Los inversores argentinos sufrieron un cimbronazo este fin de semana: trascendió que un grupo de hackers internacional vulneró los sistemas de la Comisión Nacional del Valores (CNV), no porque este organismo tenga información sensible, sino porque deja a los delincuentes demasiado cerca de la Caja de Valores, que custodia y anota cada una de las inversiones del país.
Sin embargo, la Caja de Valores no tiene porqué correr ningún peligro, en la medida que su departamento de informática mantenga actualizado sus sistemas de seguridad y capacitado a todo su personal en medidas de ciberseguridad.
"Estos "ramsomware", como se llama a los virus que secuestran datos, atacan todo en forma masiva, y sólo obtienen resultados donde hubo descuidos", aclara en diálogo con iProUP el abogado Ismael Lofeudo.
Durante la mañana de este domingo, el grupo Medusa subió a su sitio en la dark web el anuncio con la CNV como víctima. Allí asegura tener 1.5 TB de datos y solicita u$s500.000 para no publicar la información. El organismo asegura que aisló el ataque y está restaurando los datos. En lo que mostró Medusa había un file con contraseñas, pésima práctica para los informáticos.
En qué consistió el ataque de ransomware a la CNV
"La Comisión Nacional de Valores (CNV) aisló y controló un ataque que se detectó el miércoles 7 de junio. Fue realizado con un tipo de código malicioso del tipo ransomware, conocido como Medusa, que había tomado posesión de equipos informáticos y dejó fuera de línea las plataformas del organismo", según un comunicado oficial.
"El protocolo de actuación permitió aislar los equipos y toda la comunicación con el exterior para evitar la propagación del código malicioso. Luego se iniciaron trabajos para reestablecer los servicios de manera paulatina con el fin de lograr la operación plena, que aún continúa en proceso", asegura la CNV.
"La información tomada por los atacantes es de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados", afirma.
"Las emisiones y otros procedimientos iniciados por los regulados se están aprobando según las necesidades de cada requerimiento", aclara. Y advierte que "la CNV realizará una denuncia penal ante la Justicia para que investigue el origen y las responsabilidades del ataque", advierte.
Qué peligros puede tener o no la información en mano de Medusa
Javier Casabal, de Adcap Grupo Financiero, reafirma que "la CNV no tiene información confidencial, ya que lo que incluye en la autopista financiera es todo público".
Elena Alonso, de Broda Criteria, agrega: "Estaría en manos de los hackers información de los sumarios y otros tipos de investigaciones de la CNV, así como de agentes que tienen registros, sociedades que cotizan en Bolsa y habilitación de asesores", tal como se desprende de la propia información publicada por Medusa.
La abogada especialista en temas informáticos Bárbara Peñaloza criticó que la CNV no publicó el ataque ni lo informó a las víctimas hasta que no lo hizo público la propia Medusa.
"No debería haber trascendido el ataque por quien comete el ramsomware, sino por la víctima, para que los titulares de los datos personales vulnerados tomen precauciones", enfatiza.
"La CNV tiene que comunicar la información en manos de los hackers, los sistemas vulnerados, comunicarse con cada persona, para que pueda tomar alguna precaución, y con las empresas, para que aseguren sus cuentas en los bancos y otras que puedan ser hackeadas usando los datos que ahora tienen los hackers", remarca Lofeudo.
Los expertos critican que la CNV recién dio instrucción a la Justicia cuando trascendió el hackeo
Qué responsabilidad tiene la CNV en el ataque ramsomware
Lofeudo apunta al manejo de ciberseguidad de la CNV. "Una semana te olvidás de actualizar el sistema de seguridad, y el organismo queda vulnerable", recuerda.
Y Peñaloza también subraya que "el ataque debe ser prevenido con sistemas de ciberseguridad robustos y capacitación para los usuarios de los sistemas informáticos del organismo, porque los malware ingresan por error humano. Cualquier empleado que reciba un correo sospechoso y lo abra, puede causar un incidente grave".
La responsabilidad de la CNV se duplica tras el ataque, porque los funcionarios que la dirigen están obligados a denunciar los delitos que se producen y de los que toman conocimiento.
El ataque malicioso de sistemas informáticos no es un delito tipificado en el Código Penal argentino, pero sí otros tres delitos que se producen en forma concomitante, coinciden Lofeudo y Peñaloza: acceso indebido a sistemas, daño informático y extorsión.
La denuncia debe realizarse ante el fiscal Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), precisa Lofeudo.
La Ley de Datos Personales actual no obliga todavía a las entidades públicas o privadas cuyos sistemas resulten vulnerados a informar a las víctimas, y el proyecto para actualizar esa norma está frenado. En la Unión Europea, las instituciones deben denunciar en un plazo no mayor a 72 horas y, de lo contrario, son pasibles de multas millonarias.
El organismo aseguró que los datos comprometidos son públicos
Quiénes fueron víctimas de ramsonware en la Argentina
En este marco, en la Argentina entre 2019 y lo que va de 2023 ya fueron cajeados las siguientes 40 entidades, según informe publicado por Marcela Pallero:
- 4 agosto 2019: Policía Federal
- 25 noviembre 2019: Poder Judicial San Luis
- 20 julio 2020: Suprema Corte Buenos Aires, Ministerio de Salud San Luis y Telecom
- 4 septiembre 2020: Migraciones
- 15 noviembre 2020: Cencosud y tarjetas de pago
- 20 noviembre 2020: Caminos de la Sierra, Córdoba
- 12 octubre 2021: Mega incidente Registro Nacional de las Personas – Ministro de Salud
- 19 noviembre 2021: Ministerio Fiscal porteño
- 11 enero 2022: Senado de la Nación
- 10 marzo 2022: Mercado Libre y Globant
- 31 marzo 2022: Ingenio Ledesma
- 3 abril 2022: Transportadora Gas del Sur
- 22 abril 2022: CONICET
- 31 mayo 2022: Grupo Clarín
- 27 junio 2022: OSDE
- 18 julio 2022: Hospital Pediátrico Garrahan
- 5 agosto 2022: Justicia de Córdoba
- 22 agosto 2022: Aceitera Gral Deheza
- 9 septiembre 2022: Legislatura de la Ciudad de Buenos Aires
- 21 septiembre 2022: Ministerio de Economía
- 14 octubre 2022: Poder Judicial Santa Cruz
- 20 octubre 2022: Aerolíneas Argentinas
- 22 octubre 2022: Ministerio de Salud
- 29 noviembre 2022: ARSAT
- 2 diciembre 2022: Cetrogar
- 3 diciembre 2022: INDEC
- 4 diciembre 2022: Clarín
- 7 diciembre 2022: Rapipago
- 2 enero 2023: Poder Judicial San Juan
- 16 febrero 2023: Grupo Albanesi (gas)
- 21 febrero 2023: La Segunda Seguros
- 10 marzo 2023: Garbarino
- 4 abril 2023: Superintendencia de Seguros
- 20 abril 2023: ANMAT
- 1 mayo 2023: INTA
- 11 mayo 2023: carga de tarjetas Córdoba, Salta y Tucumán (Bizland)
- 11 mayo 2023: sistema de descuentos de farmacias (Farmalink)
- 29 mayo 2023: Canal YouTube Senado de Mendoza
- 6 junio 2023: Hospital Castro Rendón
- 7 junio 2023: CNV
En el mundo, los hackers han atacado petroleras, aeronáuticas, casinos, organismos públicos, clínicas, escuelas e iglesias.
"La situación del ransomware es una gran preocupación en empresas y gobiernos de todo el mundo. A pesar de que la rentabilidad de este negocio criminal bajó de 2021 a 2022 -según un estudio de Chainanalysis, pasó de u$s766 millones a u$s457 millones-, los ataques y las nuevas cepas están en crecimiento, según trascendió.
"La situación es muy grave y todavía insisten en crear la historia clínica unificada o el voto electrónico, en informatizar más sistemas, cuando la administración está llena de incidentes de ciberseguridad", concluye Lofeudo.