FUENTE: Infobae
A más de un mes del sabotaje informático que atacó los servidores del Poder Judicial de Chaco a comienzos de año, el Superior Tribunal de Justicia provincial recibió los informes que había ordenado para entender quién estuvo detrás del ataque. Confirmaron que el Hive Ransomware, un virus sobre el que ya había alertado el FBI (Federal Bureau of Investigation) el año pasado, constituye un “malware sumamente peligroso y efectivo” porque es “complejo y efectivo y difícil de combatir en su acción, incluso con antivirus actualizados”.
El documento fue elaborado por Laboratorio de Investigación y Desarrollo de Tecnología en Informática Forense (InFoLab) de la Universidad FASTA y fue recibido el viernes por la Corte de la provincia. Ya fue puesto a disposición de la fiscal penal de Resistencia Ingrid Wenner, que quedó a cargo de la investigación para intentar dar con los piratas informáticos.
Mientras tanto, el secretario de Superintendencia provisorio de la Corte chaqueña Lisandro Yolis, resaltó en diálogo con Infobae que ya se logró recuperar “un altísimo porcentaje de la información de las bases de datos y servidores atacados” gracias a que se pudo acceder a “los back-ups”. Y señaló que lo único que demorará unas semanas más es “la presentación digital de escritos”, precisamente, porque abrir esa puerta puede volver, en este momento, a poner en jaque lo que se ha hecho hasta ahora hasta no completar todos los procesos de seguridad.
Según destacó Yolis, la justicia chaqueña fue pionera en medio de la pandemia por el coronavirus a la hora de agilizar la informatización de expedientes y poner en marcha a los tribunales de manera digital. Es que no es un dato menor que una de las primeras víctimas fatales del coronavirus, en marzo del 2020, fue un juez de Chaco: se llamaba Guido Ariel Benvenutti, tenía 53 años y había viajado a España en los días previos. En medio del aislamiento nacional, la justicia local resolvió evitar la presencialidad pero activar los servicios a los cuatro meses.
Desde entonces, el sistema funcionó, dijo Yolis, sin problemas hasta que el 8 de enero las autoridades del Poder Judicial detectaron una serie de errores en la página. Se perdieron algunos servicios y se resolvió desconectar todo. Todos los servicios de índole digital (INDI, IURE, IURE – Ingreso de demandas-, SIGI, SIGI profesional, servidores, internet, conexiones de red, conexiones VPN, correos oficiales, domicilios electrónicos, y todo otro servicio digital que brinda el Poder Judicial) quedaron suspendidos. Al instante se dieron cuenta de que el ataque venía de un ransomware “novedoso y particularmente virulento” que ya había vulnerado la página oficial de Migraciones a fines del año pasado.
Entre las carpetas encriptados que se encontraron los responsables del sistema informático del Poder Judicial de Chaco, apareció un mensaje diciendo cómo recuperar los archivos. Y las indicaciones para acceder a la deep web. Allí se encontrarían con el pedido de rescate, la exigencia del monto exigido y la forma de concretar el pago, precisaron las fuentes consultadas por Infobae. Pero los jueces del máximo tribunal de Chaco decidieron frenar la avanzada ahí. “Se decidió no fomentar esto. La decisión política fue no pagar”, aseguraron a Infobae. La razón fundamental es que no se negocia con delincuentes.
Tras la contratación de una empresa para conseguir rescatar los archivos que puso en peligro el ataque informático, el Poder judicial chaqueño informó que se logró recuperar casi todo la información y se lograron reestablecer gran cantidad de servicios. El grueso del trabajo se hizo en enero, cuando regía la feria judicial de verano, pero aún así en febrero se siguió durante estas semanas bajo un sistema paulatino de retorno a los servicios. Un acordada firmada el jueves pasado por los ministros chaqueños detalló públicamente en qué estado se encuentra cada área.
El ataque informático generó la reacción de los abogados de la provincia. Allí hay siete colegios. Seis de ellos respaldaron el trabajo que se había hecho, mientras que el séptimo, con críticas a los ministros de la Corte, pidieron ser querellantes en la causa que analiza la fiscal Wenner. Esta semana, su petición fue denegada.
En ese contexto llega ahora el informe técnico que detalla como funciona el “Hive Ransomware” y sobre si podría haberse evitado. Los analistas de la universidad consultada explicaron que “es un código malicioso que implementa las funcionalidades de cifrado de la información de un equipo infectado, imposibilitando la recuperación de los datos”. “Los atacantes que operan tras este malware intentan luego extorsionar a las víctimas a partir de la exigencia de un pago para recuperar la información. Hay una organización que lo administra, con fines claramente delictivos, agregando mayor incertidumbre al ataque y, por ende, mayor complejidad al abordaje, tanto ex ante como ex post al ataque del mismo”, se señaló. No siempre, además, el pago del rescate garantiza recuperar la información.
Cómo funciona el sabotaje informático que atacó al Poder Judicial
Hasta octubre de 2021, se habían registrado al menos 355 víctimas a nivel mundial de “Hive”, entre ellas, Memorial Health System y Media Markt. “Todo esto es llevado a cabo por atacantes humanos, no por un software que se ejecuta de manera independiente o autónoma. Este es un escenario más complejo para la defensa por parte de la institución, ya que un atacante humano puede analizar la situación y adaptarse a los distintos escenarios y obstáculos con que se encuentra”, señaló el informe que se entregó a la justicia chaqueña elaborado por el Grupo de Investigación y Desarrollo de Tecnología en Informática Forense de Facultad de Ingeniería de la Universidad FASTA.
La complejidad, además, se agrava, dicen los expertos, porque “al momento de ejecutar el virus, este deshabilita servicios del sistema operativo, y antivirus que puedan encontrarse presentes en la computadora donde se ejecuta. También modifica los permisos de acceso a los archivos, y evita cifrar contenido ‘poco importante’. Es decir, el cifrado de archivos se concentra en la información que supone de mayor importancia para el usuario, e intenta lograrlo de la manera más rápida posible”.
Según se explicó, concretamente, se detienen varios procesos y se deshabilitan muchos servicios en el sistema operativo, “la interrupción de estos servicios y procesos busca que no haya ningún bloqueo de acceso a los archivos al momento de cifrarlos, ya sea por un servicio de antivirus, servicios de seguridad y protección, o procesos que puedan estar accediendo a un archivo y retengan el acceso al mismo. En este sentido, el propio malware evita la acción de los antivirus, dejando a estos ‘fuera de combate’“. Por último, señala que “una vez terminado el proceso de cifrado de los archivos, se hace un proceso de limpieza de datos sobre el disco, de manera que no puedan realizarse tareas de recuperación de información sobre el equipo infectado. Finalmente, se copia la ‘nota de rescate’ para que el usuario pueda verla”
Y se añadió: “Dado que el esquema de cifrado que se utiliza es una implementación propia de los desarrolladores y las claves de cifrado se protegen con una clave pública (cuyo par privado queda en control de los atacantes), los atacantes están protegidos ante la posibilidad de desarrollo de herramientas de descifrado.”
En síntesis los expertos sostienen “se trata de un virus complejo y efectivo, difícil de combatir en su acción, incluso con antivirus actualizados” y que “en este tipo de escenarios, es de fundamental importancia contar con una política robusta de back-up y aplicarla rigurosamente a efectos de maximizar las chances de recuperación de la información”. Para los integrantes de la Corte chaqueña, esa conclusión expone lo que fue lo complejo de la situación y lo que se pudo hacer en medio de la tormenta, más allá de las críticas, señalaron las fuentes consultadas.
Chaco, Ciberataque, InFo-Lab, UFASTA, Virus