EscucharEl reciente anuncio de una vulneración en los sistemas informáticos del Instituto Costarricense de Electricidad (ICE) ha puesto bajo el foco público a un actor clave en la seguridad digital global: Mandiant.
Según se indicó en conferencia de prensa, esta firma, hoy propiedad de Google, fue la que alertó al Gobierno de Costa Rica sobre una incursión que compromete 9 GB de correos administrativos.
Pero, ¿qué es Mandiant y por qué su intervención es determinante en casos de seguridad nacional?
La “punta de lanza” de Google Cloud
Mandiant es una firma de ciberseguridad estadounidense que opera actualmente como la unidad de consultoría y servicios avanzados de Google Cloud. Fue adquirida por el gigante tecnológico en 2022 por una suma aproximada de $5.400 millones con el objetivo de integrarla como su principal recurso para la respuesta a incidentes y ciberinteligencia.
La reputación de la empresa no es reciente. Surgió como una entidad independiente que ganó notoriedad internacional en 2013, tras publicar un informe histórico que desveló actividades de ciberespionaje vinculadas a actores estatales chinos. Hoy, plenamente integrada en el ecosistema de Google SecOps (Google Security Operations), se dedica a tres funciones fundamentales:
- Respuesta a incidentes: Actúan como los “primeros respondedores” cuando una organización sufre un ataque (de ransomware o espionaje), entrando en la red para contener la amenaza y recuperar la operación.
- Ciberinteligencia: Analizan miles de ataques reales en todo el mundo para generar reportes de tendencias globales, como el informe anual M-Trends.
- Detección y defensa: Monitorean redes de forma proactiva para identificar amenazas antes de que causen daños mayores.
El caso ICE: espionaje, no extorsión
La intervención de Mandiant en Costa Rica fue la que permitió identificar que el ataque contra el ICE no era un evento aislado, sino una operación de ciberespionaje. Según dijo Paula Bogantes, jerarca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Mandiant entregó un informe en febrero pasado tras detectar la actividad sospechosa que habría iniciado en enero.
A diferencia del ataque del grupo Conti en 2022, que tuvo un fin extorsivo (ransomware) contra el Ministerio de Hacienda, el análisis forense de Mandiant determinó que, en esta ocasión, el actor de la amenaza tiene un enfoque específico en la industria de las telecomunicaciones y el ciberespionaje. El grupo responsable, identificado como de origen chino, ha sido rastreado por la firma en 42 países distintos.
Impacto y seguridad nacional
Aunque el ICE ha asegurado que el robo de 9 gigabytes representa una porción pequeña de su material y que no hay afectación en los servicios críticos de electricidad y telecomunicaciones, el Gobierno ha elevado el caso a un asunto de seguridad nacional.
La detección temprana por parte de Mandiant permitió activar protocolos de contención y coordinar acciones con el gobierno de Estados Unidos y el Organismo de Investigación Judicial (OIJ). En un país que aún recuerda las secuelas de los hackeos a la Caja Costarricense de Seguro Social (CCSS) y Radiográfica Costarricense (RACSA), la presencia de una firma con la capacidad de inteligencia de Google subraya la sofisticación de las amenazas que enfrentan las instituciones críticas del Estado.
Mandiant no solo actúa como un proveedor de servicios, sino como un “informador” global que utiliza su plataforma de inteligencia para vincular direcciones IP y dominios con actores estatales o criminales específicos, permitiendo que países como Costa Rica tengan visibilidad sobre quién está detrás de sus fronteras digitales.
