Experto en ciberseguridad explica cómo funciona el malware que atacó a ICE – La nación

San José, 13 de marzo (elmundo.cr) – Recientes informes sobre el incidente de seguridad cibernética que sufrió el Instituto Costarricense de Electricidad (ICE) indica que el ataque se llevaría a cabo utilizando un malware identificado como GRIDTIDEuna herramienta de intrusión relacionada con grupo de ciberespionaje UNC2814según información técnica difundida por la empresa Google a través de su unidad de análisis de amenazas.

Según informes del Micitt (Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones), el ataque tuvo como resultado la retirada de aprox. 9 gigabytes de correos electrónicos de los empleados de la institución. El incidente habría continuado desde febrero y fue detectado posteriormente durante trabajos de análisis de seguridad.

El Ministra del Micitt, Paula Bogantesindicó que el centro de ciberseguridad de la institución fue notificado de una brecha en la infraestructura del ICE el mes pasado. La advertencia viene de mandanteUna firma de seguridad informática de Google, cuyo informe señala a un grupo de hackers de posible origen chino como responsables del hackeo.

GRIDTIDE es una herramienta de acceso remoto diseñada para funcionar de forma encubierta dentro de sistemas comprometidos. Este tipo de software permite a los atacantes ejecutar comandos de forma remota, recopilar información del ordenador infectado y extraer archivos sin que el usuario se dé cuenta.

Diagrama de cómo funciona GRIDTIDE
Fuente: Google

Uno de los aspectos más distintivos de este malware es su método de comunicación. Según el análisis técnico de Google, el programa utiliza Google Sheets como canal de control y transferencia de información, permitiendo a los operadores de ataque enviar instrucciones y recibir resultados a través de celdas de una hoja de cálculo. Este mecanismo facilita que la actividad maliciosa interfiera con el tráfico normal de las máquinas de oficina, lo que dificulta su detección.

Google señaló que el ataque no explota las vulnerabilidades de sus servicios, sino que utiliza el funcionamiento legítimo de las herramientas disponibles para camuflar la actividad maliciosa.

El grupo de cibercriminales atribuidos a esta herramienta se denomina UNC2814, y ha sido rastreado por investigadores de seguridad desde al menos 2017 y ha sido vinculado a operaciones de ciberespionaje dirigidas principalmente a operadores de telecomunicaciones y entidades gubernamentales en varios países, incluso el mismo ataque que ICE afectó a otros 42 países en los últimos años.

Imagen 2: Países afectados por el cluster UNC2814
Fuente: Google

¿Se verá afectada la población?

Es natural pensar que los costarricenses puedan verse afectados por esta situación, pero El presidente del ICE, Marco Acuña, indicó que actualmente los servicios al cliente se encuentran funcionando con normalidad y no han sido interrumpidos por el ataque informático.

El caso resalta la importancia de fortalecer las capacidades de detección temprana, monitoreo continuo y respuesta a incidentes dentro de las organizaciones, especialmente en instituciones que manejan infraestructura crítica, enfatizó Ariel Ramos Ortega, profesor de seguridad informática de la Universidad Fidelitas y director en jefe de Codingraph.

Queda esperar a que Micitt comunique más detalles sobre esta situación y el alcance en los próximos días.