El pasado 8 de enero los servidores del Poder Judicial de Chaco sufrieron un ciberataque que puso en jaque al servicio de justicia, teniendo en cuenta la avanzada digitalización de procesos que tiene la justicia provincial, algo reconocido a nivel nacional.
El ataque a los servidores de la justicia chaqueña fue realizado por Hive Ramsonware, un grupo que se dedica a esta actividad delictiva y que incluso provocó que el FBI advierta de su peligrosidad.
A través de un ransomware que tenía una actualización del mismo enero del 2022 se produjo el hackeo de los datos del Poder Judicial de Chaco, luego encriptaron el acceso y pidieron un rescate monetario. Esa es la modalidad que utilizan. El superior Tribunal de Justicia de Chaco decidió no pagar. “Obviamente, por ser una actividad delictiva, nosotros no nos vamos a someter”, dijo a Diario Chaco Emilia Valle, presidente del alto cuerpo.
Como máximo ente de la justicia provincial, el STJ se puso al frente de las medidas a tomar para recuperar datos – se avanzó en un “altísimo” porcentaje, afirman- y a la vez se pidió un informe técnico al Laboratorio de Investigación y Desarrollo de Tecnología en Informática Forense (InFoLab) de la Universidad FASTA.
Los resultados de ese estudio fueron difundidos este domingo por el medio nacional Infobae, que fue uno de los que siguió el caso desde el inicio.
El informe entonces destaca que el Hive Ransomware “es un código malicioso que implementa las funcionalidades de cifrado de la información de un equipo infectado, imposibilitando la recuperación de los datos”. Además, resalata que “los atacantes que operan tras este malware intentan luego extorsionar a las víctimas a partir de la exigencia de un pago para recuperar la información”.
“Hay una organización que lo administra, con fines claramente delictivos, agregando mayor incertidumbre al ataque y, por ende, mayor complejidad al abordaje, tanto ex ante como ex post al ataque del mismo”, indica también el estudio. A la vez señala que “todo esto es llevado a cabo por atacantes humanos, no por un software que se ejecuta de manera independiente o autónoma. Este es un escenario más complejo para la defensa por parte de la institución, ya que un atacante humano puede analizar la situación y adaptarse a los distintos escenarios y obstáculos con que se encuentra”.
Infobae rescata también que los expertos marcaron que la complejidad se agrava porque “al momento de ejecutar el virus, este deshabilita servicios del sistema operativo, y antivirus que puedan encontrarse presentes en la computadora donde se ejecuta. También modifica los permisos de acceso a los archivos, y evita cifrar contenido ‘poco importante’. Es decir, el cifrado de archivos se concentra en la información que supone de mayor importancia para el usuario, e intenta lograrlo de la manera más rápida posible”.
PRIMIS_VideoWidget
“La interrupción de estos servicios y procesos busca que no haya ningún bloqueo de acceso a los archivos al momento de cifrarlos, ya sea por un servicio de antivirus, servicios de seguridad y protección, o procesos que puedan estar accediendo a un archivo y retengan el acceso al mismo. En este sentido, el propio malware evita la acción de los antivirus, dejando a estos ‘fuera de combate’”, señalan.
“Una vez terminado el proceso de cifrado de los archivos, se hace un proceso de limpieza de datos sobre el disco, de manera que no puedan realizarse tareas de recuperación de información sobre el equipo infectado. Finalmente, se copia la ‘nota de rescate’ para que el usuario pueda verla. Dado que el esquema de cifrado que se utiliza es una implementación propia de los desarrolladores y las claves de cifrado se protegen con una clave pública (cuyo par privado queda en control de los atacantes), los atacantes están protegidos ante la posibilidad de desarrollo de herramientas de descifrado”, indica el informe que ya fue puesto a disposición de la fiscal Ingrid Wenner, que lleva adelante la investigación penal de lo sucedido.
El estudio resume que “se trata de un virus complejo y efectivo, difícil de combatir en su acción, incluso con antivirus actualizados” y que “en este tipo de escenarios, es de fundamental importancia contar con una política robusta de back-up y aplicarla rigurosamente a efectos de maximizar las chances de recuperación de la información”.
Los resultados presentados al Superior Tribunal de Justicia de Chaco van en sintonía con lo que viene sosteniendo Emilia Valle, quien en una entrevista con este medio dijo que “no se trata de que una persona –un trabajador- haya hecho un click o doble click en un link o algo de esa naturaleza, sino que realmente es un virus altamente destructivo”.
Justamente al considerar que no hay una falla humana, desde el alto cuerpo rechazaron el pedido del Colegio de Abogados de Resistencia para que se inicie una investigación administrativa. “El virus analizó la infraestructura tecnológica y desactivó las medidas de seguridad del Poder Judicial, por lo que no se advierten razones para iniciar actuaciones administrativas”, respondieron a la demanda de la entidad abogadil.
Desde el Colegio de Abogados de Resistencia también buscan ser parte querellante de la investigación penal con el objetivo de promover medidas que ellos creen pertinentes. En ese sentido hicieron una presentación formal ante la Fiscalía de Wenner pero la solicitud fue rechazada. Planean apelar.