El grupo de cibercriminales usó un software del tipo "ransomware" -es decir, del mismo tipo usado contra el BancoEstado chileno- denominado Netwalker. El Ministerio del Interior de Argentina decidió no pagar por el rescate.
El 27 de agosto la Dirección Nacional de Migraciones informó un intento de hackeo sobre sus redes informáticas. Aseguraron entonces haber contenido el ataque.
Sin embargo, un grupo informático de presunto origen ruso advirtió que había logrado robar parte del material alojado en los servidores argentinos.
Gran parte del ataque lo recibió el Sistema Integral de Captura Migratoria (SICAM) que opera en los pasos internacionales. “Se vio particularmente afectado, lo que ocasionó en las horas siguientes al ciberataque, retrasos en el ingreso y egreso al territorio nacional”, confirmaron entonces desde el organismo.
El foco se puso sobre el funcionamiento de los cinco pasos fronterizos terrestres sumados Ezeiza y Buquebus que podrían haberse visto afectados.
Los hackers, a los que se dio en denominar con el mismo nombre del software que usaron “NetWalker“, lanzaron horas después del ataque una amenaza concreta: o se pagaba una millonaria suma en dólares (que con el pasar de los días fue cambiando) o se hacían públicos los datos secuestrados.
La primera consecuencia del ataque informático fue el pedido de renuncia al Director General de Gestión Informática y Tecnología de la Información Juan Carlos Biacchi.
Por otra parte, la fecha límite para la entrega de los fondos era el miércoles. Desde Migraciones aseguraron que no se iba a desembolsar esa cifra dado que no sólo negaban que se hubiera secuestrado material estratégico de relevancia sino que además se presentaría una denuncia por extorsión ante la Justicia.
Así se hizo y la denuncia que realizó la Dirección Nacional de Migraciones, que está bajo la órbita del Ministerio del Interior a cargo de Eduardo ‘Wado’ De Pedro, recayó en el juzgado de Sebastián Casanello.
Ultimatum
Este jueves, vencido el plazo, los hackers subieron todo el contenido a la nube con una clave muy particular: “123456” que es una de las contraseñas más usadas en los accesos por usuarios de todo el mundo y una de las primeras puertas de entrada que buscan usar los cibercriminales.
La técnica usada para acceder a la información habría sido la implantación del ransonware Netwalker, que es un programa informático que ayuda al robo y encriptación de información. No obstante, no se descarta, entre otras hipótesis, que los hackers hayan tenido ayuda interna.
Casi 2 gigas de información fueron subidos a una plataforma llamada DropMeFiles (al estilo de Dropbox o Google Drive) y desde allí se podría acceder a datos vinculados a inteligencia criminal, dado el origen de la información. Fuentes de Migraciones descartaron ante Perfil que tengan impacto en la seguridad concerniente a las fronteras.
Qué es un ransomware
El medio argentino se comunicó con el especialista y consultor informático Fabio Baccaglioni quien explica en simples términos cómo funcionan los ataques informáticos y qué se puede hacer para prevenirlos.
“Es bastante más sencillo de lo que se cree que un grupo de hackers irrumpa en un Gobierno. La mayoría de los sistemas tienen alguna vulnerabilidad: los mismos usuarios o el software o hardware usado. Si los equipos informáticos no están actualizados o no tienen ningún tipo de filtro o están expuestos a la red, están abiertos a que cualquier software pueda entrar: todo ransonware, todo malware, y demás programas. Se ejecutan de manera oculta. Pero antes hubo alguna acción que los habilitó“, detalló Baccaglioni.
El consultor apuntó también al estado de algunos equipos. “Si es una computadora vieja, lo cual en el Estado es bastante común, por vulnerabilidades ya conocidas, entró el ransonware”. Los hackers van probando “hasta hallar una puerta de entrada”. Los passwords débiles también es otro error muy típico, “como el conocido 123456“.
En una red bien armada, “suele haber niveles de ingreso de usuarios y además las carpetas protegidas y no como en este caso al que tuvieron acceso presuntamente los hackers”, describió el especialista en tecnologías de la información.
Un ransomware, define a continuación, “es un software que se instala en la computadora y encripta los archivos importantes y para poder desencriptarlos llega un mensaje que hay que depositar una cantidad de bitcoin en una billetera virtual. Piden una recompensa por la información que es propia. Otra modalidad es que exigen, como el caso del grupo ruso, no solo dinero para recuperar el material sino además para exponerlos públicamente en la red”.
Por último, Baccaglioni aclara algunos conceptos sobre la Deep Web y la Dark Web: “No necesariamente sirven para alojar contenidos ‘turbios’ u ocultos sino que fue pensada para servir a perseguidos políticos, o para acceder o compartir información en países con regímenes opresivos. No son necesariamente lugares para acceder a criminales. Que no aparezca en Google no implica esto”.
