El ‘antecedente Globant’ y las diferentes hipótesis del ciberataque a tribunales

Desde hace 10 días la Justicia de Córdoba está en una situación de excepción total tras el ciberataque que recibió el sábado 13 de agosto. La noticia recién trascendió el domingo por un tuit del periodista Luis Ernesto Zegarra. Horas después, el Poder Judicial publicó un comunicado señalando que el ciberataque había comprometido sus servicios informáticos y que se había formalizado la denuncia penal por el hecho ocurrido 48 horas antes.

El lunes por la tarde, el presidente del Tribunal Superior de Justicia, Sebastián López Peña, recibió a la prensa para informar el suceso y anunciar un plan de contingencia. Se declaró inhábil toda la semana y el viernes se amplió la medida hasta el próximo miércoles, inclusive.

Ante una consulta de PERFIL CÓRDOBA realizada el martes pasado, el fiscal de Cibercrimen, Franco Pilnik, confirmó que había una dirección de correo electrónico de quienes cometieron el ataque. López Peña había omitido esa información la noche anterior, pero sí dijo que bajo ninguna situación el Poder Judicial podía negociar y pagar un rescate.

Desde entonces, la fiscalía especializada investiga el origen del ataque, aunque todavía no tiene informes completos de los peritos de Policía Judicial. Si bien ya se conoce parte del camino que trazó el virus al ingresar al sistema, pero no quién está detrás del ataque, no hay indicios de que se haya filtrado la información del sistema.

Se plantean distintas hipótesis, sin descartar ninguna: si alguien posibilitó la entrada a partir de la apertura de un mail o un pendrive o si fue un ataque externo al azar. Los investigadores señalaron que una dificultad de la pesquisa radica en que, a medida que se van testeando cada una de las 8.000 computadoras (puestos de trabajo) para restablecer el sistema, “la propia evidencia se va destruyendo con el cifrado”.

Lo que hace el ransonware es encriptar la información. Para regresar al sistema hay que eliminar esa barrera, borrando todos los archivos rotos. Los creadores del virus lo hicieron para obtener un pago. Por el momento, el fiscal Pilnik no resolvió ninguna imputación.

La noticia tuvo repercusión internacional por la magnitud del daño y el objetivo afectado: el Poder Judicial de Córdoba. Hay expectativas de colaboración de empresas extranjeras para obtener más información.

Antecedente Globant. El 30 de marzo de este año, el unicornio argentino Globant sufrió un ataque perpetrado por Lapsus$, que tuvo impacto en el Poder Judicial. Expuso correos electrónicos y números de teléfonos, aunque no era información sensible ni secreta, sino datos de acceso público. Aparecieron ahí porque un empleado, especialista en ciberseguridad, que trabaja en el Poder Judicial y también en Globant, llevó un pendrive de tribunales a la empresa privada y se subió allí por error.

El 11 de mayo, el TSJ inició un sumario al informático y el 30 de ese mes fue desplazado de las funciones que venía desempeñando, justamente en el área de ciberseguridad. Esta narración fue confirmada por tres fuentes diferentes, entre las cuales se encontraban las personas de la cual depende el área informática de tribunales.

¿Hay conexión causal entre este hecho y el ciberataque? La hipótesis principal es que son eventos totalmente independientes. Solo podría tejerse un vínculo por el hecho de que se expuso un listado de direcciones de correos electrónicos y alguno de ellos pudo ser utilizado para ingresar el ransonware. “Hay más posibilidad de spam”, puntualizó una fuente consultada por este medio, quien también reconoció que es una presunción endeble porque este ataque no es un engaño, como el phishing.

Si bien hubo versiones respecto a la presencia de un “empleado infiel” –que pudo asociarse al evento narrado–, ninguno de los responsables consultados lo consideró como la hipótesis prevalente.

El otro aspecto que plantea el desplazamiento del trabajador judicial sumariado es si ese hecho colocó en un estado mayor de vulnerabilidad al sistema informático judicial, porque es un técnico calificado en seguridad. La respuesta que aportó López Peña a este medio fue que a partir de esa situación se reformaron todos los aspectos concernientes a la seguridad. Por eso, este ataque incluso resultó aún más sorpresivo.

Sistemas, un área conflictiva. Aunque no se informó con claridad la cantidad de datos almacenados en el sistema del Poder Judicial, es posible imaginar su dimensión. Solo se mencionó una suma de 8.000 puestos de trabajo (computadoras) en todas las sedes provinciales.

Un funcionario señaló a PERFIL CÓRDOBA que cada expediente puede almacenar 1.000 archivos. “Estaríamos hablando de billones que están siendo restaurados”, estimó.

El organigrama de informática está compuesto por el área de Tecnología de la Información y Telecomunicaciones (Atic) que se dividió en Modernización, donde trabajan 59 empleados, y Logística, con 17 trabajadores. Dentro de la primera, hay dos subáreas: una de Investigación, Desarrollo e Innovación Tecnológica y otra de Telecomunicaciones y Seguridad Informática.

Un departamento tan sensible, sin embargo, está atravesado por internas. “No se logra homogeneizar el equipo”, atinó a decir un alto funcionario. Los ascensos son motivo de resquemores. “Cuando la cabeza no es coherente y no sostiene políticas públicas a lo largo del tiempo, las áreas de abajo se atomizan porque se compite por quién respalda a quién y cómo le gano al de al lado”, señaló otra fuente.

La descripción cabe para las épocas normales. En esta emergencia, todos reconocen que ese equipo trabajó “24 x 7”.

DIAS INHÁBILES HASTA EL MIÉRCOLES INCLUSIVE

A pesar de que el TSJ procuró garantizar la presencialidad y la realización de todas las actividades supliendo el sistema informático con documentos en papel, la realidad de la semana pasada fue que la actividad estuvo totalmente resentida.

Se realizaron algunas audiencias y se postergaron otras. En Familia, los juzgados pidieron a los abogados que fueran a las audiencias con todas las pruebas y documentos en papel que tuvieran.

Una abogada que litiga en ese fuero y en Laboral, contó a PERFIL CORDOBA: “Estamos muy preocupados. No podemos trabajar y los clientes no saben lo que pasa porque los medios no informan”.

El viernes por la tarde, con la firma del presidente, Sebastián López Peña, y de los vocales Luis Rubio, Luis Angulo y Domingo Sesín, el TSJ dispuso prorrogar el Plan de Contingencia hasta el miércoles próximo.

Datos intactos. En los considerandos se señaló la situación actual, según el informe del área de Modernización elevado al cuerpo ese día:

“La infraestructura de misión crítica se encuentra mayormente operativa para el personal técnico. La base de datos, que posee toda la información del Sistema de Administración de Causas –SAC–, ha sido accedida por personal especializado, que ha verificado la integridad de la información, que no ha sido adulterada y que no se han perdido o dañado sus registros. A la brevedad se restablecerá el SAC para los usuarios internos. Por último, en la actualidad se encuentra disponible el servicio de envío y recepción de correos; y en proceso de restablecimiento el historial de la casilla de los usuarios”.

La prórroga de la suspensión de plazos procesales está motivada, según el acuerdo del TSJ, en que se irán restableciendo gradual y progresivamente los servicios y sistemas electrónicos.

El socio gerente de Punto Net –proveedora del Poder Judicial–, Enrique Dutra, informó que “se hizo una rearquitectura de la plataforma. Se elevó la seguridad interna y externa con medidas adicionales”.