El pasado 11 de marzo de este año el grupo de ransomware Vice Society publicó los datos que robó al Senado argentino: hay números de DNI, CUIL y trámite, además de fotocopias del DNI de frente y dorso, domicilio, firmas a mano alzada, licencias de conducir y más. Un botín nada despreciable que se suma a la lista de filtraciones que sufrió el Estado en los últimos años. Pueden traerse a la memoria el hack de 2020 por parte del grupo REvil, donde se sustrajeron 50 GB de datos de la Dirección Nacional de Vialidad y el golpe que dio Netwalker contra la Dirección Nacional de Migraciones. A finales de 2021, llegó la estocada del ransomware Everest que ofreció en la dark web varios accesos oficiales por la suma de US$ 200.000. “El incremento fue de 261 por ciento en casos de asistencia de incidentes de seguridad informática y lo explican dos factores. El primero es la creación de un nuevo Equipo de Respuesta a Incidentes Informáticos Nacional (CERT.ar), se optimizó la asistencia. El otro factor es la tendencia a nivel global de mayor uso de TICs durante la pandemia, con más posibilidades de comisión no solo de ciberdelitos sino de incidentes de seguridad informática”, explica Gustavo Sain, director nacional de Ciberseguridad de la Nación.
Darktracer comunicó el hackeo por parte de Everest
Según Sain, lo que diferencia al Estado de las empresas es que el gobierno no negocia: el ransom no se paga y hay menos posibilidad de lucro. Para Horacio Azzolin, titular de la unidad fiscal especializada en ciberdelincuencia del Ministerio Público Fiscal, “es una cuestión natural que está relacionada con el crecimiento de internet y como se potenció con la pandemia”. La complejidad y el secretismo que rodea a todos los ataques cibernéticos también se palpa en el Estado, lo que dificulta su entendimiento.
Una fuente cercana a áreas técnicas del Estado así lo explica: “Hubo casos complejos, y hubo casos que se sobredimensionaron, como fue Renaper. Se habló de un ataque pero en realidad hubo exceso de uso de credenciales. Si alguien que tiene una credencial hace algo mal es un tema de legales porque sería un actor malicioso de adentro y no una vulnerabilidad. Lo sabemos por el tipo de consultas que se realizaron” y a esto Sain agrega, en sintonía: “Cuando un usuario autorizado y legítimo filtra datos en forma indebida e ilícita, no existen medidas técnicas que sirvan, y esto pasa tanto en el sector público como en el privado”. La fuente en off the record agrega que: “el tema pandemia complicó todo porque abriste redes, hay más accesos, más puntos de brecha. Muchos de los ataques son internos y eso pasa en todos lados. En el Estado pasan cosas por volumen de usuarios no porque sea el Estado específicamente”. Un gobierno es un target de alta prioridad para cualquier atacante.
Gustavo Sain, director nacional de Ciberseguridad de la Nación.
Pero, por su propia esencia, el Estado no puede pensarse en los mismos términos que una empresa: el impacto es distinto, los riesgos son distintos y la manera de abordarlo también. Aunque el eje común es la bidireccionalidad de los ataques, o bien se gana dinero o bien se daña la reputación. Azzolin rememora algunos casos testigo de ataques especialmente motivados por la política cuyo hábitat natural son los sistemas gubernamentales: “hubo casos de hacktivismo pero no fueron gran cosa. Hubo ataques de DDoS a algunos medios, como pasó con Página 12 cuando ganó Macri, algo muy grave para la democracia porque silencia voces. Tuvimos casos en momentos puntuales, como las reuniones del G20 o épocas de elecciones, que son como un piquete tecnológico”, expresa. Respecto a esto, Azzolin afirma que en la Argentina no operan bandas de ciberdelincuentes organizadas, aunque sí reconoce que hay algunos casos de APT que operan en territorio nacional pero “que no son de alta sofisticación”.
Guardia baja
Los puntos flacos del Estado se aparecen como una consecuencia de su propio funcionamiento. Uno de ellos, que es un eco de lo que sucede en el sector privado, es la falta de recursos humanos. Una fuente cercana dentro del Estado que prefiere guardar el anonimato así lo reconoce: “es un sector muy demandado, un perfil medio gana más que un juez y los jueces ganan fortunas. Hay dependencias que tienen sysadmins que cobran $ 100.000 y así es posible que se den fugas”, deja entrever. Pero existe también una pata técnica y una economía que hay que considerar. Uno de esos talones de Aquiles es el tema de las licencias de software, que según la misma fuente en off the record, “no están en su mejor momento”.
El mensaje del hacker que dijo tener los datos filtrados de Renaper.
Se trata de casos donde el software no se actualiza por los altos costos. “Hay equipos y licencias que pueden costar US$ 200.000, son problemas que exceden los deseos de hacer las cosas bien”, desliza. Otro problema adicional, típicamente estatal, es la gestión política.
261% aumentaron los ataques informáticos el año pasado
Cuando la coalición Cambiemos dejó el gobierno, hubo actualizaciones tecnológicas que quedaron a mitad de camino y que la nueva administración puede elegir no continuar. “La gestión anterior contrato servicios cuestionables para manejar los datos de AFIP, llevándolos a Amazon Web Services. En la migración hubo una falla y durante meses hubo scripts corriendo hacia los servicios de AFIP que pedían DNI, CUIL y otros datos. De la misma manera que hubo un empujón muy fuerte de poner Oracle en todos lados cuando había soluciones mejores y más baratas”, cuenta la misma fuente.
Así, la Jefatura de Gabinete estableció que debe haber requisitos mínimos de seguridad de la Información en el Sector Público Nacional. “Se trata de una serie de estándares obligatorios que deben cumplir los organismos públicos nacionales basados en normas ISO. La Dirección Nacional de Ciberseguridad y la Sindicatura General de la Nación (SIGEN) auditará su cumplimiento y serán aplicables también a las empresas proveedoras y contratistas que trabajen para los organismos alcanzados por la norma”, contextualiza Sain. Otro problema que hoy es relativamente acuciante en el Estado es la tecnología antigua que no se puede cambiar. “Hay tech vieja que se hereda y se sigue usando, pero no es tanto el legacy, sino organismos que tiene el problema de tener software que corre sí o sí en un Windows viejo, pero en casi todos los lugares se está virtualizado con seguridad más alta, no es lo mismo un XP suelto que en una virtual machine”, explica la fuente anónima.
Stealer Malware Intelligence Report – Government
1,753,658 credentials of 49K+ government sites have been leaked from users infected with Stealer malware.
*The users may include government users or public users of gov public services*
TOP 10,000 sites:https://t.co/6cBABpuzL4 pic.twitter.com/zmp5a0d92p
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) March 2, 2022
El tema de la seguridad informática estatal es tanto relativamente nuevo como acuciante, ya que como todos los entrevistados coinciden, la virtualidad llegó para quedarse. Pero tanto su novedad como su complejidad técnica generan rispideces en las respuestas del gobierno. “Tenemos gente que se entrena permanentemente. Hoy, por ejemplo, trabajamos mucho el tema delitos con criptomonedas y esto ejemplifica porque los cibercrimines son diferentes a los tradicionales. Las unidades de homicidio no tienen técnicas que les cambian radicalmente todos los años, a lo sumo cambió mucho el ADN cómo se trabaja, pero se investigan igual. En los últimos años aparecieron las criptomonedas, los ransomware, familias nuevas de malware, todo lo cual hace tan solo cinco años directamente no existían”, explica Azzolin.
“Pese a los prejuicios existentes acerca de lo público, existe un gran talento humano en las áreas de informática y sistemas de los organismos del Estado”, concluye Sain, y si bien reconoce el fuerte déficit también expresa que se está trabajando sobre ello. “El año pasado creamos un registro de puntos focales de ciberseguridad, representantes de los organismos centralizados y descentralizados. En este sentido se ha constituido una verdadera comunidad de ciberseguridad dentro del Estado que antes no existía. La Dirección a mi cargo triplicó la oferta académica de capacitación en el Instituto Nacional de la Administración Pública donde se ofrecen capacitaciones a los empleados del Estado en materia de ciberseguridad”, cierra.