagaría
ningún rescate.60 Asimismo, anunció que estaban recibiendo asistencia técnica de los
gobiernos de Estados Unidos, Israel y España, así como de la empresa Microsoft, que
era la que operaba los servidores del Ministerio de Hacienda en un primer lugar.
El 21 de abril, Conti Group atacó en horas de la madrugada los servidores del Ministerio
de Trabajo y Seguridad Social (MTSS), así como del Fondo de Desarrollo Social y
Asignaciones Familiares (FODESAF). El informe preliminar del Gobierno apunta a que
fue sustraída información como correos electrónicos, datos sobre pago de pensiones y
ayudas sociales de ambas instituciones. Asimismo, el grupo ofreció un 35 % de
descuento en el monto del rescate exigido si el Gobierno de Costa Rica realizaba un
pago rápido.
Antes del mediodía, el MICITT realizó una conferencia de prensa donde el Gobierno
reiteró su posición de no pagar el rescate exigido por Conti Group, por lo que horas
después el grupo criminal anunció que empezaría a publicar de inmediato la información
sustraída, instando a los ciberdelincuentes costarricenses a aprovecharla para
cometer phishing.
El presidente Carlos Alvarado Quesada dio ese día su primera declaración pública
sobre el hackeo.
Declaración del presidente Carlos Alvarado Quesada sobre el hackeo.
Reitero que el Estado Costarricense NO PAGARÁ NADA a estos criminales cibernéticos.
Pero mi criterio es que este ataque no es un tema de dinero, sino que busca amenazar
la estabilidad del país, en una coyuntura de transición. Esto no lo lograrán. Como
siempre lo hemos hecho, cada persona de esta tierra pondrá de su parte para defender
a Costa Rica.

En horas de la tarde el Gobierno emitió una directriz dirigida al sector público con el fin
de resguardar el correcto funcionamiento, confidencialidad y ciberseguridad del aparato
público. El documento dispone que en caso de presentarse alguna situación que afecte
la confidencialidad, disponibilidad e integridad de servicios disponibles al público, la
continuidad de las funciones institucionales, la suplantación de identidad de la institución
en redes sociales, e incluso aquellos que a lo interno de la institución se consideren bajo
control, se deberá informar al Centro de Respuesta de Incidentes de Seguridad
Informática (CSIRT-CR) del evento; además, de manera preventiva, la institución
afectada deberá respaldar la información referente al incidente acontecido, para las
investigaciones correspondientes.

Asimismo las instituciones deberán realizar los procesos de mantenimiento en su

infraestructura de telecomunicaciones, sea que le corresponda a la Administración
Pública o alguna empresa contratada. Esas acciones incluyen actualizaciones
permanentes de todos los sistemas institucionales, cambio de contraseñas de todos los
sistemas y redes institucionales, deshabilitar servicios y puertos no necesarios y
monitorear la infraestructura de red. Además de aplicar cualquier alerta dada por el
CSIRT-CR, según corresponda a su institución.
La directriz también ordena realizar al menos dos veces al año un análisis de
vulnerabilidades a los sitios web oficiales del Gobierno de Costa Rica.
La mañana del 22 de abril, el Gobierno de Costa Rica informó que desde el día previo
no se registraban nuevos ataques de Conti Group contra el país. Sin embargo, el director
de Gobernanza Digital, Jorge Mora, detalló que desde el lunes que empezaron a tomar
medidas de prevención en las instituciones del Estado, detectaron 35 000 solicitudes de
comunicación de malware, 9900 incidentes de phishing, 60 000 intentos de control
remoto de infraestructura informática y 60 000 intentos de minado de criptomonedas en
infraestructura informática de las primeras 100 instituciones estatales intervenidas.
El 23 de abril, Conti Group atacó a la Junta Administrativa del Servicio Eléctrico
Municipal de Cartago (JASEC), la empresa pública encargada del suministro eléctrico
de la provincia de Cartago.Jorge Mora Flores informó ese día que podría haberse
comprometido información de los abonados.Al día siguiente, reportó que la información
de contabilidad y recursos humanos de la institución fue cifrada como parte del ataque.
El 25 de abril, Conti anunció que cambiaría su estrategia de ataques al Estado de Costa
Rica, enfocándose ahora en grandes empresas del sector privado. El grupo anunció que
dejaría de anunciar sus hackeos en su página en la red profunda, para enfocarse en
solicitar el rescate respectivo por la información sustraída y cifrada.
El 26 de abril, el MICITT reportó que fue atacada la página web de la Sede
Interuniversitaria de Alajuela y que hubo intento de vulnerar los servidores del Instituto
de Desarrollo Rural(INDER), pero que fue efectivamente repelido.El 29 de abril el
gobierno reportó un intento de hackeo al Ministerio de Economía, Industria y
Comercio (MEIC)74 y un día después contra la Fábrica Nacional de Licores (FANAL) y
las municipalidades de Turrialba y Golfito.
El 2 de mayo se reportó otro intento de hackeo en el Ministerio de Justicia y Paz (MJP),
aunque fue repelido. Al día siguiente se reportaron ciberataques a las municipalidades
de Garabito y Alajuelita, aunque tampoco lograron su cometido; también se registró un
intento de ataque a la Junta de Protección Social (JPS).
El 4 de mayo, MICITT reportó intentos de hackeo a la Comisión Nacional de Préstamos
para la Educación (CONAPE) y uno más al Colegio Universitario de Cartago (CUC),
aunque este último no fue responsabilidad de Conti.
El 11 de junio, el Ministerio de Hacienda anunció que el lunes 13 de junio se volvería a
habilitar el Sistema de Administración Tributación Virtual (ATV) para que los
costarricenses pudieran declarar sus impuestos, dos meses después del ataque de
Conti.
El 24 de junio también se restableció el sistema TICA (Tecnologías de la Información
para el Control Aduanero), que también había sido atacado por el grupo Conti. En esa
misma fecha también se restableció Exonet, una plataforma utilizada para gestionar y
procesar solicitudes de exención de impuestos.

El 31 de mayo a las dos de la mañana (UTC-6:00), la Caja Costarricense de Seguro

Social (CCSS) detectó flujos de información anómalos en sus sistemas y empezó a
recibir reportes de distintos hospitales de comportamiento anómalo en diversos equipos,
por lo que de inmediato procedió a apagar todos sus sistemas críticos, incluido el
Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación
(SICERE). Algunas impresoras de la institución imprimieron mensajes con códigos o
caracteres aleatorios, mientras que otras imprimieron instrucciones predeterminadas de
Hive Ransomware Group de cómo recuperar el acceso a los sistemas.
En una conferencia de prensa antes del mediodía las autoridades de la CCSS calificaron
el ataque como "excepcionalmente violento" y detallaron que los primeros incidentes se
registraron en el Hospital San Vicente de Paul, en la provincia de Heredia; luego en el
Hospital de Liberia, provincia de Guanacaste, y de ahí migró a los hospitales de la Gran
Área Metropolitana.
El presidente de la CCSS, Álvaro Ramos Chaves, afirmó que las bases de datos con
información sensible no fueron vulneradas, pero que al menos una treintena de
servidores (de los más de 1500 que tiene la institución) fueron contaminados con el
ransomware. Agregó que tenían la solución informática para levantar los sistemas, pero
que tomaría tiempo, pues debía revisarse cada uno de los equipos para garantizar que
al conectarlos y acceder a la información allí contenida, los hackers no pudieran hacerlo
también.
Como consecuencia, una cifra aún indeterminada de asegurados vio sus citas médicas
canceladas.85 Los centros médicos de la CCSS debieron recurrir al papel, debido a que
también fue sacado de la red el EDUS-no conectado (conocido como Expediente Digital
en Ambiente de Contingencia) como medida de seguridad, situación que podría
permanecer así durante varios días.
Los EBAIS, áreas de salud y hospitales se quedaron sin acceso al Expediente Digital
Único en Salud (EDUS), al Expediente Digital en Ambiente de Contingencia (EDAC), al
módulo de control de ocupación hospitalaria y egresos de pacientes (ARCA), al sistema
de Validación de Derechos, Facturación y otros. Las sucursales financieras se quedaron
sin acceso al Sistema Centralizado de Recaudación (SICERE), al Registro Control y
Pago de Incapacidades (RCPI), al Sistema Integrado de Comprobantes (SICO), a los
sistemas de inspección y plataformas web asociados a la gestión de patronos. Las
oficinas y áreas administrativas se quedaron sin poder utilizar las computadoras y
los teletrabajadores solo podían acceder a Office 365 (Word, Excel, PowerPoint,
Outlook, Teams).
En total en el primer día de afectación, 4871 usuarios perdieron sus citas médicas.Al día
siguiente la cifra aumentó en 12 mil personas más. Asimismo, la CCSS reportó que la
mayor afectación se experimentaba en el servicio de Laboratorio, donde solo el 45 %
del servicio en la institución funcionaba con normalidad, 48 % tenía afectación parcial y
7 % presentaba retrasos. Asimismo, una revisión de 108 establecimientos de salud
arrojó que el 96 % de los servicios hospitalarios funcionaba con plan de contingencia, el
18 % de las consultas externas presentaban afectaciones parciales, 19 % de los
servicios de radiología e imágenes médicas tenían afectación parcial y el 37 % de los
servicios de farmacia estaba afectado.
El 1 de junio durante una conferencia de prensa en la Casa Presidencial, el presidente
ejecutivo de la CCSS, Álvaro Ramos Chaves anunció la apertura de una investigación
administrativa en contra del Departamento de Tecnologías de Información de la
institución por el hackeo, para determinar si hubo negligencia. El presidente de la
República, Rodrigo Chaves Robles, afirmó que debían sentarse responsabilidades
porque menos de 15 computadoras de la CCSS tenían instalado el sistema
microCLAUDIA donado por el Reino de España luego del primer grupo de ataques
cibernéticos por parte de Conti Group.
Asimismo, Ramos Chaves reveló que las afectaciones por el ataque eran 27 veces
mayores a lo reportado el primer día, pues había 800 servidores infectados y más de
9000 terminales de usuario final afectadas, por lo que los sistemas no podrían ser
recuperados en la primera semana como se tenía previsto.
El 2 de junio, Hive Ransomware Group solicitó $5 millones en bitcoin para que la CCSS
pudiera recuperar sus servicios.
El 4 de junio la Superintendencia de Pensiones (SUPEN) anunció la suspensión hasta
nuevo aviso de la posibilidad de trasladar libremente los fondos de pensiones
complementarias entre las distintas operadoras, pues para ello se necesitaba de uno de
los sistemas de la CCSS que estaba afectado por el hackeo.
Ante la caída de sus sistemas para el reporte de las planillas y pago de contribuciones
sociales, la CCSS debió ampliar hasta el 10 de junio el plazo para que los patronos
presentaran la planilla correspondiente al mes de mayo. Asimismo, anunció que los
trabajadores independientes y asegurados voluntarios no podrían pagar sus cuotas
mensuales debido a la imposibilidad de realizarles la factura correspondiente. El
régimen de pensiones por Invalidez, Vejez y Muerte (IVM) debió habilitar cuentas
bancarias y correos específicos para que las personas con créditos hipotecarios
pudieran pagar sus mensualidades y reportar los abonos. Asimismo, 163
establecimientos de salud de la Caja habilitaron líneas telefónicas específicas para que
la población evacuara dudas respecto a la continuidad de los servicios y el estado de
sus citas médicas.
El 22 de abril de 2022, el entonces presidente electo de Costa Rica, Rodrigo Chaves
Robles anunció su pretensión de declarar estado de emergencia nacional una vez
asumiera el poder, debido a los ciberataques contra el sector público del país.
El 3 de mayo del 2022, la Cámara de Industrias de Costa Rica (CICR), la Cámara
Nacional de Transportistas de Carga (CANATRAC), la Cámara de Comercio Exterior de
Costa Rica (CRECEX), la Cámara de Almacenes Fiscales y Generales de Depósito
(CAMALFI), la Cámara Costarricense de Navieros (NAVE), la Cámara de Exportadores
de Costa Rica (CADEXCO) y la Asociación de Agentes de Aduanas (AAACR) solicitaron
declarar estado de emergencia por la situación de las aduanas del país a raíz del hackeo
de Conti Group y advirtieron que en pocos días, si la situación no mejoraba, Costa Rica
podría presentar una paralización del comercio internacional por acumulación de
contenedores de carga, dado que Aduanas debió realizar trámites en papel, elevando a
tres y hasta cuatro días las esperas para recibir visto bueno para movilizar los
contenedores.
El 8 de mayo, al asumir el poder, Chaves Robles firmó el Decreto Ejecutivo Nº 43542-
MP-MICITT, declarando estado de emergencia nacional por los ciberataques contra el
sector público de Costa Rica y dispuso que la Presidencia de la República tomara el
control del planteamiento, dirección y coordinación de los procesos necesarios para
lograr la contención y solución, y no la Comisión Nacional de Emergencias a quien por
ley corresponde atender ante situaciones de emergencia nacional declarada.
El 16 de mayo, el presidente Chaves afirmó que el país estaba en estado de guerra por
los hackeos de Conti y denunció que había nacionales ayudando al "grupo terrorista"
que el fin de semana previo había amenazado con derrocar al gobierno recién electo.
Al día siguiente, decenas de trabajadores del Ministerio de Educación Pública (MEP) se
lanzaron a las calles para protestar por el impago de sus salarios, pagos menores a lo
que correspondía, entre otros problemas vinculados a la imposibilidad de actualizar las
planillas estatales debido al hackeo. El MEP cifró en 16 000 la cantidad de trabajadores
afectados en el pago de sus salarios (3000 sin ningún pago y 13 000 con pagos de
alguna forma incorrectos) y el Ministerio de Hacienda, como medida de contingencia,
suministró una herramienta que debía ser llenada a mano para poner al día los pagos
de los empleados.
El 21 de mayo, debido a nuevas protestas, los sindicatos negociaron con el Gobierno,
quien se comprometió a pagar los montos adeudados y recuperar posteriormente
cualquier suma pagada de más a los trabajadores. El 27 de mayo la Sala Constitucional
de la Corte Suprema de Justicia declaró con lugar más de 200 recursos de
amparo presentados contra el Estado por parte de trabajadores del MEP afectados en
el pago de sus salarios, y ordenó tomar medidas de contingencia para poner al día los
pagos en el plazo de un mes.El 30 de mayo el gobierno anunció que el MEP y Hacienda
habían pagado más de 6 mil millones de colones como planilla extraordinaria
correspondiente a 25,618 movimientos pendientes de cancelar debido al hackeo.