Ransomware in Costa Rica: Lessons Learned in Public Institutions from a Systems Engineering Perspective
Article Sidebar
Main Article Content
Abstract
Ransomware is malicious software that encrypts system files and demands payment for the decryption key [1]. Its trajectory has shifted from isolated strains such as CryptoLocker to a fully fledged Ransomware-as-a-Service (RaaS) economy on the darknet, where attack kits are rented to affiliates [2], [3]. Costa Rica stands out as one of the most affected Latin-American countries: successive campaigns between 2019 and 2024 forced the government to declare a national emergency, disrupting public health, finance and customs services [4]. National incident data published by CSIRT-CR confirm a steady rise in reported ransomware events over the same period [5], while losses attributed to the 2022 Conti campaign alone exceeded USD 125 million [6]. This study analyses the tactics, techniques and procedures employed in these attacks, mapping them to the MITRE ATT&CK knowledge base and correlating them with known vulnerability profiles. On this basis, it proposes an integrated defence framework that blends ISO/IEC 27001 controls, the NIST Cybersecurity Framework and Zero-Trust principles, emphasising network segmentation, multifactor authentication, immutable backups and rehearsed incident-response playbooks. The lessons extracted aim to guide public institutions in Latin America toward enhanced cyber-resilience and faster recovery when confronted with modern ransomware threats.
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Los autores conservan los derechos de autor y ceden a la revista el derecho de la primera publicación y pueda editarlo, reproducirlo, distribuirlo, exhibirlo y comunicarlo en el país y en el extranjero mediante medios impresos y electrónicos. Asimismo, asumen el compromiso sobre cualquier litigio o reclamación relacionada con derechos de propiedad intelectual, exonerando de responsabilidad a la Editorial Tecnológica de Costa Rica. Además, se establece que los autores pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
References
[1] Cybersecurity and Infrastructure Security Agency (CISA) and Multi-State Information Sharing & Analysis Center (MS-ISAC), #StopRansomware Guide: Ransomware and Data Extortion Prevention and Response, Washington, DC, USA, Jan. 2023. [Online]. Disponible en: https://www.cisa.gov/sites/default/files/2023-01/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf (accesado Jul. 14, 2025).
[2] H. Oz, A. Aris, A. Levi, and A. S. Uluagac, “A survey on ransomware: Evolution, taxonomy, and defense solutions,” Computers & Security, vol. 125, Art. no. 102913, 2023. [Online]. Disponible en: https://doi.org/10.1016/j.cose.2023.102913
[3] P. H. Meland, Y. F. F. Bayoumy, and G. Sindre, “The ransomware-as-a-service economy within the darknet,” Computers & Security, vol. 92, Art. no. 101762, 2020. [Online]. Disponible en: https://doi.org/10.1016/j.cose.2020.101762
[4] P. M. Datta and T. Acton, “Ransomware and Costa Rica’s national emergency: A defense framework and teaching case,” Journal of Information Technology Teaching Cases, vol. 13, no. 1, pp. 1–12, 2023. [Online]. Disponible en: https://doi.org/10.1177/20438869221149042
[5] Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) – CSIRT-CR, Reporte anual de incidentes de seguridad informática 2023, San José, Costa Rica, 2023.
[6] C. Rosch, “Un ciberataque masivo en Costa Rica aflige a la ciudadanía,” Rest of World, Jun. 2, 2022. [Online]. Disponible en: https://restofworld.org/2022/ciberataque-costa-rica-ciudadania (accesado Jul. 14, 2025).
[7] International Telecommunication Union (ITU), Recommendation X.1205: Overview of Cybersecurity, Geneva, Switzerland, 2008. [Online]. Disponible en: https://www.itu.int/rec/T-REC-X.1205-200804-I/en (accesado Jul. 14, 2025).
[8] Centro Criptológico Nacional (CCN-CERT), “Creación del CSIRT-CR de Costa Rica,” 2023. [Online]. Disponible en: https://www.ccn-cert.cni.es/es/component/content/article/1002-creacion-del-csirt-cr-de-costa-rica.html?catid=23&Itemid=11827 (accesado Jul. 14, 2025).
[9] República de Costa Rica, Decreto Ejecutivo N.º 43542-MP-MICITT: Declaratoria de emergencia nacional por ciberataques, Imprenta Nacional, San José, Costa Rica, May 2022. [Online]. Disponible en: https://www.imprentanacional.go.cr (accesado Jul. 14, 2025).
[10] International Organization for Standardization (ISO), ISO/IEC 27032:2023 –Cybersecurity – Guidelines for Internet Security, 2nd ed., Geneva, Switzerland, 2023.
[11] MITRE Corporation, “ATT&CK® knowledge base,” 2025. [Online]. Disponible en: https://attack.mitre.org (accesado May 19, 2025).
[12] CVE Details, “CVE vulnerability database,” 2025. [Online]. Disponible en: https://www.cvedetails.com (accesado May 19, 2025).
[13] Chainalysis Inc., Crypto-Crime Report 2024, New York, NY, USA, 2024. [Online]. Disponible en: https://www.chainalysis.com/resources/reports/2024-crypto-crime-report/ (accesado Jul. 14, 2025).
[14] Y. Jiang, W. Zhou, C. Qian, and L. Li, “MITRE ATT&CK applications in cybersecurity and the way forward,” arXiv preprint arXiv:2502.10825, 2025. [Online]. Disponible en: https://arxiv.org/abs/2502.10825 (accesado Jul. 14, 2025).
[15] Programa Sociedad de la Información y el Conocimiento (PROSIC), Informe de labores 2022, Universidad de Costa Rica, San José, Costa Rica, Feb. 2025. [Online]. Disponible en: https://prosic.ucr.ac.cr/sites/default/files/2025-02/informe_2022_completo.pdf (accesado Jul. 14, 2025).
[16] M. P. Castro-López, “Conocimiento de la percepción de la ciberseguridad en los estudiantes de la Universidad de Costa Rica,” Tecnología en Marcha, vol. 37, no. esp. 6, pp. 5–11, 2024. [Online]. Disponible en: https://doi.org/10.18845/tm.v37i6.7261
[17] J. F. Useda-Medrano, A. A. Ortiz-García, and F. Chávez-Baltodano, “Visión estudiantil: IA en la transformación de la enseñanza de ingeniería en TI,” Tecnología en Marcha, vol. 38, no. esp. 5, pp. 37–46, 2025. [Online]. Disponible en: https://doi.org/10.18845/tm.v38i5.7897
[18] O. Griffin, “More than 50 Colombian state, private entities hit by cyber-attack– Petro,” Reuters, Sep. 18, 2023. [Online]. Disponible en: https://www.reuters.com/world/americas/more-than-50-colombian-state-private-entities-hit-by-cyberattack-petro-2023-09-18/ (accesado Jul. 14, 2025).
[19] Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), “La UFECI abrió una investigación preliminar por un supuesto ataque informático al Ministerio de Salud de la Nación,” Ministerio Público Fiscal de la Nación, Argentina, Oct. 24, 2022. [Online]. Disponible en: https://www.fiscales.gob.ar/cibercrimen/la-ufeci-abrio-una-investigacion-preliminar-por-un-supuesto-ataque-informatico-al-ministerio-de-salud-de-la-nacion/ (accesado Jul. 14, 2025).