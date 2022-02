Los ataques al Estado comenzaron meses antes de que salieran a la luz. Se infiltraron en silencio hasta tomar el control de todo. Y entonces sí golpearon, dejando al borde del knock out a la víctima y, por extensión, a miles de ciudadanos. Siempre con la misma exigencia final: el pago de un rescate para terminar con el secuestro.

El Senado de la Nación y el Poder Judicial de la provincia de Chaco son las dos víctimas más recientes del sector público que padecieron la intrusión a sus sistemas y bases de datos. Pero no fueron los únicos, ni mucho menos. También la Dirección Nacional de Migraciones, la Provincia de San Luis, la Municipalidad de General Pueyrredón o la Fiscalía bonaerense se encuentran entre sus víctimas.

La palabra clave es “ransomware”, es decir, el “secuestro de datos” online cuya liberación se condiciona al pago de una fortuna en las profundidades de Internet –o “deepweb”-, mediante complejas operaciones que ocultan al secuestrador. Pero pagar tampoco garantiza que liberen lo robado. Por el contrario, podría alimentar la codicia de ese mismo atacante… o de otros.

El gobierno de la provincia de San Luis fue uno de los que sufrió el ataque de los hackers

Ese riesgo fue el que llevó al Senado nacional, a la Justicia chaqueña y a Migraciones a tomar la misma decisión: ni siquiera contactaron a los secuestradores, según reconstruyó LA NACION en base a los testimonios de funcionarios provinciales y federales al tanto de lo ocurrido en esos ataques.

Los tres ataques registraron coincidencias. La primera, que los secuestros de datos no ocurrieron de la noche a la mañana sino que se gestaron durante semanas o, incluso, meses. La segunda, que los atacantes se encargaron de borrar sus propias huellas para impedir que puedan perseguirlos. La tercera, que los hackers dejaron notas con precisiones sobre cómo negociar el pago de un rescate.

Los ataques, sin embargo, también registraron diferencias entre sí. La primera, que las protagonizaron grupos de hackers con improntas disímiles. La segunda, que quienes atacaron al Senado nacional y a la Justicia chaqueña exigieron el pago de un rescate a cambio de devolver la información, mientras que quienes afectaron a Migraciones amenazaron con difundir la información si no cobraban ese rescate.

El ataque a Migraciones fue el primero de los tres. Un usuario remoto, identificado como admin.cfeijoo se alojó dentro de los sistemas al menos desde junio de 2020, aunque el ataque estalló el 27 de agosto, cuando un “ransomware” de la variedad “Netwalker” empezó a hacer de las suyas: cifró la información –que incluía datos migratorios de miles de argentinos y extranjeros-, copió los datos de los sistemas infectados y amenazó con difundirlos en la “deepweb”.

A partir de allí, los hackers fijaron el 10 de septiembre de 2020, a las 9.10 de la mañana, como límite para la divulgación de la información secuestrada. Y algo más: cifraron el monto del rescate: 355.87180000 bitcoins, que al tipo de cambio entonces vigente eran casi US$ 3,6 millones. Migraciones radicó una denuncia penal, no pagó el rescate y los datos fluyeron por las profundidades de Internet.

Quienes atacaron al Senado exigieron el pago de un rescate a cambio de devolver la información, Shutterstock

Quienes atacaron al Senado, en tanto, se identificaron por un nombre de fantasía: “The Vice Society” o “la sociedad del vicio” y su ataque quedó expuesto el 12 de enero pasado, semanas después de que se difundiera que un holding de 70 periódicos noruegos y una cadena de supermercados del Reino Unidos se encontraban entre sus víctimas.

“Bloquearon todo y dejaron un archivo de texto que contenía los datos de contacto de un usuario en la ‘deep web’, a la que había que entrar utilizando el navegador Tor para negociar la devolución del material”, indicó un funcionario del Senado al tanto de lo ocurrido a LA NACION.

La decisión final fue, sin embargo, no contactar a los secuestradores. Entre otras razones para no fijar un precedente que aliente a los mismos u otros hackers a redoblar los ataques, decisión que también adoptó el Superior Tribunal de Justicia de Chaco. No negociaron con quienes tomaron el control de los sistemas operativos del Poder Judicial de la provincial la noche del viernes 7, o la madrugada del sábado 8, de enero pasado.

El riesgo de un colapso –que podía llevar a la desaparición de miles de expedientes penales, laborales, civiles y de familia, con el consecuente perjuicio social- alarmó a las máximas autoridades judiciales de la provincia, que conformaron un comité de crisis para revertir lo ocurrido… o al menos intentarlo. Actuaron en línea con los pasos que siguió la provincia de San Luis tras el ataque “ransomware” que sufrió el 25 de agosto de 2019. Ese día, el gobierno puntano perdió el control de 7,7 gigas de datos -una década de información pública- y poco después decretó la emergencia administrativa.

Los hackers que avanzaron contra Chaco, en tanto, se identificaron con otro nombre de fantasía, según indicaron desde Resistencia a LA NACION. Se presentaron como el “Hive Ransomware Group”, siendo “hive” la palabra que en inglés significa “colmena”. Ese grupo acumula más de 350 ataques a empresas privadas y organismos públicos alrededor del mundo en cuatro meses. Es decir, tres hackeos diarios.

La ofensiva escaló tanto que la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) emitió una alerta el 25 de agosto pasado sobre ese grupo. Detalló las tácticas, técnicas y procedimientos más habituales en sus ataques, como también recomendó algunas formas para “mitigar” el riesgo. La primera de ellas, crear copias de seguridad –o “back-up”- de toda la información, las que deben almacenarse sin conexión alguna a Internet.

El FBI también exhortó a no pagar el rescate exigido, aunque expresó que “comprende” a quienes toman esa decisión. “El FBI comprende que cuando una empresa afronta la imposibilidad de funcionar, sus ejecutivos evalúen todas las opciones para salvaguardar a sus accionistas, empleados y clientes”, indicó. Ese fue el caso de Colonial Pipeline, una firma estadounidense que pagó US$ 4,4 millones en criptomonedas al grupo “DarkSide” –en español, “Lado Oscuro”- y recuperó el control de sus operaciones. Un mes más tarde, el FBI logró decomisar US$ 2,3 millones.

Los hackers que avanzaron contra Chaco se identificaron con un nombre de fantasía: “Hive Ransomware Group”,

Colonial Pipeline estuvo lejos de ser la única empresa que pagó un rescate. La plataforma Chainalysis identificó que los hackers cosecharon más de US$ 692 millones durante 2020, y otros US$ 602 millones durante 2021 –provenientes de 140 ataques distintos-, según un informe preliminar que difundió el mes pasado.

Si el FBI puso en la mira al grupo “Hive” –el mismo que atacó al Poder Judicial chaqueño-, “Vice Society” quedó bajo la mira del Centro de Ciberseguridad Nacional británico y de expertos israelíes que buscaron determinar el origen de esos ataques. Algunos dedos apuntan a Irán y China; otros, a Rusia, desde donde habría provenido el pedido de al menos US$ 7,5 millones que recibió la empresa privada Telecom Argentina, en julio de 2020, tras padecer su propio ataque “ransomware”.

La mayoría de los ataques termina impune, tanto en la Argentina como en el extranjero, aunque de vez en cuando se registran arrestos. En noviembre pasado, Interpol lideró una redada con el apoyo de 17 países que culminó con la detención de siete sospechosos en Corea del Sur, Kuwait y Rumania, en tanto que Estados Unidos y Rusia arrestaron a miembros rusos y ucranianos de otra banda criminal, conocida como “Revil”.

Mientras tanto, desde el Senado nacional, el Poder Judicial chaqueño y Migraciones coincidieron en que el único paliativo ante un ataque es contar con copias de seguridad, aunque no necesariamente resulte un remedio: el back-up puede no llegar a la fecha del ataque, ni tampoco es recomendable acudir a la copia de seguridad más reciente. ¿Por qué? Porque para entonces los sistemas ya podrían encontrarse infectados por los hackers, por lo que sugieren retrotraerse a la penúltima versión de resguardo.