Tras el ataque informático al PAMI hace más de dos semanas, la información que la obra social de los jubilados y pensionados había afirmado que estaba “resguardada y protegida” está a la venta en la dark web, la parte de Internet propicia para estas transacciones delictivas por el anonimato que ahí se maneja. Se trata de millones de datos sensibles que dejan vulnerables a futuro a unos cinco millones de afiliados, médicos de cabecera y otros prestadores.
Este domingo a la madrugada, el grupo Rhysida publicó su oferta en la web oscura, estrategia con la que también presionan para obtener un rescate: 25 bitcoins equivalentes a US$735.000 a cambio de “datos exclusivos, únicos e impresionantes” del Instituto Nacional de Servicios Sociales para Jubilados y Pensionados (Inssjp).
“Abran sus billeteras y estén listos para comprar información exclusiva. ¡Vendemos solo a uno, sin reventa, será el único dueño!”, promociona el grupo que lanzó el ataque en el blog donde suele difundir lista de víctimas, características del material disponible y valores. Así negociaron en junio pasado el rescate de los archivos robados de la Comisión Nacional de Valores (CNV). El precio inicial en bitcoins era equivalente a US$500.000, menos que el de PAMI. A la semana, liberaron el acceso a 1,5 terabytes de datos.
Pagar, en ese entorno, no garantiza que no se difunda la información de la que se hacen esos grupos o quienes los contratan, según explica Gabriel Zurdo, CEO de la empresa especializada en ciberseguridad y riesgo BTR Consulting. También lo desaconseja el equipo que, desde 2021, coordina la respuesta a ciberataques en la administración pública, dentro de la Jefatura de Gabinete de Ministros de la Nación.
“Pagar no garantiza volver a tener acceso a los datos”, publica en su sitio el Centro Nacional de Respuesta a Incidentes Informáticos (Cert.ar). “Podría ser objeto de nuevos ataques debido a que se sabe que se está dispuesto a pagar –enumeran entre los fundamentos–. Con los fondos del pago se podrían financiar actividades ilícitas tales como terrorismo, trata de personas, venta ilegal de armas, etcétera. Pueden solicitar una cifra mayor luego del pago. Pudieron haber realizado una copia de los datos antes de encriptarlos, con lo cual no asegura estar libre de futuras extorsiones o fugas de información.” Además, ese pago puede ser ilegal para un Estado.
Este fin de semana, Zurdo y su equipo detectaron el pedido de rescate de Rhysida. La firma monitorea amenazas para sus clientes (trabaja en 40 países) y posee un laboratorio de medición, investigación y evaluación del impacto de estas intrusiones. PAMI es, ahora, otra fuente de los más de 1300 organismos gubernamentales que fueron hackeados en el país, de acuerdo con una lista de “víctimas” informáticas publicada.
PAMI había negado a LA NACIÓN haber recibido un pedido de rescate desde que se hizo público el hackeo de sus servidores hace 12 días. Hoy, ante una nueva consulta, la institución no respondió al cierre de esta nota.
En ataques previos, sea en el sector público o privado, siempre se da una negociación antes de la publicación en la web oscura. Es, de acuerdo con el especialista en seguridad informática, una forma de presión por la negativa a pagar. “Es poco probable que no tengan lo que ofrecen en la prueba de vida porque es como sostienen su reputación y confiabilidad”, evalúa Zurdo sobre el ataque a la obra social. La presunción toma fuerza, además, porque en casos similares se inhibió la intrusión en 24-48 horas si no genera demasiado daño.
Un ciberataque comienza mucho antes de que trascienda. Los perpetradores instalan con el tiempo herramientas informáticas donde está alojada la información para ir encriptándola por lo que se estima que la intrusión a PAMI, por la cantidad de datos almacenados en sus servidores, empezó mucho antes.
La puerta de acceso habría sido un correo electrónico que recibió un usuario del sistema. En esos casos, a través de un archivo adjunto o un link que el mensaje insta a abrir o seguir, se descargan esas herramientas. Primero, hacen una copia de la información que extraen y, luego, encriptan todos los datos en los servidores para el secuestro. A partir de eso, arranca una negociación, según vienen coincidiendo especialistas de seguridad informática consultados desde que la obra social atribuyó a un ransomware tipo Rhysida la caída de sus servicios online y del sistema nacional de trazabilidad de medicamentos y productos médicos.
“Todos estos grupos delictivos son motivo de análisis forense para entender qué programas se usan, cuál es el vector de ataque o qué vulnerabilidad explotan, entre otras condiciones. Se genera un reporte de indicadores de compromiso, que es lo que detalla el estado de situación de un sistema informático”, continuó Zurdo sobre el trabajo de laboratorio. En esos análisis, un factor común entre las “víctimas” del ataque es tratar de ocultarlo.
“Deberían tomarse medidas preventivas de inmediato: dar a conocer cómo evitar estafas ahora frente al riesgo cierto de difusión de datos personales. Hay un sinnúmero de posibilidades para explotar esos datos y convertir a sus dueños reales en futuras víctimas. Es necesario imponer controles extras para minimizarlo –opinó el especialista–. Durante la pandemia de Covid-19, observamos un corrimiento del foco de atención de estas bandas.”
Históricamente, según enumeró, el interés por este comercio de datos estaba puesto en bancos y seguros, energía (en especial, el petróleo) y los gobiernos. Ahora, también son la salud y la educación. “Es la información que más impacto tuvo en plena pandemia en la gente -explicó Zurdo-. Hay un interés de esos grupos delictivos en ese tipo de datos. Si una persona se siente mal, tiene que seguir una rutina terapéutica o un control y no tiene acceso ni turno o la prestación disponible, se trastorna todo y eso genera la presión de la que se valen esas bandas. Es un fenómeno global que va mucho más rápido que la capacidad de defensa de los Estados. Lo que sucedió en PAMI es una filtración que expone a fraude futuro a usuarios y prestadores.”
