Lisandro Yolis, secretario de Superintendencia del Superior Tribunal de Justicia, se convirtió en uno de los principales voceros de la crisis que sufrió el Poder Judicial del Chaco tras el ataque informático perpetrado por cibercriminales a principios de enero de este año. En esta entrevista con LITIGIO, destacó que a dos meses del hackeo, se logró recuperar el 95% de la información encriptada. Reconoció, sin embargo, que un episodio similar podría volver a ocurrir y que “lo único que podemos hacer es reducir los riesgos”.
Miércoles, 16 de marzo de 2022
Por Bruno Martínez
Cuando Lisandro Yolis se enteró lo que pasaba estaba jugando al fútbol. Era un caluroso sábado de enero por la siesta en la cancha de CURNE, en Resistencia, cuando su teléfono empezó a sonar con insistencia. No escuchó el primer timbrazo. Tampoco el segundo, el tercero, ni el cuarto. Vio las llamadas perdidas de Daniel Chapo, director de Tecnologías de la Información del Poder Judicial del Chaco, y lo llamó. Algo raro estaba ocurriendo.
Chapo le explicó que habían hackeado los sistemas informáticos de la Justicia chaqueña. Que aún no tenían más detalles de lo que pasó pero que preventivamente decidieron desconectar todos los servidores. En ese momento, Yolis no entendían muy bien la gravedad de la situación.
Al día siguiente, domingo por la mañana y en plena feria judicial, manejó hasta el Data Center que se encuentra en el edificio contiguo al Superior Tribunal de Justicia (STJ), en la esquina de Brown y López y Planes. Cuando llegó, Chapo estaba pálido.
***
Se sospecha que los preparativos comenzaron el 6 de enero de este año. Ese día, los ciberdelincuentes se habrían infiltrado en los sistemas del Poder Judicial para hacer inteligencia: conocer la infraestructura y las medidas de seguridad.
El 7 de enero ejecutaron el ataque a través de un software malintencionado del tipo ransomware que afectó las bases de datos y la infraestructura tecnológica. Toda la información judicial quedó encriptada. Previamente, el grupo había eliminado los registros de firewall (para borrar sus huellas) y los antivirus fueron desactivados. Para desencriptar todo y volver a la normalidad, había que ingresar a la Dark Web (el mercado negro de Internet) y pagarles un rescate.
El 8 de enero, la Dirección de Tecnologías de la Información (DTI) advirtió esta situación. El 9 de enero se reportó el incidente a la Dirección Nacional de Ciberseguridad, el STJ encomendó una denuncia penal y se suspendieron los servicios digitales del Poder Judicial.
***
Tras el ciberataque, Yolis, quien se desempeña como secretario de Superintendencia del Superior Tribunal de Justicia, se convirtió en uno de los principales voceros de la crisis. Su rostro, bastante poco conocido para el gran público hasta ese entonces, comenzó a aparecer en diarios, portales y noticieros explicando periódicamente cómo evolucionaba el recupero de datos, qué servicios estaban inactivos y cuales no y el detalle de los protocolos de contingencia, entre otras cuestiones operativas.
Ahora, en su oficina del primer piso del STJ, hace un balance para LITIGIO de lo que pasó, destaca lo hecho y alerta por lo que se viene. Dice que está mucho más relajado que durante aquellos tormentosos días de enero, aunque reconoce que el Poder Judicial no está exento de un nuevo ciberataque.
―Antes de que pase esto, ¿tenías algún conocimiento previo sobre informática, hackers y ciberseguridad?
―Es una historia larga. Soy de Buenos Aires. Me mudé hace siete años acá. Mi título del secundario es técnico en computación. No soy informático, pero entiendo bastante.
―Cuando Chapo te avisó del hackeo, ¿tomaste dimensión de la magnitud de lo que estaba pasando?
―Quizás en ese momento no habíamos tomado noción, pero vinimos acá con Daniel, trabajamos el domingo todo el día y ahí tomé dimensión de lo que es un hackeo. Vi lo que era.
―¿Qué viste?
―Que habían encriptado la mayor parte de la información del Poder Judicial.
―Visualmente, ¿cómo es eso? ¿Uno quiere prender una computadora para buscar un expediente y no puede?
―Es más complejo. La información no está en las máquinas: está en los servidores. Nosotros tenemos un Data Center acá atrás, en el edificio de administración. Este Data Center guarda la información de los sistemas, los expedientes: todo lo que condensa el funcionamiento judicial. Entonces lo que empezó a hacer la gente de la DTI es empezar a relevar esos servidores. Todavía no habíamos tocado las máquinas de escritorio porque era todo muy reciente. Fueron a revisar los servidores y empezaron a ver qué información estaba encriptada. Para que te des una idea de lo que es una información encriptada: mi máquina, por ejemplo, que estaba trabajando el viernes a la noche por VPN (que permite trabajar de manera remota) se me encriptó. Estaba laburando y se me cortó la conexión. Es algo normal que puede darse por algún corte de luz. Por eso no le di mayor importancia. Pero después cuando la prendí para hacer la resolución (del hackeo) el domingo a la noche, ahí advierto que estaba encriptada. Los íconos de los nombres de los archivos, como el Word, que normalmente te aparece una W azul, aparecían en blanco y el nombre de los archivos eran larguísimos donde los últimos dígitos son el tipo de virus que lo encriptó. Y en cada carpeta encriptada te dejan una nota en donde decía “how to desencrypt” (cómo desencriptar) para que te conectes a la red profunda, la Deep Weeb (Dark Weeb), para negociar con ellos el rescate. El Poder Judicial no lo hizo. Nunca nos conectamos. Los ministros decidieron no negociar con criminales.
―¿Se supo el monto del rescate? ¿Cuánto pedían?
―Nunca accedimos a ver. La empresa que contratamos para el primer peritaje informático nos ofreció hacerlo. Estuvimos averiguando con la Dirección Nacional de Ciberseguridad y nos dijeron que el 90% de los casos no dan la información, aunque pagues, y, aparte, pagarle a un delincuente por algo que te robe no parece muy ético, ni transparente ni sería una forma de actuar de un poder del Estado. Esa fue la posición de los ministros que se mantiene hasta ahora.
―La previa del hackeo comenzó el 6 de enero, ¿no? ¿Ese fue el día en que los hackers ingresaron al sistema para investigar por dónde entrar?
―Lo que nos dijo Penta Security, la empresa que contratamos, es que el 6 se habría establecido la primera conexión. Lo que hace la empresa (delictiva) es una investigación de la infraestructura. Eso fue lo que hicieron el 6. Esto es todo teoría es bastante complejo de explicarlo. Una de las medidas de seguridad son protecciones que se llaman cortafuegos. Estos cortafuegos evitan los accesos de internet hacia adentro. Lo que hacen los cortafuegos es evitar los accesos no queridos. Lo que se hizo el 6 fue investigar cómo eran nuestros cortafuegos. Y el 7 lograron acceder. O sea que desactivaron los cortafuegos y eliminaron los registros. El 7 a la noche lanzaron el ataque, que ahí empezaron a caer los servicios, y el 8, sábado a la mañana, es cuando los detectamos y empezamos a desconectar los servidores.
―Con cortafuegos y todo, ¿no se pudo detectar que un extraño se metió en la red?
―Nosotros tenemos las medidas de seguridad estándar que tiene cualquier Poder Judicial. Esto se habló con la Junta Federal de Cortes que es la que nuclea a todos los poderes judiciales. El problema que nos explicaban tanto el informe de Penta, que fue el primer informe, y después pedimos un informe a una universidad que se dedica a peritajes informáticos y ciberdelito, nos dijeron que el problema con este tipo de virus es que lo administra una persona. Es distinto a esos virus que los mandan azarosamente y cuando se encuentra con algún bloqueo no puede desactivar esa medida de seguridad y desisten. El problema con esto es que todo el tiempo están buscando el resquicio y en algún momento… como todo. En estos días, le acaban de sacar 300 mil datos a Mercado Libre. Por eso, creo que la pregunta es capciosa. Las medidas de seguridad que teníamos son las medidas que tiene cualquier poder del Estado con el presupuesto del Poder Judicial. No tenemos las medidas de seguridad de las grandes empresas, aunque igual a ellos los hackean.
***
Hay distintos tipos de malware. De acuerdo a su comportamiento, se clasifican en virus clásicos; gusanos de red; adware; troyanos; spyware; macrovirus; rootkits y ransomware.
En inglés, ransomware es un acrónimo de “programa de rescate de datos”. Este software malintencionado cifra la información del usuario, “secuestrando” el acceso a la misma, para luego exigir el pago de un rescate por ella.
El Hive Ransomware (que es el que atacó al Poder Judicial chaqueño) es desarrollado bajo una modalidad de Ransomware as a Service (RasS) que cuenta con una estructura de desarrollo y soporte que busca aumentar las ganancias de los criminales que lo utilizan.
Esto les permite plantear esquemas de participación a sus “clientes” (que no son más que otros delincuentes que contratan el servicio), en la medida que provean de objetivos a los cuales atacar con el ransomware y posibilita esquemas de organizaciones delictivas complejas de dos niveles: los proveedores y los que lo utilizan.
Detrás de este malware hay una organización que lo administra lo que le agrega mayor incertidumbre al ataque, se hacen más impredescibles. Los especialistas advierten que se trata de un virus complejo y efectivo, difícil de combatir, incluso con antivirus actualizados, dado que los inhibe.
***
―¿Por qué crees que este grupo de cibercriminales eligieron al Poder Judicial del Chaco?
―Ojalá pudiésemos saber. Al Senado, una semana después que a nosotros, también lo hackearon. No sé qué información sacan, no sé para qué la usan. No sé si la usan para que se pague o para difundir la información. Esas cosas no la sabemos porque no sabemos lo que hacen los delincuentes. No sabemos porque caímos nosotros y no fue, por ejemplo, el Poder Judicial de la Nación. No sé cómo eligen. De hecho, en una nota de Clarín contaron que los cibercriminales hacían encuestas en la Deep Web para ver a quién hackear. Tiraban tres o cuatro empresas: ganó Mercado Libre y lo hackearon. Parece un juego pero mueven millones de dólares. Cuando más ataques tenés, más mostrás el éxito de tu empresa delictiva y entonces la gente te contrata. Porque además estos servicios no son sólo que lo hacen personas equis que forman parte del grupo, sino que se le paga a la empresa delictiva para que hackeen a alguien. Por ejemplo, hackear a la competencia. Nunca vamos a saber por qué nos tocó a nosotros. Si en algún momento divulgan información, quizás nos enteremos.
―Te iba a preguntar sobre eso. Si bien ellos encriptaron la información, no quedó claro si llegaron a robar datos. ¿Lo hicieron?
―El Poder Judicial tiene 16 teras de información y transferir eso demora muchísimo tiempo. Nuestra teoría fue que al desconectar los servidores el mismo sábado, no pudieron llevarse información o no pudieron llevarse mucha información. No lo podemos saber porque ellos eliminan los registros del Firewall. Lo que hace el Firewall es registrar cada ingreso y cada salida de información. Entonces, al borrar eso, al borrar sus huellas, es muy difícil saber. La teoría nuestra es que por nuestro ancho de banda, no se pudieron llevar mucha información porque nuestra conexión a internet no es rapidísima.
―Entonces, que lo hayan hecho un fin de semana y en feria judicial tampoco fue casual.
― De hecho, el Poder Judicial técnicamente no para. Los chicos de la DTI trabajan las 24 horas porque se caen los servicios. Nosotros advertimos esto porque estaban tratando de trabajar en el SIGI, que es el sistema penal del interior, no me acuerdo de qué localidad era, y lo informaron a la gente del DTI que no estaba andando. Ahí se advirtió el hackeo.
―Dentro del edificio hay un Data Center, donde están los backup…
―Es más complejo que eso, pero sí, parte del backup está acá.
―… tengo entendido que se recomienda tener el backup en otro edificio, por si, por ejemplo, se produce un incendio. ¿Es correcto?
―Sí. Tenemos varios Data Center. Este es el más grande. En cada localidad tenemos uno. El tema es lo que representa los costos de tener Data Centers duplicados, las medidas de seguridad. Nosotros teníamos todo en regla. Justamente esa es nuestra tranquilidad. Y nuestra tranquilidad ex post de que se recuperó todo. Si bien el 9 de enero pensábamos que habíamos perdido todo, con un proceso de recupero hoy, a dos meses, recuperamos el 95% de la información. Hay muchísimas medidas de seguridad que se pueden hacer: hay backup off line, backup en cinta. Pero todos esos tienen costos. Por eso digo, nosotros tenemos las medidas de seguridad acorde a los presupuestos que maneja la provincia. Siempre cuento que conozco a gente que trabaja en multinacionales de informática y el presupuesto que destinan ellos para seguridad es de millones de dólares. Ojalá tuviésemos millones de dólares para invertir. Si bien ahora se van a cambiar las políticas de backup, hicimos lo que creíamos que había que hacer. La empresa VEEAM, que es la que nos da las soluciones de backup, es la que nos permitió recuperar toda la información. Y eso estaba contratado hace dos años. No es algo que se contrató ahora. Cuando ampliamos los servidores en pandemia, justamente para ofrecer más servicios, se contrató a esta agencia para estas contingencias. Ellos lo que hacen es hacer distintos tipos de backup, que son backup escalables que cada vez van guardando más información. Por eso no se recuperó el 100% porque alguna de esa información no se podía recuperar, pero como teníamos varios backup, lo que nos permitió es recuperar el 95% de información. Es difícil el 100%.
―No me quedó claro si finalmente la información encriptada se pudo desencriptar o directamente se perdió y se reestableció a través de los backup.
―Se hicieron las dos cosas. La empresa delictiva lo que hace primero, porque no son tontos, es atacar los backup y después van hacia la información real. Esa es la lógica para generar mayor perjuicio. Los backup estaban encriptados. La empresa VEEAM lo que hizo fue ofrecer herramientas de arreglo de los archivos. Lo que hace es dejar correr un programa que se llama “fix” y lo que hace es ir tratando de recomponer los archivos. El encriptado lo que hace es modificar la estructura del archivo. Entonces lo que trata de hacer este tipo de programas es reacomodar la información de los archivos. Estaría bueno que veas como es. Si buscás en internet algún video se ve cómo en un archivo se comienzan a ver bien las primeras hojas y después se empiezan a difuminar, como que aparecen puntos negros en lugar de letras. Lo que hace eso es ir modificando las estructuras de los archivos para bloquear el acceso al contenido. Lo que hacen estas herramientas es reacomodar. El mayor problema que tuvimos es que por la cantidad de información, cada proceso de recupero demoraba días o semanas. Tenía que ir archivo por archivo. Te doy un ejemplo: en el IURE, que es el nuevo sistema de expediente digital civil, una de las bases de datos tenía 12 millones de registros. Y lo que hace el sistema es ir registro por registro tratando de volverlo legible o utilizable. Por eso demoramos mucho en el recupero de la información. Fue casi un mes de los recuperos.
―¿Se supo cómo ingresó el malware al sistema del Poder Judicial?
―Lo que hace el grupo delictivo es eso: buscar algún resquicio. Es como que va picando. Y donde encuentra, lo explota.
―¿Entró por el correo?
―Entró por un servidor HB-05 que es el servidor del correo. Una posibilidad es que hayan entrado por fishing, que son estos mails masivos con archivos adjuntos. La verdad es que eso se descartó porque el tema de este virus es que logró no sólo acceder sino conseguir credenciales de administrador. Te explico cómo es: yo soy secretario de Superintendencia pero no tengo acceso a los servidores. Tengo acceso al Word, a los sistemas, al Lex Doctor, pero no tengo acceso al servidor. Las únicas personas que tienen acceso al servidor es la gente de la DTI que son quienes arreglan los servidores. Son los que tienen las contraseñas, con varias medidas de seguridad. Lo que logró el virus es acceder a las contraseñas del administrador y con eso pudo encriptar la información. Por eso estos virus son tan jodidos porque es una logística. No es un mero archivo que abrís y perdés la máquina. Atacan la infraestructura.
***
¿Quiénes son los ciberdelincuentes que atacaron a los sistemas informáticos de la Justicia del Chaco? No se sabe. Es decir: no se tiene conocimiento de la identidad de cada uno de los que efectuaron el hackeo. Sí se sabe que es un grupo delictivo denominado “Hive Ransomware” que habría comenzado a operar a mediados de 2021.
El primer ataque de este grupo fue a una empresa inmobiliaria en Canadá, perpetrado el 14 de junio de 2021, y que tuvo como resultado la publicación de información en un blog del grupo de atacantes.
En agosto de ese mismo año, atacaron al Memorial Health System, sistema utilizado por tres entidades de salud en Ohio y Virginia del Oeste (en Estados Unidos).
En noviembre, también de 2021, se identificó un nuevo ciberataque pero esta vez a Media Markt, una cadena de origen alemana dedicada a la venta de productos de electrónica con más de 1000 tiendas en Europa. Los hackers le exigieron 50 millones de dólares en bitcoins para liberar la data secuestrada.
En enero de 2022, una semana después del ataque al Poder Judicial del Chaco, el Senado de la Nación fue víctima de un hackeo similar pero a manos de otro grupo: el Vice Society.
Dos meses después, los datos robados a la Cámara Alta fueron difundidos en la Dark Web: el 12 de marzo se publicaron más de 30 mil archivos con bases de datos de empleados, registros de ingresos, huellas digitales, pasaportes, entre otros.
***
―En algún momento la presidenta del Superior Tribunal, Emilia Valle, dijo que se iban a revisar 3500 computadoras de escritorio. ¿Eso se hizo?
―Efectivamente. Como el virus entra, las máquinas que estaban prendidas, o como en mi caso estaban conectadas por VPN, se encriptaron. Entonces lo que se tuvo que hacer para mayor seguridad era formatear esas máquinas. Por eso mi máquina la separaron y tuvieron que traer una nueva. En toda la provincia fueron entre 57 y 60 máquinas de escritorio que fueron encriptadas. Se tuvo que hacer ese relavamiento para evitar por las dudas que alguna máquina tenga virus o restos que puedan ejecutar algo que otra vez nos ponga en peligro.
―¿Cuánto se tardó?
―Una semana. Se revisó escritorio por escritorio. Por eso, la verdad es que quizás no se entiende mucho esto pero la gente de la DTI trabajaba 14 o 15 horas por día. Nosotros no tenemos una gran estructura: son 20 empleados, la mitad se dedica al desarrollo de software y la otra mitad al hardware. Se hizo todo a mano y a pulmón.
―¿Cómo fue la relación con los colegios y consejos de abogados de la provincia en esta crisis?
―Esto lo hablo en lo personal: he tenido mucho contacto con todos los colegios del interior y de Resistencia. De hecho, creamos un grupo de difusión donde yo les paso toda la información. Ellos me pasan dudas, consultas, cosas que no están funcionando. La verdad es que tenemos una comunicación hiperfluida con los colegios y el consejo. Ellos participaron en todas las reuniones. Fueron convocados por los ministros. Sé que hay dos o tres abogados que nos denuncian, pero yo como funcionario estoy con la tranquilidad de que hicimos las cosas como se tenían que hacer. Ahora sólo nos falta levantar dos servicios nada más que es el INDI, el de presentación de escritos que es lo que sustentaba al expediente digital para que los abogados puedan presentar escritos y el correo electrónico que fue el servidor afectado y más dañado. Tenemos solo el correo como mensajería interna. Más allá de la complicación de los abogados de tener que ir a los juzgados a tener que presentar en papel, todo el resto de los sistemas fueron levantados. Las máquinas y los sistemas están andando. Tenemos que mejorar muchas cosas. Esto te hace recapacitar con las políticas de seguridad. Obviamente estamos trabajando en los replanteos de las políticas de seguridad, pero tampoco hay mucho para hacer. Lo que nos dicen los técnicos es que tenés que reducir al mínimo los riesgos de los ataques y tener más backups para que el recupero de información sea más rápido.
―¿Creés que el Poder Judicial podría sufrir otro hackeo?
―Ojalá que no. La idea nuestra es que no vuelva a pasar, pero nadie está exento. Eso es lo que a la gente le tiene que entrar en la cabeza. Piensan que el Poder Judicial fue negligente pero es al revés. Por lo que nos dicen, lo único que podés hacer es reducir los riesgos. Cuantas más medidas de seguridad tenés, más reducís los riesgos. Pero siempre estás sometido a un porcentaje de riesgo. Nunca el riesgo es cero. La Junta Federal de Cortes ahora está lanzando capacitaciones en ciberseguridad. Están replanteando justamente en algunos poderes judiciales el tema del expediente electrónico y reforzar las medidas de seguridad. Más allá de que pueda pasar o no, estamos tomando los recaudos para que no pase, es algo de lo que estamos sujetos en la nueva era. La política mayor que estamos haciendo es la de los backup y tratar de levantar los servicios más rápido y no demorar un mes o mes y medio. Es la única garantía que tenés.