La Legislatura de la Ciudad de Buenos Aires se recupera de a poco del ciberataque que sufrió el domingo pasado: luego de cambiar contraseñas y desconectar equipos infectados, volvieron a habilitar el WiFi, recuperaron un equipo por área y continuaron con la labor parlamentaria. Sin embargo, no dan a conocer qué información se vio comprometida ni qué tipo de ataque fue.
La versión más fuerte que circula es que se trata de un ransomware, esto es, un programa malicioso que encripta información y la vuelve inaccesible a los propios usuarios para pedir un rescate en dinero, como le pasó al Senado en enero de este año.
Sin embargo, fuentes de la Legislatura aseguraron a Clarín que no hay un pedido extorsivo. Esto es llamativo, ya que el comunicado que compartió la Legislatura porteña el lunes habla de “equipos encriptados”.
“No hay un pedido de rescate. Además, una institución estatal no puede pagar para recuperar información mediante un mecanismo extorsivo”, explicaron desde el organismo.
La Legislatura presentó una denuncia ante la Unidad Fiscal Especializada en Delitos y Contravenciones Informáticas.
Cómo se recupera la Legislatura del ciberataque
Según contaron desde la Legislatura porteña, las dos primeras medidas que tomaron fueron las clásicas en estos casos: desconectar todos los equipos y dar de baja la red de WiFi.
“Lo primero que se hizo fue, la misma noche del ataque, alertar a todo el personal para que no se iban a poder conectar a la red de WiFi. De hecho, en la mañana del lunes se puso gente en la puerta de la Legislatura para avisarles a todos los que iban llegando que no podrían acceder la red”, contaron.
La red de WiFi se restableció este martes y, con ella, al menos un equipo por área para poder trabajar. Según supo Clarín, eran computadoras con versiones más viejas del sistema operativo (Windows) y equipos de escritorio (“no se comprometieron teléfonos celulares”, aseguraron).
En cuanto al trabajo de los legisladores porteños, “la labor parlamentaria siguió, la administrativa ese lunes se retrasó. Hay cosas que funcionan a papel, con lo cual, pudieron continuar trabajando”, explicó una fuente legislativa.
“A pesar de que la gestión actual está trabajando en una mesa de entrada digital, la mayoría de las cosas se firman de puño y letra todavía”, contaron.
Sin embargo, el trabajo del día a día experimenta demoras, precisamente por haber solo una máquina habilitada por sector. Además, Tanto la página web oficial como la transmisión de sesiones por YouTube se encuentran caídas.
¿Ransomware? La información que la Legislatura no da
“No se robaron datos ni hay pedido de rescate”, aseguraron desde el organismo legislativo. Sin embargo esto es extraño, ya que cuando se encripta información, por lo general, los grupos de ciberdelincuentes piden un rescate a cambio, usualmente en criptomonedas. Y un comunicado interno que circuló por WhatsApp, al que pudo acceder Clarín, mencionaba “sistemas, servidores y máquinas encriptadas”:
Esto ya ha sucedido en varias oportunidades en Argentina, de hecho: “Hay cinco grandes casos de ransomware reportados contra la Administración Pública Nacional, recuerda a Clarín Mauro Eldritch, analista de amenazas.
“Netwalker contra la Dirección Nacional de Migraciones (información de consulados, embajadas, Interpol y AFI), REvil contra Argentina.gob.ar (que nuclea varios servicios digitales del Estado), Everest contra Argentina.gob.ar (y otros sitios, incluso hicieron un Black Friday Sale), ViceSociety contra el Senado de la Nación y Everest contra Instituto Nacional de Tecnología Agropecuaria”, enumera.
Hubo casos donde no mediaron pedidos de rescate, recuerda, “como Renaper, Hospital Garrahan, Suprema Corte de Buenos Aires, Municipalidad de San Pedro Buenos Aires, Municipalidad de Posadas Misiones, y más”. Pero, por lo general, cuando filtran datos, los ponen a la venta en foros especializados.
Según el experto, en el caso de la Legislatura, y ante la falta de comunicación oficial sobre el tipo de hackeo que los afectó, podría verse comprometida información sensible.
“Si nos apoyamos en la comunicación ante consultas que emitió la Legislatura, podemos asumir el peor escenario posible: en tanto reconocieron una disrupción en el servicio, la creación de un comité de crisis, la restauración paulatina de la conectividad y se puede ver que el servicio al público aún está caído [web y streaming de sesiones], podrían potencialmente verse comprometidas la totalidad de la infraestructura”, analiza.
“Así, podrían comprometerse desde las comunicaciones de los parlamentarios y sus archivos personales (lo cual podría ser crítico) hasta otros activos digitales propios de la infraestructura (credenciales de acceso, archivos internos, etc.)”, precisa.
El otro problema fue la forma en la que se comunicó el ciberataque: no hubo comunicación oficial más allá del posteo en redes sociales.
“Desde mediados del 2021 rige para los organismos que caen en el inciso a del art. 8 de la Ley 24156 la obligación de reportar los incidentes de seguridad a la DNCIB. Si bien el Poder Legislativo no forma parte de la administración pública, estos lineamientos pueden ser recomendaciones que sirvan para casos similares en las empresas y organizaciones”, explica el abogado especializado en ciberdelitos Daniel Monastersky.
“Esto está en el artículo 7° de la Decisión Administrativa N° 641/2021. También en el Anexo que se aprueba por el artículo 1°: ‘Directriz 12. Gestión de Incidente’, en el último punto de este título se detalla que ‘en el caso en que el incidente de seguridad hubiere afectado activos de información y hubiere comprometido información y/o datos personales de terceros, se deberá informar públicamente tal ocurrencia’”, agrega. Fuentes legislativas aseguraron que no se comprometieron datos personales.
Bajo este escenario, la Legislatura se limitó a compartir información de manera privada mediante sus oficinas de prensa a quienes consultaran por el estado de la situación tras el ciberataque, como periodistas y funcionarios.
Mientras tanto, investigadores independientes tratan de determinar si fue un ransomware y qué grupo estaría detrás del ataque, en caso de que se trate de un secuestro de información extorsivo.
SL