Se trata de un ataque producido por el tipo de virus llamado ransomware, es un software malicioso que de alguna manera logra ser introducido y ejecutado a una computadora conectada a determinada red, para engañar a un usuario, aprovechar una vulnerabilidad de un sistema, formas difíciles de determinar. Una vez ejecutada en el sistema, se reproduce en todas las computadoras de la red, y además, cifrar y encriptar todos los archivos que se encuentren allí.
El resultado es que los archivos de cada computadora siguen estando pero cambian de nombre y si los intentan abrir responde que el formato no es válido. Se pierde acceso a los archivos por más que los vea.
En realidad los archivos están secuestrados, ransom en inglés es secuestro, y para recuperarlos hay que pagar una suma de dinero a quien controla el virus para que nos dé un programita que sirva para desencriptar los archivos y una clave.
Si el ransom está bien hecho solo con la clave se recuperan los archivos.
No hay antecedentes de utilización de este tipo de virus sin pedido de rescate al Poder Judicial pero sí a una dependencia pública. Migraciones sufrió en 2020 un ciberataque similar. Si quisieran solo hacer daño, utilizarían otro tipo de virus porque encriptar los archivos es una tarea muy pesada que utiliza mucho tiempo de CPU y es fácil de matar. Si el objetivo es destruir las cosas es más fácil borrar los archivos en vez de encriptarlos. Precisamente se toman la molestia de encriptarlos para que el proceso sea reversible, y para que lo haría reversible si no van a pedir un rescate.
Es un virus muy nuevo. No deja una nota explícita sino un archivo con la palabra play y una dirección de mail.
Javier Smaldone un experto en informática que se pronunció en contra el uso del voto electrónico en la Argentina por el riesgo de fraude y denunció el mayor escape de ciberinformación de la historia nacional, conocido como LagorraLeaks, por el que fue acusado y luego sobreseído por el juez federal Luis Rodríguez.
El personal de informática del Poder Judicial dice que es un ataque muy grave, pero el presidente del TSJ salió en conferencia de prensa a contradecir esta mirada y a decir que no es tan grave y que hay respaldo de toda la información.
“Mi sensación es que algo no cierra. Pero lo sabremos fehacientemente en algunos días. Para volver a funcionar de nuevo hay que traer los backups, instalar cada uno de los servidores infectados, probar todo, y, además, no se puede volver con la misma configuración anterior, porque van a volver a atacar. Hay que aprovechar el momento y montar un equipo que revise la seguridad, corrija lo que se pueda corregir y después la vuelta se hace por partes, de manera controlada. Será lento, es normal. Lo que no es normal es la doble versión de lo sucedido y que desde la autoridad judicial no dieran siquiera una estimación del tiempo necesario para restablecer el sistema”, apuntó Smaldone.
Esto no dice nada de la seguridad porque todas las semanas caen sistemas de empresas con tecnología de punta. Puede ser que haya habido una vulnerabilidad grosera pero también es posible que tomando las medidas necesarias suceda igual.
“La clave y lo cuestionable es el impacto de esto. Sabemos que pasan estas cosas. Hay seis o siete empresas de primer nivel que le ha sucedido en los últimos tres meses, ninguna pagó de las que yo conozco. Uno tiene que asumir que en algún momento esto va a pasar y debe prever las políticas y las medidas, ya definidas e implementadas, para que cuando esto pase poder minimizar la pérdida de datos y el tiempo de parálisis. Lo que miró es qué impacto tuvo, hasta donde hizo daño. Esto se minimiza teniendo buenas copias de respaldo de toda la información, esto significa copias actualizadas, probadas, disponibles y aisladas”, definió.
Hasta el momento no se sabe si esto es así. El TSJ, en la voz de su presidente Sebastián López Peña, dice que sí. Ayer, se sabía que el Plan de Contingencia elaborado por la cúpula del Poder Judicial se ponía en marcha para hacer frente al ciberataque que encriptó sus archivos. Con las limitaciones del caso, se cumplieron numerosos trámites, en especial audiencias. El proceso de digitalización comenzó en pandemia, que aceleró los tiempos, y hoy ya la utilización del papel es muy poca.
Andrés Piazza, abogado experto en seguridad informática, apuntó que el ataque “implica un impacto institucional, si las instituciones públicas son información que se mantiene solo en esos servidores el Estado entonces es información y si esta se pierde el Estado pierde una de sus capacidades y hay un problema hasta de continuidad institucional”.
“Se dijo que no era un ramsorware extorsivo pero la falta de consistencia entre acciones y lo que se ha podido constatar muestra que no habría que descartar que haya sido extorsivo”, advirtió Piazza.
Comentarios recientes