El Gobierno de Costa Rica anunció este jueves que el Instituto Costarricense de Electricidad (ICE) sufrió un ataque de seguridad informática atribuido a un actor de amenazas vinculado a China que opera en al menos 42 países y se especializa en ciberespionaje.
El anuncio se hizo durante una rueda de prensa en la Casa Presidencial, donde las autoridades confirmaron que el incidente fue detectado tras una advertencia emitida en febrero por la firma Mandiant, empresa del grupo Google especializada en ciberseguridad.
Según la ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones, Paula Bogantes, la empresa notificó al equipo nacional de respuesta a incidentes informáticos (CSIRT) del Micitt sobre una brecha de seguridad en la infraestructura tecnológica del ICE atribuida a un actor de amenazas con posible origen en China.
Desde finales de enero, ICE ya identificó actividad sospechosa en su red informática y activó protocolos internos para limitar la intrusión. Luego se coordinó una investigación técnica conjunta entre los equipos del Micitt y la institución.
Según explicó Bogantes, un análisis forense realizado por especialistas externos confirmó la presencia del grupo cibercriminal, cuyo principal objetivo es obtener información estratégica en el sector de las telecomunicaciones.
El dirigente agregó que el gobierno ha solicitado apoyo técnico a Estados Unidos para abordar el incidente y fortalecer las acciones de contención.
Extraer información de correos electrónicos
El presidente ejecutivo del ICE, Marco Acuña, indicó que los atacantes lograron tomar aprox 9 gigabytes de información de correo electrónico interno de la institución.
Según se indicó, estos datos provienen de un servidor ubicado en Costa Rica que almacena comunicaciones administrativas y correspondencia interna de los funcionarios.
En total, el sistema de correo electrónico institucional almacena aprox. 10.000 gigabytes de informaciónpor tanto, la porción robada representa una fracción del total.
«Lo que logramos detectar es la extracción de 9 GB de información de correos electrónicos. Estamos trabajando para contenerlo y evitar que el robo continúe», dijo Acuña.
Las autoridades enfatizaron esto no hay evidencia de acceso a datos de clientes o plataformas comerciales.
Los servicios críticos del ICE tampoco se vieron comprometidos, como la red eléctrica o las telecomunicaciones.
«Los servicios de electricidad y telecomunicaciones continúan funcionando con normalidad», afirmó Acuña.
Investigación criminal y cooperación internacional
El líder del ICE confirmó que presentó este jueves una denuncia penal ante el Ministerio Público por el presunto delito de espionaje informático.
La denuncia incluye una cronología de los hechos y los informes técnicos internos y externos elaborados durante la investigación.
El caso será investigado por la Fiscalía General de la Nación y el Organismo de Investigación Judicial (OIJ) para determinar si es posible identificar a los responsables.
Las autoridades explicaron que el actor identificado corresponde a lo que en ciberseguridad se conoce como Amenaza persistente avanzada (APT)grupos altamente sofisticados que en muchos casos cuentan con financiamiento estatal o vínculos con estructuras gubernamentales.
Estos grupos suelen centrarse en sectores estratégicos como las telecomunicaciones, la energía o las infraestructuras críticas.
La ciberseguridad como cuestión de seguridad nacional
Bogantes enfatizó que el incidente es considerado un asunto de seguridad nacional porque el ICE opera servicios estratégicos para el país.
“La ciberseguridad es un asunto de seguridad nacional y el ICE es una empresa de servicios críticos”, afirmó el ministro.
Las autoridades han señalado que este tipo de ataques se han convertido en una herramienta habitual del espionaje internacional.
«Las guerras ya no se libran sólo en los territorios, también se libran en el ciberespacio», añadió Bogantes.
Como referencia, Micitt informó que su departamento de ciberseguridad no detectó y bloqueó hasta 2025. más de 118 millones de intentos de ataque informático contra los sistemas públicos y privados del país.
Antecedentes: La crisis de ciberseguridad de 2022
Costa Rica enfrentó la mayor crisis de ciberseguridad de su historia en 2022, cuando varios grupos de ransomware atacaron instituciones públicas clave y paralizaron sistemas gubernamentales esenciales durante semanas.
Hacienda y el Grupo Conti
La primera ofensiva se detectó la noche del 17 de abril de 2022, cuando el Ministerio de Hacienda recibió un ataque de rescate atribuido al grupo criminal Conti, organización vinculada a redes cibercriminales de origen ruso.
Los piratas informáticos han logrado infiltrarse en los sistemas tributarios y de comercio exterior, entre ellos:
ATV (Administración Tributaria Virtual)
TICA (Sistema de Control Aduanero)
Como resultado, el país tuvo que suspender temporalmente los sistemas de declaración de impuestos y gestión de importaciones y exportaciones.
La perturbación afectó directamente al comercio internacional y se estimaron pérdidas de hasta 30 millones de dólares diariospara el sector productivo por el retraso en el despacho de mercancías por parte de la aduana.
El grupo Conti exigió Rescate de 10 millones de dólares a cambio de no revelar información robada de los servidores del Tesoro.
El gobierno costarricense se negó a pagar el rescate.
Expansión del ataque a múltiples instituciones.
Tras el primer golpe, los ataques se extendieron a cerca de 30 instituciones públicas.
Entre las entidades afectadas o atacadas se encuentran:
Tesorería
Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones
Instituto Meteorológico Nacional
RACSA
Ministerio de Trabajo
Instituto de Desarrollo Rural
municipios y otras entidades públicas
En varios casos, los piratas informáticos robaron información, cifraron sistemas o intentaron penetrar redes institucionales.
Segundo gran ataque: la CCSS
La crisis volvió a escalar el 31 de mayo de 2022, cuando la Caja Costarricense de Seguro Social (CCSS) sufrió un nuevo ciberataque atribuido al Grupo Hive, otro operador internacional de rescates.
El ataque obligó al cierre de sistemas críticos, entre ellos:
EDUS (Historia Única de Salud Digital)
SICERE (sistema de cobro de tasas)
Más que 800 servidores y 9.000 ordenadores se vieron afectados, lo que obligó a hospitales y clínicas a volver temporalmente a procesos manuales.
El grupo Hive preguntó 5 millones de dólares en bitcoins para liberar los sistemas.
Declaración de emergencia nacional
Dada la magnitud de la crisis, el gobierno declaró Estado de emergencia nacional por ciberseguridaduna medida sin precedentes en la historia del país.
Durante los ataques, el grupo Conti publicó en la dark web varios gigabytes de información robada del Ministerio de Finanzas como forma de presión para obtener el rescate.
En total, se estima que más de 600 GB de datos Es posible que hayan sido eliminados durante ese incidente.
La recuperación total de los sistemas tomó varios meses y obligó al país a reconstruir las plataformas digitales y fortalecer su infraestructura de ciberseguridad.