los Legislatura de la Ciudad de Buenos Aires se está recuperando lentamente del ciberataque que sufrió el pasado domingo: tras cambiar contraseñas y desconectar los equipos infectados, volvieron a habilitar el Wifi, recuperó un equipo por área y continuó con el trabajo parlamentario. Sin embargo, no revelan qué información se vio comprometida o qué tipo de ataque fue.
La versión más fuerte que circula es que se trata de un Secuestro de datoses decir, un programa malicioso que encripta la información y la vuelve inaccesible a los propios usuarios para exigir un rescate, como le sucedió al Senado en enero de este año.
Sin embargo, fuentes del Legislativo aseguraron Clarín que no hay pedido de extorsión. Esto llama la atención, ya que el comunicado compartido por la Legislatura porteña este lunes habla de “equipo encriptado”.
“No hay demanda de rescate. Además, una institución estatal no puedo pagar para recuperar información a través de un mecanismo de extorsión”, explicaron desde la dependencia.
El Legislativo interpuso denuncia ante la Unidad Fiscal Especializada en Delitos y Contravenciones Informáticos.
Cómo se recupera la Legislatura del ciberataque
Según contaron desde la Legislatura porteña, las dos primeras medidas que tomaron fueron las clásicas en estos casos: desconectar todo el equipo y terminar la red Wi-Fi.
“Lo primero que se hizo fue, la misma noche del atentado, alertar a todo el personal para que no puedan conectarse a la red WiFi. De hecho, el lunes por la mañana se apostaron personas en la puerta de la Legislatura para avisar a todos los que iban llegando que no iban a poder acceder a la red”, dijeron.
La red WiFi se restableció este martes y, con ella, al menos un equipo por área para que funcione. Según Clarín, se trataba de computadoras con versiones anteriores del sistema operativo (Windows) y computadoras de escritorio (“los celulares no estaban comprometidos”, aseguraron).
En cuanto al trabajo de los legisladores bonaerenses, “continuó el trabajo parlamentario, se retrasó el trabajo administrativo de ese lunes. Hay cosas que funcionan en el papel, con las que podrían seguir trabajando”, explicó una fuente legislativa.
“Aunque la dirección actual está trabajando en un mostrador de entrada digital, la mayoría de las cosas todavía están firmados a mano”, contaron.
Sin embargo, el trabajo diario experimentar retrasos, precisamente porque solo hay una máquina habilitada por sector. Además, tanto la web oficial como la transmisión de sesiones en YouTube están caídas.
¿Secuestro de datos? La información que no da la Asamblea Legislativa
“No se robaron datos ni hay pedido de rescate”, aseguraron desde el órgano legislativo. Sin embargo esto es extrañoya que cuando se cifra la información, los grupos de ciberdelincuentes suelen exigir un rescate a cambio, normalmente en CRIPTOMONEDAS. Y un comunicado interno que circuló por WhatsApp, al que pudo acceder Clarínmencionado “sistemas, servidores y máquinas encriptados”:
Esto ya pasó varias veces en Argentina, de hecho: “Son cinco casos importantes de ransomware denunciados contra la Administración Pública Nacional, recuerden Clarín Mauro Eldritch, analista de amenazas.
“Netwalker contra la Dirección Nacional de Migraciones (información de consulados, embajadas, Interpol y AFI), REvil contra Argentina.gob.ar (que agrupa varios servicios digitales estatales), Everest contra Argentina.gob.ar (y otros sitios, entre ellos hicieron una Venta de Viernes Negro), ViceSociedad contra el Senado de la Nación y Everest contra el Instituto Nacional de Tecnología Agropecuaria”, enumera.
Hubo casos en los que no hubo demanda de rescate, recuerda, “como Renaper, Hospital Garrahan, Suprema Corte de Justicia de la Nación, Municipalidad de San Pedro Buenos Aires, Municipalidad de Posadas Misiones, y más”. Pero normalmente cuando filtran datos, los ponen a la venta en foros especializados.
Según el experto, en el caso de la Legislatura, y ante la falta de comunicación oficial sobre el tipo de hackeo que los afectó, la información confidencial podría verse comprometida.
“Si nos basamos en el comunicado ante consultas emitido por la Asamblea Legislativa, podemos asumir el peor escenario posible: mientras reconocieron una interrupción en el servicio, la creación de un comité de crisis, el restablecimiento paulatino de la conectividad y se ve que el el servicio público sigue caído [web y streaming de sesiones]toda la infraestructura podría estar potencialmente comprometida”, analiza.
“Así, podrían comprometer desde las comunicaciones de los parlamentarios y sus archivos personales (que podrían ser críticos) hasta otros activos digitales de la infraestructura (credenciales de acceso, archivos internos, etc.)”, especifica.
El otro problema fue la forma en que se comunicó el ciberataque: no hubo comunicación oficial más allá de publicar en las redes sociales.
“Desde mediados de 2021, se aplica a las organizaciones comprendidas en el inciso a del art. 8 de la Ley 24156 la obligación de informar incidentes de seguridad a la DNCIB. Si bien el Poder Legislativo no forma parte de la administración pública, estos lineamientos pueden ser recomendaciones que pueden ser utilizadas para casos similares en empresas y organizaciones”, explica el abogado especialista en ciberdelincuencia Daniel Monastersky.
“Así está en el artículo 7 de la Resolución Administrativa N° 641/2021. También en el Anexo que se aprueba por el artículo 1: ‘Directriz 12. Gestión de incidentes’, en el último punto de este título se detalla que ‘en caso de que el incidente de seguridad haya afectado a los activos de información y haya información comprometida y/o datos personales de terceros, tal ocurrencia debe ser denunciada públicamente’”, agrega. Fuentes legislativas aseguraron que no se comprometió ningún dato personal.
Bajo este escenario, la Asamblea Legislativa se limitó a compartir información de forma privada a través de sus gabinetes de prensa con quienes consultaron sobre el estado de la situación tras el ciberataque, como periodistas y funcionarios.
Mientras tanto, investigadores independientes están tratando de determinar si se trató de ransomware y qué grupo estuvo detrás del ataque, si fue un secuestro de información extorsiva.
SL
