El ataque de Conti a Costa Rica en 2022: lecciones que aún se aprenden

En abril de 2022, el grupo de ransomware Conti lanzó un ataque masivo contra el gobierno de Costa Rica que afectó a más de veintisiete instituciones públicas, incluyendo el Ministerio de Hacienda, el Ministerio de Ciencia, la CCSS (seguridad social) y otros organismos críticos. El impacto fue tan severo que el presidente recién elegido, Rodrigo Chaves, declaró el estado de emergencia nacional por causa de un ciberataque, el primero en la historia de América Latina.

Conti no solo cifró los sistemas: exfiltró cientos de gigabytes de datos confidenciales y amenazó con publicarlos si no se pagaba el rescate de diez millones de dólares. El gobierno costarricense rechazó pagar, y los datos terminaron siendo filtrados. El ataque interrumpió el sistema de declaración de impuestos y causó pérdidas económicas estimadas en cientos de millones de dólares.

Qué falló y qué se aprendió

El análisis posterior reveló múltiples debilidades: sistemas sin actualizar, contraseñas débiles, ausencia de autenticación multifactor en accesos remotos, backups insuficientes y escasa capacidad de detección y respuesta. El ataque pudo propagarse lateralmente durante días antes de ser contenido porque no existía visibilidad en tiempo real sobre el tráfico interno entre sistemas.

Tres años después, la lección principal sigue siendo vigente: la ciberseguridad no puede limitarse a controles perimetrales. Se necesita monitorización interna continua, segmentación de redes, gestión estricta de credenciales y capacidad de respuesta rápida ante los primeros indicadores de compromiso. Todo eso que faltó en 2022 es precisamente lo que un SOC gestionado aporta de forma permanente.

Lo que faltó durante el ataque de Conti fue monitorización interna continua que detectara el movimiento lateral en sus primeras horas. Blindara mantiene esa vigilancia activa para que el daño se contenga antes de que el cifrado o la exfiltración se consoliden.