Ciberataque al Gobierno de Costa Rica
El ciberataque al Gobierno de Costa Rica fue un ataque informático de índole extorsivo iniciado la noche (UTC-6:00) del domingo 17 de abril del 2022 en perjuicio de casi una treintena de instituciones públicas, incluido el Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN), la Radiográfica Costarricense S. A. (RACSA), la Caja Costarricense de Seguro Social, el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC).[1][2]
Ciberataque al Gobierno de Costa Rica | ||
---|---|---|
Página web del Ministerio de Hacienda mostrando un mensaje plano avisando de los trabajos para recuperar los servicios a raíz del ataque. | ||
Lugar | Costa Rica | |
Blanco | Gobierno de Costa Rica | |
Fecha | 17 de abril-31 de mayo de 2022 | |
Tipo de ataque | Ciberataque | |
Arma | Ransomware | |
Perpetrador | Financiados por el estado ruso | |
El grupo prorruso Conti Group se adjudicó el primer grupo de ataques y solicitó un rescate de 10 millones de dólares estadounidenses a cambio de no liberar la información sustraída del Ministerio de Hacienda, la cual podía incluir información sensible como las declaraciones de impuestos de los ciudadanos y empresas que operan en Costa Rica.[3][4][5]
Como consecuencia, el gobierno debió dar de baja los sistemas informáticos empleados para declarar impuestos, así como los sistemas para el control y manejo de las importaciones y exportaciones causando pérdidas al sector productivo por el orden de los 30 millones de dólares diarios.[6][7]
Costa Rica requirió asistencia técnica de los Estados Unidos, Israel, España y de la empresa Microsoft, entre otras, para afrontar el ataque cibernético, que consistió en infecciones a sistemas informáticos con ransomware, defacement de páginas web, sustracción de archivos de correos electrónicos y ataques al portal de recursos humanos de la Seguridad Social, así como a su cuenta oficial de Twitter.[8][9]
El 6 de mayo del 2022 el gobierno de los Estados Unidos a través del FBI ofreció una recompensa de 10 millones de dólares por información que permitiera identificar a una persona o personas en posición de liderazgo dentro de Conti Group, y 5 millones de dólares adicionales por información que permitiera la captura o condena, en cualquier país, de personas que ayudaran o conspiraran en realizar ataques con el ransomware de Conti.[10][11]
El 8 de mayo de 2022 el nuevo presidente de Costa Rica, Rodrigo Chaves Robles, decretó el estado de emergencia nacional debido a los ciberataques, al considerarlos un acto de terrorismo. Días después, en una conferencia de prensa, afirmó que el país estaba en estado de guerra[12][13] y que había evidencias de que gente dentro de Costa Rica estaba ayudando a Conti, por lo que los calificó de "traidores" y "filibusteros".[14][15]
El 31 de mayo del 2022 en horas de la madrugada Hive Ransomware Group realizó un ataque contra la Caja Costarricense de Seguro Social (CCSS), obligando a la institución a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (SICERE).[16][17] El primero almacena la información médica sensible de los pacientes que atiende la Seguridad Social, mientras que el segundo es el utilizado para el cobro de las cuotas de aseguramiento de la población.[18]
Antecedentes
editarConti Group
editarConti Group es una organización criminal dedicada a realizar ataques de ransomware, sustrayendo archivos y documentos de servidores para luego exigir un rescate. Su modus operandi consiste en infectar los equipos con el malware Conti, el cual opera con hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de los virus de su tipo.[19]
El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo. Otro miembro conocido como Mango actúa como gerente general y se comunica con frecuencia con Stern. Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. Los números de personas involucradas fluctúan, alcanzando hasta 100. Debido a la constante rotación de miembros el grupo recluta nuevos integrantes mediante sitios de trabajo legítimos y de piratas informáticos.[20]
Los programadores ordinarios ganan entre $1500 a $2000 por mes y los miembros que negocian pagos de rescate pueden tomar una parte de las ganancias. En abril de 2021 un miembro de Conti Group afirmó tener un periodista anónimo en sus filas que tomó una parte del 5 % de los pagos de ransomware al presionar a las víctimas para que pagaran.[20]
Durante la invasión rusa de Ucrania en 2022 Conti Group anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país.[21][22][20] Como resultado, una persona anónima filtró aproximadamente 60 000 mensajes de registros de chat internos junto con el código fuente y otros archivos utilizados por el grupo.[23][24]
Las opiniones expresadas en las filtraciones incluyen el apoyo a Vladímir Putin, Vladimir Zhirinovsky y el antisemitismo (incluso hacia Volodímir Zelenski). Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. Patrick vive en Australia y puede ser ciudadano ruso. También se encontraron mensajes que contenían homofobia, misoginia y referencias al abuso infantil.[25]
Conti ha sido responsable de cientos de incidentes de ransomware desde 2020. El FBI estima que desde enero de 2022 hubo más de 1000 víctimas de ataques asociados con el ransomware Conti con pagos de las víctimas superiores a $150 000 000, lo que convierte a la cepa Conti en la variedad de ransomware más dañina jamás documentada.[26]
Días después del ofrecimiento de recompensas por parte del FBI, Conti anunció que iniciaría un proceso de cierre de operaciones.[27] Algunos de los miembros de Conti migraron a organizaciones más pequeñas como Hive, HelloKitty, AvosLocker, BlackCat y BlackByteo; otros fundaron algunas propias.[28]
Hive Ransomware Group
editarHive Ransomware Group es una organización criminal conocida por su ensañamiento contra las organizaciones o instituciones de salud pública, en particular hospitales y clínicas.[29] Apareció en junio de 2021[30] y de acuerdo con el Buró Federal de Investigaciones (FBI) funciona como un ransomware basado en afiliados, emplea una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que crea desafíos importantes para la defensa y la mitigación. Hive utiliza múltiples mecanismos para comprometer las redes comerciales, incluidos los correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso y el Protocolo de Escritorio Remoto (RDP en Inglés) para moverse una vez en la red.[31]
De acuerdo con un reporte de Cisco los criminales de Hive han evidenciado una seguridad operativa baja al revelar información sobre su proceso de encriptación y otros detalles operativos. El reporte también indica que Hive emplea todos y cada uno de los medios necesarios para convencer a sus víctimas de que paguen, incluida la oferta de sobornos a los negociadores de las víctimas una vez que se realiza el pago del rescate.[32]
En agosto de 2021 ZDNet publicó que Hive había atacado al menos 28 organizaciones de salud en los Estados Unidos, afectando clínicas y hospitales a lo largo de Ohio y Virginia del Oeste. Entre las víctimas se encontraba el Memorial Healthcare System, quien se vio forzado a que sus hospitales usaran expedientes de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados. La organización terminó pagando el rescate para recuperar el acceso a sus sistemas.[33]
En diciembre de 2021 Hive reveló haber atacado 355 compañías a lo largo de seis meses, la gran mayoría en los Estados Unidos. De esas al menos 104 terminaron pagando el rescate por recuperar sus sistemas.[34]
En febrero de 2022 cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware de Hive que permitía obtener la clave maestra y recuperar la información secuestrada.[35]
El sitio especializado TechTarget afirmó que Hive Ransomware Group se comunica en ruso, pero que no hay información sobre la localización de sus operaciones.[34]
Bleeping Computer LLC reportó que algunos de los hackers de Conti migraron a organizaciones como Hive, sin embargo el grupo ha rechazado tener vinculación con Conti pese a que una vez iniciado el proceso de cierre de operaciones y sus hackers llegaron a ese otro grupo criminal, la organización empezó la táctica de publicar los datos filtrados en la red profunda, tal y como lo hacía Conti.[16]
La experta Yelisey Boguslavskiy de AdvIntel identificó y confirmó con un alto nivel de certeza que Conti estuvo trabajando con Hive durante más de medio año, al menos desde noviembre de 2021. Según su información, Hive utilizaba activamente los accesos de ataque iniciales proporcionados por Conti.[16]
A diferencia de Conti Group, Hive no está asociado con apoyo directo a la invasión rusa de Ucrania, a pesar de que el pago de los rescates a Hive probablemente sea recibido por las mismas personas dentro de Conti que reclamaron la alineación colectiva del grupo con el gobierno ruso.[16]
También en mayo de 2022 Hive atacó a la Comunidad de Navarra, España, forzando a un centenar de instituciones a volver a la era del papel mientras los sistemas eran recuperados.[36][37] Ese mismo mes Hive también atacó al Banco Central de Zambia, sin embargo, la entidad rechazó pagar el rescate afirmando que tenía los medios para recuperar sus sistemas, aunque ingresó al chat de los extorsionadores y suministró el enlace a una "fotopolla"[38][39][40] con el mensaje:
Chupad esta polla y dejad de bloquear redes bancarias pensando que monetizareis algo, aprended a monetizar.Banco Central de Zambia.
Ataque
editarAtaque de Conti Group
editarLos servidores del Ministerio de Hacienda de Costa Rica fueron los primeros en ser vulnerados durante la noche del domingo 17 de abril. La cuenta de Twitter BetterCyber fue la primera en replicar, al día siguiente, la publicación del foro de Conti Group que daba cuenta del hackeo a la institución gubernamental costarricense indicando que había sido sustraído 1 terabyte de información de la plataforma ATV, empleada por el gobierno para que la ciudadanía y las empresas presenten sus declaraciones de impuestos. A su vez, la publicación indicaba que la data empezaría a ser publicada el 23 de abril.[41]
Antes de las 10 de la mañana del lunes santo, el Ministerio de Hacienda informó mediante un comunicado de prensa y a través de sus redes sociales que "debido a problemas técnicos", la plataforma de Administración Tributaria Virtual (ATV) y el Sistema Informático Aduanero (TICA) habían sido deshabilitados, y que se prorrogaría el plazo para la presentación y pago de impuestos que vencían ese día, hasta el siguiente día hábil después de que se restablecieran los sistemas.[42] La institución no reconoció inmediatamente haber sido hackeada e inicialmente se negó a responder preguntas de la prensa sobre la afirmación de Conti Group.[43][44]
Al día siguiente, Conti Group publicó una nueva entrada en su foro anunciando que pedían 10 millones de dólares como rescate de la información sustraída.[45] El Ministerio de Hacienda confirmó que la información publicada hasta el momento correspondía a información del Servicio Nacional de Aduanas empleada para insumos y soporte.[46]
En relación con las comunicaciones que han sido detectadas en las redes sociales, y calificadas como hackeo, el Ministerio de Hacienda comunica lo siguiente:Efectivamente, desde la madrugada de hoy enfrentamos una situación en algunos de nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos externos, quienes durante las últimas horas han tratado de detectar y reparar las situaciones que se están presentando.
Este Ministerio ha tomado la decisión de permitir a los equipos de investigación realizar un análisis profundo en los sistemas de información, por lo cual ha tomado la decisión de suspender temporalmente algunas plataformas como ATV y TICA, y se estarán reiniciando los servicios una vez que los equipos concluyan sus análisis.
En las últimas horas se ha detectado la exposición de algunos de los datos que pertenecen a la Dirección General de Aduanas, la cual está realizando los procesos de investigación de la información, según lo establece el plan de respuesta.
Los datos identificados hasta el momento son de carácter histórico y los utiliza el Servicio Nacional de Aduanas como insumos y de soporte.Ministerio de Hacienda
Horas después del comunicado de Hacienda el micrositio del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) sufrió un defacement en el cual se dejó el mensaje: "Te saludamos desde Conti, búscanos en tu red".[47][48][49]
Jorge Mora Flores, director de Gobernanza Digital de Costa Rica indicó que a raíz del ataque, y porque el servidor afectado albergaba otras páginas se tomó la decisión de apagarlo mientras se realizaban las verificaciones correspondientes para determinar hasta qué punto se logró vulnerar la seguridad.[49] Posteriormente, una actualización en el foro de Conti Group indicaba que los ataques contra los ministerios de Costa Rica continuarían "hasta que el gobierno nos pague".[50]
Horas después Conti atacó el Instituto Meteorológico Nacional de Costa Rica, específicamente un servidor de correo electrónico, sustrayendo la información allí contenida.[51][52] Conti afirmó que el escenario que estaba viviendo Costa Rica era una "versión beta de un ataque cibernético global a un país completo".[53] Posteriormente en otra actualización en su foro indicaron que si el Ministerio de Hacienda no informaba a sus contribuyentes qué era lo que estaba ocurriendo, ellos lo harían:
Si el ministro no puede explicar a sus contribuyentes qué está ocurriendo, nosotros lo haremos: 1) hemos penetrado su infraestructura crítica, obtenido acceso a cerca de 800 servidores, descargado cerca de 900 GB de bases de datos y cerca de 100 GB de documentos internos, bases de datos en el formato MSSQL mdf, hay más que solo el correo, primer nombre, apellidos... Si el ministro considera que esa información no es confidencial, la publicaremos. El problema de la fuga no es el principal problema del Ministerio, sus copias de seguridad también fueron encriptadas, 70 % de su infraestructura probablemente no podrá ser restaurada y tenemos puertas traseras en gran número de sus ministerios y compañías privadas. Pedimos una cantidad significativamente pequeña de la que gastarán en el futuro. Su negocio de exportaciones ya experimenta problemas y ya perdieron los 10 millones de dólares que podrían habernos pagado.Conti Group
Más tarde ese día el Gobierno de Costa Rica negó haber recibido una solicitud de rescate, pese a la publicación en el foro de Conti Group relativa a los 10 millones de dólares.
El 20 de abril Conti publicó 5 GB adicionales de información robada al Ministerio de Hacienda.[54] En horas de la tarde el Gobierno convocó a una conferencia de prensa en la Casa Presidencial donde alegó que la situación estaba bajo control, y que además de Hacienda, MICITT y el IMN, había sido atacada la Radiográfica Costarricense S. A. (RACSA), mediante la vulneración de servidor de correo electrónico interno.[55][56] En el ínterin, la Caja Costarricense de Seguro Social (CCSS) reportó haber sufrido un ataque cibernético en su sitio de recursos humanos, el cual estaba siendo combatido.[57][58] Conti Group no se adjudicó la responsabilidad del ataque, dado que la Caja reportó horas después que no se sustrajo información sensible de los asegurados, como su historial médico o de contribuciones a pensión o seguro de salud, y que las bases de datos habían quedado intactas.[59]
La Ministra de la Presidencia, Geannina Dinarte Romero indicó que esto se trataba de un caso de crimen organizado internacional y que el Gobierno de Costa Rica no pagaría ningún rescate.[60] Asimismo anunció que estaban recibiendo asistencia técnica de los gobiernos de Estados Unidos, Israel y España, así como de la empresa Microsoft, que era la que operaba los servidores del Ministerio de Hacienda en un primer lugar.[60]
El 21 de abril Conti Group atacó en horas de la madrugada los servidores del Ministerio de Trabajo y Seguridad Social (MTSS), así como del Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF). El informe preliminar del Gobierno apuntaba que fue sustraída información como correos electrónicos, datos sobre pago de pensiones y ayudas sociales de ambas instituciones.[61] Asimismo el grupo ofreció un 35 % de descuento en el monto del rescate exigido si el Gobierno de Costa Rica realizaba un pago rápido.[62]
Antes del mediodía el MICITT realizó una conferencia de prensa donde el Gobierno reiteró su posición de no pagar el rescate exigido por Conti Group, por lo que horas después el grupo criminal anunció que empezaría a publicar de inmediato la información sustraída, instando a los ciberdelincuentes costarricenses a aprovecharla para cometer phishing.[63][64]
El presidente Carlos Alvarado Quesada dio ese día su primera declaración pública sobre el hackeo.[65]
Reitero que el Estado Costarricense NO PAGARÁ NADA a estos criminales cibernéticos. Pero mi criterio es que este ataque no es un tema de dinero, sino que busca amenazar la estabilidad del país, en una coyuntura de transición. Esto no lo lograrán. Como siempre lo hemos hecho, cada persona de esta tierra pondrá de su parte para defender a Costa Rica.Carlos Alvarado Quesada
En horas de la tarde el Gobierno emitió una directriz dirigida al sector público con el fin de resguardar el correcto funcionamiento, confidencialidad y ciberseguridad del aparato público. El documento dispone que en caso de presentarse alguna situación que afecte la confidencialidad, disponibilidad e integridad de servicios disponibles al público, la continuidad de las funciones institucionales, la suplantación de identidad de la institución en redes sociales, e incluso aquellos que a lo interno de la institución se consideren bajo control, se deberá informar al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) del evento; además, de manera preventiva, la institución afectada deberá respaldar la información referente al incidente acontecido, para las investigaciones correspondientes.[66]
Asimismo las instituciones deberán realizar los procesos de mantenimiento en su infraestructura de telecomunicaciones, sea que le corresponda a la Administración Pública o alguna empresa contratada. Esas acciones incluyen actualizaciones permanentes de todos los sistemas institucionales, cambio de contraseñas de todos los sistemas y redes institucionales, deshabilitar servicios y puertos no necesarios y monitorear la infraestructura de red. Además de aplicar cualquier alerta dada por el CSIRT-CR, según corresponda a su institución.[66]
La directriz también ordena realizar al menos dos veces al año un análisis de vulnerabilidades a los sitios web oficiales del Gobierno de Costa Rica.[66]
La mañana del 22 de abril, el Gobierno de Costa Rica informó que desde el día previo no se registraban nuevos ataques de Conti Group contra el país. Sin embargo, el director de Gobernanza Digital, Jorge Mora, detalló que desde el lunes que empezaron a tomar medidas de prevención en las instituciones del Estado, detectaron 35 000 solicitudes de comunicación de malware, 9900 incidentes de phishing, 60 000 intentos de control remoto de infraestructura informática y 60 000 intentos de minado de criptomonedas en infraestructura informática de las primeras 100 instituciones estatales intervenidas.[67]
El 23 de abril, Conti Group atacó a la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC), la empresa pública encargada del suministro eléctrico de la provincia de Cartago.[68] Jorge Mora Flores informó ese día que podría haberse comprometido información de los abonados.[69][70] Al día siguiente, reportó que la información de contabilidad y recursos humanos de la institución fue cifrada como parte del ataque.[71]
El 25 de abril, Conti anunció que cambiaría su estrategia de ataques al Estado de Costa Rica, enfocándose ahora en grandes empresas del sector privado. El grupo anunció que dejaría de anunciar sus hackeos en su página en la red profunda, para enfocarse en solicitar el rescate respectivo por la información sustraída y cifrada.[72]
El 26 de abril, el MICITT reportó que fue atacada la página web de la Sede Interuniversitaria de Alajuela y que hubo intento de vulnerar los servidores del Instituto de Desarrollo Rural (INDER), pero que fue efectivamente repelido.[73] El 29 de abril el gobierno reportó un intento de hackeo al Ministerio de Economía, Industria y Comercio (MEIC)[74] y un día después contra la Fábrica Nacional de Licores (FANAL) y las municipalidades de Turrialba y Golfito.[75]
El 2 de mayo se reportó otro intento de hackeo en el Ministerio de Justicia y Paz (MJP), aunque fue repelido.[76] Al día siguiente se reportaron ciberataques a las municipalidades de Garabito y Alajuelita, aunque tampoco lograron su cometido;[77] también se registró un intento de ataque a la Junta de Protección Social (JPS).[78]
El 4 de mayo, MICITT reportó intentos de hackeo a la Comisión Nacional de Préstamos para la Educación (CONAPE) y uno más al Colegio Universitario de Cartago (CUC), aunque este último no fue responsabilidad de Conti.
El 11 de junio, el Ministerio de Hacienda anunció que el lunes 13 de junio se volvería a habilitar el Sistema de Administración Tributación Virtual (ATV) para que los costarricenses pudieran declarar sus impuestos, dos meses después del ataque de Conti.[79]
El 24 de junio también se restableció el sistema TICA (Tecnologías de la Información para el Control Aduanero), que también había sido atacado por el grupo Conti.[80] En esa misma fecha también se restableció Exonet, una plataforma utilizada para gestionar y procesar solicitudes de exención de impuestos.[81]
Ataque de Hive Ransomware Group
editarEl 31 de mayo a las dos de la mañana (UTC-6:00), la Caja Costarricense de Seguro Social (CCSS) detectó flujos de información anómalos en sus sistemas y empezó a recibir reportes de distintos hospitales de comportamiento anómalo en diversos equipos, por lo que de inmediato procedió a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (SICERE). Algunas impresoras de la institución imprimieron mensajes con códigos o caracteres aleatorios,[82] mientras que otras imprimieron instrucciones predeterminadas de Hive Ransomware Group de cómo recuperar el acceso a los sistemas.[83]
En una conferencia de prensa antes del mediodía las autoridades de la CCSS calificaron el ataque como "excepcionalmente violento" y detallaron que los primeros incidentes se registraron en el Hospital San Vicente de Paul, en la provincia de Heredia; luego en el Hospital de Liberia, provincia de Guanacaste, y de ahí migró a los hospitales de la Gran Área Metropolitana.[84]
El presidente de la CCSS, Álvaro Ramos Chaves, afirmó que las bases de datos con información sensible no fueron vulneradas, pero que al menos una treintena de servidores (de los más de 1500 que tiene la institución) fueron contaminados con el ransomware. Agregó que tenían la solución informática para levantar los sistemas, pero que tomaría tiempo, pues debía revisarse cada uno de los equipos para garantizar que al conectarlos y acceder a la información allí contenida, los hackers no pudieran hacerlo también.[84]
Como consecuencia, una cifra aún indeterminada de asegurados vio sus citas médicas canceladas.[85] Los centros médicos de la CCSS debieron recurrir al papel, debido a que también fue sacado de la red el EDUS-no conectado (conocido como Expediente Digital en Ambiente de Contingencia) como medida de seguridad, situación que podría permanecer así durante varios días.[84]
Los EBAIS, áreas de salud y hospitales se quedaron sin acceso al Expediente Digital Único en Salud (EDUS), al Expediente Digital en Ambiente de Contingencia (EDAC), al módulo de control de ocupación hospitalaria y egresos de pacientes (ARCA), al sistema de Validación de Derechos, Facturación y otros. Las sucursales financieras se quedaron sin acceso al Sistema Centralizado de Recaudación (SICERE), al Registro Control y Pago de Incapacidades (RCPI), al Sistema Integrado de Comprobantes (SICO), a los sistemas de inspección y plataformas web asociados a la gestión de patronos. Las oficinas y áreas administrativas se quedaron sin poder utilizar las computadoras y los teletrabajadores solo podían acceder a Office 365 (Word, Excel, PowerPoint, Outlook, Teams).[86][87]
En total en el primer día de afectación, 4871 usuarios perdieron sus citas médicas.[88] Al día siguiente la cifra aumentó en 12 mil personas más. Asimismo, la CCSS reportó que la mayor afectación se experimentaba en el servicio de Laboratorio, donde solo el 45 % del servicio en la institución funcionaba con normalidad, 48 % tenía afectación parcial y 7 % presentaba retrasos. Asimismo, una revisión de 108 establecimientos de salud arrojó que el 96 % de los servicios hospitalarios funcionaba con plan de contingencia, el 18 % de las consultas externas presentaban afectaciones parciales, 19 % de los servicios de radiología e imágenes médicas tenían afectación parcial y el 37 % de los servicios de farmacia estaba afectado.[89]
El 1 de junio durante una conferencia de prensa en la Casa Presidencial, el presidente ejecutivo de la CCSS, Álvaro Ramos Chaves anunció la apertura de una investigación administrativa en contra del Departamento de Tecnologías de Información de la institución por el hackeo, para determinar si hubo negligencia. El presidente de la República, Rodrigo Chaves Robles, afirmó que debían sentarse responsabilidades porque menos de 15 computadoras de la CCSS tenían instalado el sistema microCLAUDIA donado por el Reino de España luego del primer grupo de ataques cibernéticos por parte de Conti Group.[90]
Asimismo, Ramos Chaves reveló que las afectaciones por el ataque eran 27 veces mayores a lo reportado el primer día, pues había 800 servidores infectados y más de 9000 terminales de usuario final afectadas, por lo que los sistemas no podrían ser recuperados en la primera semana como se tenía previsto.[90]
El 2 de junio, Hive Ransomware Group solicitó $5 millones en bitcoin para que la CCSS pudiera recuperar sus servicios.[91]
El 4 de junio la Superintendencia de Pensiones (SUPEN) anunció la suspensión hasta nuevo aviso de la posibilidad de trasladar libremente los fondos de pensiones complementarias entre las distintas operadoras, pues para ello se necesitaba de uno de los sistemas de la CCSS que estaba afectado por el hackeo.[92]
Ante la caída de sus sistemas para el reporte de las planillas y pago de contribuciones sociales, la CCSS debió ampliar hasta el 10 de junio el plazo para que los patronos presentaran la planilla correspondiente al mes de mayo. Asimismo, anunció que los trabajadores independientes y asegurados voluntarios no podrían pagar sus cuotas mensuales debido a la imposibilidad de realizarles la factura correspondiente.[93] El régimen de pensiones por Invalidez, Vejez y Muerte (IVM) debió habilitar cuentas bancarias y correos específicos para que las personas con créditos hipotecarios pudieran pagar sus mensualidades y reportar los abonos.[94] Asimismo, 163 establecimientos de salud de la Caja habilitaron líneas telefónicas específicas para que la población evacuara dudas respecto a la continuidad de los servicios y el estado de sus citas médicas.[95]
Declaratoria de emergencia
editarEl 22 de abril de 2022, el entonces presidente electo de Costa Rica, Rodrigo Chaves Robles anunció su pretensión de declarar estado de emergencia nacional una vez asumiera el poder, debido a los ciberataques contra el sector público del país.[96]
El 3 de mayo del 2022, la Cámara de Industrias de Costa Rica (CICR), la Cámara Nacional de Transportistas de Carga (CANATRAC), la Cámara de Comercio Exterior de Costa Rica (CRECEX), la Cámara de Almacenes Fiscales y Generales de Depósito (CAMALFI), la Cámara Costarricense de Navieros (NAVE), la Cámara de Exportadores de Costa Rica (CADEXCO) y la Asociación de Agentes de Aduanas (AAACR) solicitaron declarar estado de emergencia por la situación de las aduanas del país a raíz del hackeo de Conti Group y advirtieron que en pocos días, si la situación no mejoraba, Costa Rica podría presentar una paralización del comercio internacional por acumulación de contenedores de carga, dado que Aduanas debió realizar trámites en papel, elevando a tres y hasta cuatro días las esperas para recibir visto bueno para movilizar los contenedores.[97]
El 8 de mayo, al asumir el poder, Chaves Robles firmó el Decreto Ejecutivo Nº 43542-MP-MICITT, declarando estado de emergencia nacional por los ciberataques contra el sector público de Costa Rica y dispuso que la Presidencia de la República tomara el control del planteamiento, dirección y coordinación de los procesos necesarios para lograr la contención y solución, y no la Comisión Nacional de Emergencias a quien por ley corresponde atender ante situaciones de emergencia nacional declarada.[98]
El 16 de mayo, el presidente Chaves afirmó que el país estaba en estado de guerra por los hackeos de Conti y denunció que había nacionales ayudando al "grupo terrorista" que el fin de semana previo había amenazado con derrocar al gobierno recién electo.[99]
No sabemos, no tenemos información de quién nos está pagando impuestos bien y mal. Hay una afectación enorme en el proceso de comercio internacional ya que el sistema TICA de Aduanas no está funcionando. No sabemos cómo avanza ni siquiera la ejecución presupuestaria del país: Costa Rica no sabe cuánto del presupuesto está gastando cada quién, si nos vamos a pagar o no. Estamos pagando salarios casi que a ciegas en base a planillas anteriores, eso representa un reto enorme para el futuro ¿qué pasa si alguien se le sobrepasa por una plantilla extraordinaria y estamos repitiendo la misma planilla? Hay gente a la que el Estado se le está pagando menos de lo que debería por usar planillas anteriores. Eso representa un riesgo enorme porque los sistemas no son flexibles para recobrar los excesos de pagos. Tenemos 27 instituciones atacadas y 9 instituciones muy afectadas incluyendo el Ministerio de Hacienda que es el que recibe los ingresos y hace los gastos del Estado. Nos quieren ahogar a través del sistema financiero de las finanzas públicas del Estado.Rodrigo Chaves Robles, presidente de Costa Rica.
Al día siguiente, decenas de trabajadores del Ministerio de Educación Pública (MEP) se lanzaron a las calles para protestar por el impago de sus salarios, pagos menores a lo que correspondía, entre otros problemas vinculados a la imposibilidad de actualizar las planillas estatales debido al hackeo. El MEP cifró en 16 000 la cantidad de trabajadores afectados en el pago de sus salarios (3000 sin ningún pago y 13 000 con pagos de alguna forma incorrectos) y el Ministerio de Hacienda, como medida de contingencia, suministró una herramienta que debía ser llenada a mano para poner al día los pagos de los empleados.[100]
El 21 de mayo, debido a nuevas protestas, los sindicatos negociaron con el Gobierno, quien se comprometió a pagar los montos adeudados y recuperar posteriormente cualquier suma pagada de más a los trabajadores.[101] El 27 de mayo la Sala Constitucional de la Corte Suprema de Justicia declaró con lugar más de 200 recursos de amparo presentados contra el Estado por parte de trabajadores del MEP afectados en el pago de sus salarios, y ordenó tomar medidas de contingencia para poner al día los pagos en el plazo de un mes.[102] El 30 de mayo el gobierno anunció que el MEP y Hacienda habían pagado más de 6 mil millones de colones como planilla extraordinaria correspondiente a 25 618 movimientos pendientes de cancelar debido al hackeo.[103]
Referencias
editar- ↑ «Hacienda, Micitt, IMN, Racsa y CCSS atacados por ‘hackers’, confirmó Gobierno». La Nación. Consultado el 20 de abril de 2022.
- ↑ «Portal de Recursos Humanos de CCSS sufre ataque cibernético». La Nación. Consultado el 20 de abril de 2022.
- ↑ «Gobierno confirma que 'Conti' exige $10 millones de "rescate" | Teletica». www.teletica.com. Consultado el 20 de abril de 2022.
- ↑ «"En la dark web sí se realizó una publicación que pide $10 millones de, aparentemente, Conti Group"». delfino.cr. Consultado el 20 de abril de 2022.
- ↑ «Conti amenaza con revelar datos internos de Hacienda y base de contribuyentes | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 20 de abril de 2022.
- ↑ «Costa Rica reporta pérdidas por $125 millones por caos en aduanas». www.larepublica.net. Consultado el 20 de abril de 2022.
- ↑ «Importaciones están paralizadas debido a hackeo de Hacienda | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 20 de abril de 2022.
- ↑ Hidalgo, Kristin. «Vulneran cuenta de Twitter de la CCSS y publican contenido ajeno a la institución». ameliarueda.com. Consultado el 21 de abril de 2022.
- ↑ «¡Atacan de nuevo! Hackean cuenta de Twitter de la CCSS | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 21 de abril de 2022.
- ↑ «EE. UU. ofrece $10 millones de recompensa por información sobre líderes de Conti Group». delfino.cr. Consultado el 7 de mayo de 2022.
- ↑ Welle, Deutsche. «EE. UU. ofrece recompensa por hackers tras ataque a Costa Rica | DW | 07.05.2022». DW.COM. Consultado el 7 de mayo de 2022.
- ↑ «"Estamos en guerra": 5 claves para entender el ciberataque que tiene a Costa Rica en estado de emergencia». BBC News Mundo. Consultado el 31 de mayo de 2022.
- ↑ «Costa Rica declara el estado de emergencia por el ciberataque de Conti». derechodelared.com. 9 de mayo de 2022. Consultado el 31 de mayo de 2022.
- ↑ «(Video) Rodrigo Chaves: “Conti tiene filibusteros en Costa Rica”». www.larepublica.net. Consultado el 31 de mayo de 2022.
- ↑ Welle), Deutsche. «Rodrigo Chaves dice que Costa Rica está "en guerra" | DW | 17.05.2022». DW.COM. Consultado el 31 de mayo de 2022.
- ↑ a b c d «Costa Rica’s public health agency hit by Hive ransomware». BleepingComputer (en inglés estadounidense). Consultado el 31 de mayo de 2022.
- ↑ «CCSS sufrió 'hackeo' durante la madrugada de este martes». Teletica. 31 de mayo de 2022. Consultado el 31 de mayo de 2022.
- ↑ «Hospitales trabajan con las computadoras apagadas». La Nación. Consultado el 31 de mayo de 2022.
- ↑ «Conti Ransomware». NHS Digital (en inglés). Consultado el 21 de abril de 2022.
- ↑ a b c Nast, Condé. «The Workaday Life of the World’s Most Dangerous Ransomware Gang». Wired UK (en inglés británico). ISSN 1357-0978. Consultado el 21 de abril de 2022.
- ↑ Reichert, Corinne. «Conti Ransomware Group Warns Retaliation if West Launches Cyberattack on Russia». CNET (en inglés). Consultado el 21 de abril de 2022.
- ↑ Bing, Christopher (25 de febrero de 2022). «Russia-based ransomware group Conti issues warning to Kremlin foes». Reuters (en inglés). Consultado el 21 de abril de 2022.
- ↑ Team, Threat Intelligence (1 de marzo de 2022). «The Conti ransomware leaks». Malwarebytes Labs (en inglés estadounidense). Consultado el 21 de abril de 2022.
- ↑ CNN, Sean Lyngaas. «'I can fight with a keyboard': How one Ukrainian IT specialist exposed a notorious Russian ransomware gang». CNN. Consultado el 21 de abril de 2022.
- ↑ LeeMarch 14 2022, Micah LeeMicah. «Leaked Chats Show Russian Ransomware Gang Discussing Putin’s Invasion of Ukraine». The Intercept (en inglés). Consultado el 21 de abril de 2022.
- ↑ «Reward for Information: Owners/Operators/Affiliates of the Conti Ransomware as a Service (RaaS)». United States Department of State (en inglés). Consultado el 7 de mayo de 2022.
- ↑ «Conti Ransomware Operation Shut Down After Brand Becomes Toxic | SecurityWeek.Com». www.securityweek.com. Consultado el 31 de mayo de 2022.
- ↑ «Did the Conti ransomware crew orchestrate its own demise?». ComputerWeekly.com (en inglés). Consultado el 31 de mayo de 2022.
- ↑ «Hive ransomware group claims to steal California health plan patient data». VentureBeat (en inglés estadounidense). 29 de marzo de 2022. Consultado el 31 de mayo de 2022.
- ↑ «FBI issues alert about Hive ransomware». Healthcare IT News (en inglés). 2 de septiembre de 2021. Consultado el 31 de mayo de 2022.
- ↑ «Alert Number MC-000150-MW». Internet Crime Complaint Center. 25 de agosto de 2021. Consultado el 31 de mayo de 2022.
- ↑ McKay, Kendall (2 de mayo de 2022). «Conti and Hive ransomware operations: Leveraging victim chats for insights». CISCO. Archivado desde el original el 31 de mayo de 2022. Consultado el 31 de mayo de 2022.
- ↑ «FBI releases alert about Hive ransomware after attack on hospital system in Ohio and West Virginia». ZDNet (en inglés). Consultado el 31 de mayo de 2022.
- ↑ a b «Hive ransomware claims hundreds of victims in 6-month span». SearchSecurity (en inglés). Consultado el 31 de mayo de 2022.
- ↑ Kim, Giyoon (18 de febrero de 2022). «A Method for Decrypting Data Infected with Hive Ransomware». Universidad de Cornell. Consultado el 31 de mayo de 2022.
- ↑ Otazu, Amaia (28 de mayo de 2022). «Un ataque informático devuelve a la era del papel a 179 entidades navarras». El País. Consultado el 31 de mayo de 2022.
- ↑ Actual, Pamplona. «El culpable del hackeo a las webs municipales navarras es el ransomware Hive». Pamplona Actual. Consultado el 31 de mayo de 2022.
- ↑ «El Banco de Zambia responde con una "fotopolla" a la extorsion de los ciberdelincuentes que les atacaron.». derechodelared.com. 25 de mayo de 2022. Consultado el 31 de mayo de 2022.
- ↑ «Ransomware Attackers Get Short Shrift From Zambian Central Bank». Bloomberg.com (en inglés). 18 de mayo de 2022. Consultado el 31 de mayo de 2022.
- ↑ «National bank hit by ransomware trolls hackers with dick pics». BleepingComputer (en inglés estadounidense). Consultado el 31 de mayo de 2022.
- ↑ «Conti claims to have hacked Ministerio de Hacienda, a government ministry in Costa Rica». Twitter (en inglés). Consultado el 21 de abril de 2022.
- ↑ «Sistemas de Hacienda caídos, ministerio omite referirse a supuesto hackeo». delfino.cr. Consultado el 21 de abril de 2022.
- ↑ «En este momento las plataformas Administración Tributaria Virtual (Atv) y TICA se encuentran fuera de servicio. Nuestros equipos técnicos trabajan para su restablecimiento en el menor tiempo posible. inmediatamente se solvente la situación, se comunicará por este mismo medio.». Twitter. Consultado el 21 de abril de 2022.
- ↑ «¿Hackearon Hacienda? Sistemas ATV y TICA fuera de servicio | Teletica». www.teletica.com. Consultado el 21 de abril de 2022.
- ↑ «Latest update from Conti: "We ask only 10m USD for keeping your taxpayers' data"». Twitter (en inglés). Consultado el 21 de abril de 2022.
- ↑ «ACLARACIÓN DEL MINISTERIO DE HACIENDA SOBRE COMUNICACIONES EN REDES SOCIALES CALIFICADAS COMO HACKEO». Twitter. Consultado el 21 de abril de 2022.
- ↑ «Conti allegedly hacks Ministerio de Ciencia, Innovation, Technology, y Telecomunicaciones' website». Twitter (en inglés). Consultado el 21 de abril de 2022.
- ↑ «‘Ataque al Micitt es simbólico, para deslegitimarlo’, dice exviceministro sobre hackeo». La Nación. Consultado el 21 de abril de 2022.
- ↑ a b «Autoridades confirman que "hackers" atacaron otro ministerio este lunes | Teletica». www.teletica.com. Consultado el 21 de abril de 2022.
- ↑ «Latest update on #Conti's cyberattack against Costa Rica's Ministerio de Hacienda». Twitter (en inglés). Consultado el 21 de abril de 2022.
- ↑ «Investigan si robaron información de correos del IMN | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 21 de abril de 2022.
- ↑ «Costa Rica: Hackers rusos accesaron a servidores de correo del Meteorológico». www.estrategiaynegocios.net. Consultado el 21 de abril de 2022.
- ↑ «Conti's latest update on the cyberattack against the Costa Rican Instituto Meteorologico Nacional:». Twitter (en inglés). Consultado el 21 de abril de 2022.
- ↑ «Conti publishes an additional ~5 GB of data allegedly belonging to the Ministerio de Hacienda of Costa Rica». Twitter (en inglés). Consultado el 21 de abril de 2022.
- ↑ «Más instituciones bajo ataque de Conti, que aumenta presión a un gobierno con débil respuesta». El Financiero. Consultado el 21 de abril de 2022.
- ↑ «Director de Gobernanza digital señala a Conti y afirma que hackeo está “bajo control” | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 21 de abril de 2022.
- ↑ «Portal de Recursos Humanos de la CCSS es la nueva víctima del ataque de hackers». www.larepublica.net. Consultado el 21 de abril de 2022.
- ↑ «Hackeo: CCSS enciende alerta ante posibles efectos en sus servicios esenciales». La Nación. Consultado el 21 de abril de 2022.
- ↑ «CCSS sobre ‘hackeo’: ‘No se extrajo información sensible’ ni se afectó EDUS o Sicere». La Nación. Consultado el 21 de abril de 2022.
- ↑ a b «"Estamos ante una situación de crimen organizado internacional y no estamos dispuestos a ninguna extorsión o pago"». delfino.cr. Consultado el 21 de abril de 2022.
- ↑ «Ministerio de Trabajo y Fodesaf se suman a blancos de ataques informáticos • Semanario Universidad». semanariouniversidad.com. 21 de abril de 2022. Consultado el 22 de abril de 2022.
- ↑ «Hackers ofrecen descuento del 35% al Gobierno de Costa Rica y prometen no tocar al sector privado». www.larepublica.net. Consultado el 22 de abril de 2022.
- ↑ «Conti anuncia publicación de toda la data robada a Costa Rica tras negativa del gobierno a pagar rescate». delfino.cr. Consultado el 22 de abril de 2022.
- ↑ «Gobierno sostiene que no pagará ningún rescate pese a descuento ofrecido por ciberdelincuentes». delfino.cr. Consultado el 22 de abril de 2022.
- ↑ «Alvarado: "Este ciberataque busca amenazar la estabilidad del país en una coyuntura de transición"». delfino.cr. Consultado el 22 de abril de 2022.
- ↑ a b c «GOBIERNO FIRMA DIRECTRIZ QUE FORTALECE LAS MEDIDAS DE CIBERSEGURIDAD DEL SECTOR PÚBLICO».
- ↑ «Micitt: “desde ayer no se han registrado nuevos incidentes informáticos”». delfino.cr. Consultado el 22 de abril de 2022.
- ↑ «Jasec se convierte en la nueva víctima de Conti | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.
- ↑ «Micitt: Ataque a Jasec pudo comprometer información de abonados | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.
- ↑ «Datos personales de usuarios de Jasec pudieron ser robados por Conti, advierte el Gobierno». La Nación. Consultado el 25 de abril de 2022.
- ↑ «Conti cifra sistemas de contabilidad y recursos humanos de Jasec, según Micitt | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.
- ↑ «Conti “cambia de táctica”: Ahora amenaza directamente al sector privado costarricense | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 25 de abril de 2022.
- ↑ «‘Hackers’ atacan sede interuniversitaria de Alajuela y sistemas del Inder». La Nación. Consultado el 4 de mayo de 2022.
- ↑ «MEIC detectó a Conti en computadoras de usuarios, mientras que Micitt mantiene alerta sobre avisos recientes de los ‘hackers’». El Financiero. Consultado el 4 de mayo de 2022.
- ↑ «Micitt detecta ciberataques de Conti en Fanal y en las municipalidades de Turrialba y Golfito». El Financiero. Consultado el 4 de mayo de 2022.
- ↑ «Autoridades confirman intentos de ciberataques en Ministerio de Justicia y JPS». www.teletica.com. Consultado el 4 de mayo de 2022.
- ↑ «Ciber criminales apuntan a las municipalidades, Garabito y Alajuelita afectadas • Semanario Universidad». semanariouniversidad.com. 2 de mayo de 2022. Consultado el 4 de mayo de 2022.
- ↑ «JPS sufre ataque “aislado” de Conti; Gobierno asegura que está contenido | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 4 de mayo de 2022.
- ↑ «Costa Rica habilitará sistema tributario afectado por ciberataque». Noticias de El Salvador - Noticias de El Salvador (en inglés). Consultado el 12 de junio de 2022.
- ↑ «Costa Rica restablece plataforma de aduanas tras dos meses de ciberataque». SWI swissinfo.ch. Consultado el 3 de julio de 2022.
- ↑ «Sistema TICA de Hacienda vuelve a operar dos meses después de ‘hackeo’». La Nación. Consultado el 3 de julio de 2022.
- ↑ «FOTOS Y VIDEO: Los extraños mensajes de las impresoras de la CCSS tras hackeo | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 31 de mayo de 2022.
- ↑ «Hive Ransomware Group, el grupo de cibercriminales que atacó la CCSS y tiene predilección por instituciones de salud». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ a b c «Hackeo a la CCSS: "Fue un ataque excepcionalmente violento", pero no se vulneraron bases de datos o sistemas críticos». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ «‘Nos dijeron que nos llamarían para reprogramar‘, contó asegurada afectada por ‘hackeo’ en CCSS». La Nación. Consultado el 31 de mayo de 2022.
- ↑ «CCSS confirma alrededor de 30 servidores afectados por hackeo | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 31 de mayo de 2022.
- ↑ «Atención: Estos son los servicios afectados por hackeo en la CCSS | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 31 de mayo de 2022.
- ↑ «CCSS reportó afectación de 4.871 usuarios en 80 establecimientos de salud, tras hackeo a sistemas informáticos». delfino.cr. Consultado el 4 de junio de 2022.
- ↑ «Más de 12 mil pacientes se quedaron sin atención médica en segundo día de ‘hackeo’ en la CCSS | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 4 de junio de 2022.
- ↑ a b «CCSS investigará si hubo negligencia para prevenir hackeo a la institución». delfino.cr. Consultado el 4 de junio de 2022.
- ↑ «Ciberdelicuentes piden $5 millones en bitcoins a la CCSS». delfino.cr. Consultado el 4 de junio de 2022.
- ↑ «Supen suspende temporalmente la libre transferencia entre operadoras de pensiones | Crhoy.com». CRHoy.com | Periodico Digital | Costa Rica Noticias 24/7. Consultado el 4 de junio de 2022.
- ↑ «CCSS amplía el plazo para que patronos presenten planillas: se extenderá hasta el 10 de junio debido a hackeos». delfino.cr. Consultado el 4 de junio de 2022.
- ↑ «Régimen de IVM habilita cuentas y correos para depósito y reporte de pago de créditos». delfino.cr. Consultado el 4 de junio de 2022.
- ↑ «163 establecimientos de la CCSS habilitan líneas telefónicas para consultas de usuarios tras hackeo». delfino.cr. Consultado el 4 de junio de 2022.
- ↑ «Rodrigo Chaves sobre ciberataques: "Estamos preparando un decreto de emergencia nacional"». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ «Cámaras empresariales piden declaratoria de emergencia nacional por situación en aduanas». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ Rodrigo Chaves Robles. «Declara estado de emergencia nacional en todo el sector público del Estado costarricense, debido a los cibercrímenes que han afectado la estructura de los sistemas de información». www.pgrweb.go.cr. Consultado el 31 de mayo de 2022.
- ↑ «Chaves afirma que país está en guerra por ataques cibernéticos y que habría ticos ayudando a Conti». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ «Hackeo de Conti ha afectado pagos de 12 mil docentes, MEP volverá a planilla manual para resolver crisis». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ «Gobierno acuerda sobrepago para cancelar salarios de educadores afectados por cibertaques». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ «Sala IV declara 'con lugar' más de 200 amparos contra el MEP por atraso en pago de salarios». delfino.cr. Consultado el 31 de mayo de 2022.
- ↑ «MEP y Hacienda pagan más 25 mil movimientos pendientes mediante planilla extraordinaria | Ministerio de Educación Pública». www.mep.go.cr. Consultado el 31 de mayo de 2022.