El Costo Humano
En la madrugada del 31 de mayo de 2022, las impresoras de hospitales en todo Costa Rica empezaron a imprimir notas de rescate.
En el Hospital San Vicente de Paúl en Heredia y el Hospital de Liberia en Guanacaste, las primeras señales aparecieron poco después de las 2:00 AM. En cuestión de horas, la CCSS — la Caja Costarricense de Seguro Social, que administra todos los hospitales y clínicas públicas del país — confirmó que 759 de sus 1,500 servidores habían sido comprometidos. Más de 10,400 computadoras fueron afectadas. El sistema completo de expedientes médicos electrónicos del país, EDUS, quedó fuera de servicio.
Durante los días siguientes, 30,000 citas médicas fueron reprogramadas. Solo el 45% de los servicios de laboratorio funcionaron con normalidad. Los centros de salud rurales cerraron. El rastreo de COVID-19 se volvió imposible. El sistema de recetas se cayó. Los pagos de pensión de aproximadamente 50,000 empleados estaban en riesgo.
Y este ni siquiera fue el primer ataque. Fue el segundo — en menos de dos meses.
La Línea de Tiempo — Lo Que Realmente Pasó
La historia que la mayoría conoce está incompleta. Esta es la secuencia completa.
11 de abril de 2022
Un operador de ransomware Conti — identificado en comunicaciones internas filtradas con el nombre clave "MemberX" — se conectó al Ministerio de Hacienda de Costa Rica usando credenciales VPN robadas. No había autenticación multifactor en la VPN. Ninguna.
En el primer día, el atacante estableció más de diez sesiones de Cobalt Strike beacon dentro de la red del ministerio. Durante los siguientes cuatro días, mapearon toda la estructura de confianza del dominio, extrajeron credenciales usando Mimikatz y explotaron CVE-2020-1472 — más conocido como Zerologon — una vulnerabilidad crítica que Microsoft había parcheado en agosto de 2020. Los sistemas de Costa Rica tenían dieciocho meses de atraso en ese solo parche.
El exploit de Zerologon le dio al atacante acceso a prácticamente todos los hosts en la red interconectada del gobierno. La arquitectura era plana — sin segmentación significativa entre ministerios, así que un conjunto de credenciales comprometidas se propagó en acceso total.
12-15 de abril
El atacante exfiltró 672 GB de datos — incluyendo aproximadamente 900 GB de bases de datos tributarias y 100 GB de documentos internos — subiendo todo a almacenamiento en la nube de MEGA usando Rclone. Luego el ransomware detonó, cifrando sistemas en todo Hacienda.
Tres sistemas críticos quedaron fuera de servicio: ATV (la plataforma de declaración de impuestos en línea que toda empresa en Costa Rica utiliza), TICA (el sistema aduanero que procesa cada importación y exportación) y Exonet (la plataforma de exoneraciones fiscales). Aduanas volvió al papel. Los contenedores permanecieron en el puerto de tres a cuatro días adicionales. La Cámara de Comercio Exterior estimó pérdidas de $125 millones solo en las primeras 48 horas.
18-21 de abril
El ataque se propagó. El micrositio de MICITT fue desfigurado. El correo electrónico del Instituto Meteorológico Nacional fue comprometido. RACSA — el proveedor estatal de internet — tuvo su correo interno vulnerado. El Ministerio de Trabajo y FODESAF fueron atacados. Para el 22 de abril, el monitoreo del gobierno había detectado 35,000 solicitudes de comunicación de malware, 9,900 incidentes de phishing y 60,000 intentos de control remoto desde que comenzaron las medidas defensivas.
Conti exigió $10 millones. El presidente Carlos Alvarado rechazó públicamente pagar.
3-8 de mayo
Siete cámaras empresariales importantes exigieron conjuntamente un estado de emergencia, advirtiendo sobre la potencial parálisis del comercio internacional. El 6 de mayo, el Departamento de Estado de EE.UU. publicó una recompensa de $15 millones — $10 millones por información que identificara al liderazgo de Conti y $5 millones por información que condujera a arrestos.
El 8 de mayo, Rodrigo Chaves asumió la presidencia. Su primer acto oficial fue firmar el Decreto Ejecutivo No. 43542-MP-MICITT — declarando estado de emergencia nacional por ciberataque. Costa Rica se convirtió en el primer país en la historia en hacerlo. El decreto, normalmente reservado para terremotos y huracanes, habilitó la adquisición de emergencia de herramientas de ciberseguridad sin procesos de licitación estándar.
Para ese momento, 27 instituciones gubernamentales habían sido afectadas. Nueve fueron descritas como severamente comprometidas.
31 de mayo: Entonces Llegó Hive
Un grupo de ransomware diferente — Hive — atacó la CCSS. El ataque comprometió 759 servidores y 10,400 computadoras en aproximadamente 1,200 hospitales y clínicas. EDUS — el sistema unificado de expediente digital de salud que atiende a todo el país — estuvo paralizado durante aproximadamente dos meses. Hive exigió $5 millones en Bitcoin. Costa Rica se negó.
Un detalle que captura el estado de preparación de ese momento: después de los ataques de Conti a Hacienda en abril, España donó una herramienta de seguridad llamada microCLAUDIA al gobierno costarricense. Para cuando Hive atacó la CCSS el 31 de mayo, menos de 15 computadoras en toda la institución la tenían instalada.
Lo Que Reveló el Análisis Técnico
Advanced Intelligence (AdvIntel), la firma de ciberseguridad que publicó el análisis técnico definitivo del ataque, lo describió como "relativamente poco sofisticado."
Eso es lo que la mayoría pasa por alto. Conti no usó exploits de día cero ni herramientas de nivel estatal. Usaron Cobalt Strike (disponible comercialmente), Mimikatz (código abierto) y una vulnerabilidad que había sido parcheada públicamente hacía un año y medio. El ataque tuvo éxito por fallas básicas de higiene que existen en la mayoría de las organizaciones — en Costa Rica y a nivel mundial:
- Sin autenticación multifactor en el acceso remoto
- Una red plana sin segmentación entre instituciones
- Vulnerabilidades críticas sin parchar durante más de dieciocho meses
- Sin detección y respuesta de endpoints desplegada en los sistemas gubernamentales
- Sin Centro de Operaciones de Seguridad (SOC) centralizado
- Sin presupuesto dedicado a ciberseguridad
- Una auditoría de la Contraloría General de 2019 ya había señalado vulnerabilidades críticas de TI en Hacienda — no se hizo nada
AdvIntel también reveló algo que cambia cómo se piensa sobre el ataque: los operadores de Conti esperaban cobrar muy por debajo de $1 millón. La demanda de $10-$20 millones fue teatro. El verdadero propósito fue probablemente una maniobra publicitaria para encubrir la disolución planificada de Conti y su reconversión en operaciones más pequeñas — que es exactamente lo que sucedió en las semanas siguientes. Costa Rica no fue atacada porque era valiosa. Fue atacada porque era vulnerable.
La Respuesta de Estados Unidos
El FBI desplegó un equipo en el terreno dentro de las 24 horas del ataque inicial de Conti. En marzo de 2023, EE.UU. anunció un paquete de ciberseguridad de $25 millones para establecer un SOC centralizado en MICITT y proporcionar capacitación, hardware y desarrollo de capacidades a largo plazo. Un monto adicional de $10 millones provino del Departamento de Defensa.
El FBI luego se infiltró en Hive en julio de 2022 — agentes operaron encubiertos durante siete meses dentro de la infraestructura del grupo, lo que condujo al desmantelamiento de Hive en enero de 2023.
Lo Que Cambió — Y Lo Que No
La Estrategia Nacional de Ciberseguridad 2023-2027 fue publicada el 13 de noviembre de 2023. Tiene cinco pilares: protección de infraestructura y resiliencia cibernética, gobernanza y coordinación, marcos legales, educación y capacitación, y cooperación internacional.
Parte se ha implementado. El SOC nacional está en construcción. Más de 35,000 usuarios y 250 profesionales de TI han recibido capacitación en ciberseguridad. La puntuación de Costa Rica en el Índice Global de Ciberseguridad de la UIT mejoró a 15.01 de 20 — séptimo en América Latina.
Pero la puntuación de medidas técnicas — las capacidades defensivas reales — apenas se movió. De 2020 a 2024, aumentó 0.17 puntos. Los marcos legales son sólidos en papel. Los programas de capacitación existen. La preparación técnica de la infraestructura del país apenas ha mejorado.
Una encuesta de Microsoft a 100 organizaciones costarricenses a finales de 2025 encontró que el 78% planea priorizar la ciberseguridad. Eso suena alentador hasta que se lee que solo el 55% reporta alta participación de la junta directiva en decisiones de ciberseguridad — lo que significa que en casi la mitad de las organizaciones, la ciberseguridad aún no es una prioridad del liderazgo. Una investigación académica de ULACIT encontró que muchas PyMEs en el Gran Área Metropolitana no habían invertido en herramientas de seguridad en absoluto, dependiendo únicamente del Windows Defender preinstalado.
La Prueba de Que la Lección No Se Aprendió: RECOPE, Noviembre 2024
El 27 de noviembre de 2024 — dos años y medio después de los ataques de Conti — RECOPE (la Refinadora Costarricense de Petróleo) detectó ransomware en sus sistemas. El ataque fue atribuido a RansomHub. El punto de entrada fue un correo electrónico de phishing. Los atacantes habían estado dentro de la red de RECOPE durante varios meses antes de activar el ransomware.
RansomHub exigió $5 millones. La Ministra de MICITT Paula Bogantes declaró que Costa Rica no pagaría. El rescate no fue pagado.
La distribución de combustible continuó manualmente. Esa misma semana, el sitio web de la autoridad de migración se cayó, y Grupo Repretel (un importante grupo de medios) también fue atacado con ransomware. MICITT confirmó que al menos 10 empresas costarricenses y 200 en México fueron atacadas en una campaña coordinada de 48 horas.
El ataque a RECOPE tuvo un elemento positivo: fue el primer despliegue en el mundo real del programa FALCON de EE.UU. (Foreign Assistance Leveraged for Cybersecurity Operational Needs). El Embajador de EE.UU. estaba en el teléfono con el presidente de Costa Rica en cuestión de horas. Un equipo de respuesta llegó dentro de las 36 horas y estuvo aproximadamente diez días en el terreno. Costo total: aproximadamente $500,000.
El patrón se repitió — phishing, tiempo de permanencia, cifrado. El manual de jugadas no ha cambiado porque las defensas no han cambiado lo suficiente.
El Panorama Actual de Amenazas
Costa Rica experimentó 29.1 millones de intentos de ciberataque solo en la primera mitad de 2025. Los datos de Check Point de 2022 mostraron 1,468 ataques por organización por semana — 55% por encima del promedio de las Américas. MICITT estima más de 100 millones de ataques anuales.
Costa Rica fue clasificada como el cuarto país menos ciberseguro a nivel mundial en los rankings de ProxyRack 2025. Eso es un reflejo no de los esfuerzos del gobierno — que han sido sustanciales desde 2022 — sino de la brecha entre la política y la implementación, entre los documentos de estrategia y las defensas realmente desplegadas.
Qué Significa Esto para su Empresa
Las fallas que permitieron el ataque de Conti no fueron exóticas. Sin MFA. Una red plana. Sistemas sin parchar. Sin monitoreo. Sin plan de respuesta a incidentes. Estas son las mismas brechas que existen en la mayoría de las empresas costarricenses hoy.
Si usted dirige una empresa en Costa Rica, la pregunta no es si su industria será atacada. Turismo, servicios financieros, salud, retail, servicios profesionales, bienes raíces — cada sector enfrenta amenazas específicas. La pregunta es si sus defensas son materialmente diferentes a las del gobierno costarricense en abril de 2022.
Esto es lo que realmente importa — no metas aspiracionales de seguridad, sino las medidas específicas que habrían detenido el ataque de Conti:
Autenticación multifactor en cada punto de acceso remoto
Este solo control habría prevenido la brecha inicial. La falta de MFA en la VPN fue la primera y más trascendental falla.
Segmentación de red
Si la red de Hacienda hubiera estado segmentada, el atacante no habría podido pivotar del Ministerio de Finanzas a aduanas, a exoneraciones fiscales, a otros ministerios. Contenga el radio de impacto.
Parchear vulnerabilidades críticas dentro de 48 horas
Zerologon fue parcheado en agosto de 2020. El ataque ocurrió en abril de 2022. Dieciocho meses no es un ciclo de parcheo — es negligencia.
Detección y respuesta de endpoints en cada dispositivo
No antivirus. EDR. La diferencia es la capacidad de detectar movimiento lateral, robo de credenciales y exfiltración de datos — todo lo que Conti hizo dentro de la red durante cinco días antes de que alguien se diera cuenta.
Respaldos offline verificados
La recuperación de Costa Rica tomó meses porque las estrategias de respaldo eran inadecuadas. Pruebe sus respaldos. Pruébelos de nuevo. Pruebe restaurar desde ellos. Si nunca ha probado una restauración, no tiene respaldos — tiene esperanza.
Un plan de respuesta a incidentes que alguien haya ensayado realmente
La auditoría de la Contraloría de 2019 señaló los problemas. El gobierno tenía advertencias. Lo que no tenía era un plan probado para cuando las advertencias se convirtieran en realidad.
La experiencia de Costa Rica en 2022 demostró que los ciberataques no solo dañan sistemas. Retrasan cirugías. Dejan contenedores varados en el puerto. Congelan las planillas gubernamentales. Paralizan la recaudación fiscal de un país durante meses.
El grupo Conti ya no existe — se disolvió, se reconvirtió, se dispersó en operaciones sucesoras. Pero RansomHub, el grupo que atacó a RECOPE en 2024, usa el mismo manual. También lo hace cada operador de ransomware en el mundo. Están escaneando las mismas vulnerabilidades. Están enviando los mismos correos de phishing. Están buscando las mismas redes planas, sin parchar y sin monitorear.
La pregunta para cada empresa costarricense en 2026: ¿son sus defensas diferentes a las de Hacienda en abril de 2022?
¿No sabe dónde están sus vulnerabilidades?
Una evaluación de seguridad identifica brechas antes de que los atacantes lo hagan. Evaluamos su entorno contra las mismas fallas que permitieron los ciberataques más dañinos de Costa Rica — y proporcionamos una hoja de ruta concreta de remediación.
Agendar una ConsultaLectura Relacionada
Fraude Bancario en Costa Rica: Crecimiento del 668%, 38 Víctimas por Día
Cómo el fraude electrónico explotó en Costa Rica y qué significa la nueva ley de fraude bancario para su empresa.
IA para Empresas Costarricenses: Más Allá del Hype
Qué funciona realmente para las PyMEs costarricenses, desde chatbots de WhatsApp hasta automatización de cumplimiento tributario.