Las luces de alarma se encendieron el 27 de agosto. La Dirección de Migraciones confirmó que ciberdelincuentes internacionales atacaron el Sistema Integram de Captura Migratoria (SICAM) con una modalidad conocida como ransomware, es decir, un "secuestro 4.0".
Lo que hacen los cibercriminales es cifrar los datos de una empresa u organización, por lo que quedan inutilizables para sus propietarios. Para entregar la clave que reestablezca el acceso, suelen pedir un rescate, especialmente en monedas digitales.
En el caso de Migraciones, un grupo de atacantes reclamó el pago de u$s70 millones, que luego se redujo a u$s4 millones. Pero fueron más allá: como el Estado argentino se rehusó a cumplir con las exigencias, la banda difundió todos los datos presuntamente robados.
Según el Gobierno, la organziación robó documentación interna (archivos PDF y Excel), pero no lograron acceder a las base de datos, en las que se encuentra la información más sensible.
Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia que colaborará en al causa con el Fiscal Guillermo Marijuán, afirma a iProUP que se trata de un fenómeno en aumento.
"Cifras oficiales no hay, porque son delitos de muy baja tasa de denuncia, pero hubo un incremento de los reportes y recibimos alertas de Interpol. Vemos ataques a Pymes, empresas grandes y organismos públicos", afirma Azzolin.
El ataque a Migraciones no es un caso aislado de estafas con divisas virtuales. Es un fenómeno en alza que significó al menos u$s600 millones a nivel global en 2019 sólo por recompensas pedidas en Bitcoin, sin contar otras divisas virtuales.
Por lo general, se trata de organizaciones delictivas complejas y algunas hasta tienen patrocinio estatal: se cree que el gobierno de Corea del Norte tiene un ciberejército que roba divisas digitales en todo el mundo. Una actividad que representaría cerca del 15% de su PBI. Es decir, el régimen de Kim Jong-un obtiene unos u$s6.000 millones anuales del ciberdelito a escala global.
Según Matías Bari, CEO y cofundador de SatoshiTango, una firma argentina que brinda servicios de monedas digitales, los atacantes prefieren estos activos "porque no son rastreables y pueden pagar desde cualquier parte del mundo".
En efecto, las divisas digitales funcionan con una clave pública, que hace las veces de un CBU; y otra privada, una suerte de contraseña, para acceder a los fondos. Pero ninguna de ellas hace referencia a la identidad de una persona, asegurando el anonimato.
Por su parte, Nahuel Burbach, representante argentino de la billetera de monedas virtuales Zerion, indica a iProUP que "los rescates se piden en Bitcoin porque es el activo más ampliamente difundido y fácil de conseguir para las personas o empresas que son atacadas", por lo que se agiliza el proceso de pago.
Bari agrega que priorizan "la priorizan sobre otras divisas, como Monero, que es mucho más anónima, porque tiene mucha más liquidez".
En este punto coincide Azzolin, quien afirma que las operaciones con estos activos "son públicas, pero a la vez anónimas", por lo que es muy difícil rastrear la ruta de los fondos.
"Es lo mismo que un policía en la escena del crimen no encuentre huellas dactilares ni cabellos. Es más difícil, pero toda actividad digital deja sus rastros", completa el letrado.
Esta dificultad para dar con los dueños de los bitcoins responde por qué cada vez hay menos ataques para vaciar cuentas bancarias y más estafas con activos digitales.
En este sentido, Bari remarca que "robar una cuenta bancaria es un crimen sin sentido porque, salvo que saque la plata de un cajero, mover la plata es un asiento contable, no se mueve nada en la realidad y se conoce a los propietarios".
"El dinero fiat, vía transferencia bancaria, es muy fácil de rastrear. Esto es mas rentable porque los objetivos son de alto perfil y las posibilidades de que los atrapen son remotas", agrega un cambista digital que prefirió el off-the-record.
Tal como adelantó iProUP, en la Dark Web, es decir, aquella porción de Internet que queda a "oscuras" de los buscadores y es difícil llegar, se ofrecen algunos servicios para "lavar" los activos producidos por esta actividad.
Jorge Litvin, del Estudio Nercellas, afirmó a iProUP que estas maniobras de lavado de criptoactivos se componen de los siguientes pasos:
Además, se pueden utilizar plataformas de intercambio de divisas virtuales entre pares, como LocalBitcoin, que se encargan de unir a usuarios que quieren comprar con aquellos que quieren vender. Así, se añade una capa extra de anonimato.
"Depositás los Bitcoin en una dirección que te da el mixer, los mezclan con otros depósitos y los sacan 'lavados' a una dirección que vos elegís. Si querés seguirlos, sabés que entraron en un mixer, pero no a dónde salieron y ya perdiste el rastro", explica Bari.
Además, Burbach asegura que esos fondos "pueden pasarse también a diferentes monedas enfocadas en la privacidad, como Monero", para complicar aún más el trabajo de los investigadores.
"A esto hay que sumarle que los criminales usan navegadores como Tor (que asegura privacidad) en combinación con una red privada virtual (VPN), lo que les permite impedir el rastreo y geolocalización desde donde operan para lavar", agrega Litvin.
Según Migraciones, la actual gestión encontró en el organismo 19.000 claves de acceso disponibles para la Policía de la Ciudad, por lo que se redujeron a 100 y se fijaron nuevas reglas para el uso de contraseñas, a fin de evitar un nuevo suceso de este tipo.
"En principio, la investigación está a cargo del fiscal Marijuán y estamos colaborando con la recolección de la prueba. Hay que trabajar para ver cómo fue que entraron y qué rastros hay de la organización delictiva", adelanta Azzolin.
Según el titular de la UFECI, era de prever que la adopción masiva del home office iba a "ser aprovechado para diseminar estos ataques"
"Estar conectado a la red de la casa, no es lo mismo que la de la empresa. El teletrabajo genera ciertos riesgos de seguridad: incluso hay equipos compartidos dentro del hogar", remarca Azzolin.
Bari, además, apunta que se trata de un ataque "no tan sofisticado", por lo que podrían registrarse nuevos incidentes por la facilidad para su ejecutción
"Al software (NetWalker, que se usó para atacar Migraciones) se lo puede conseguir en Internet, lo más complicado es ingresar en el sistema de alguna organización que valga la pena y no tenga respaldo de los datos", completa.
Según Burbach, además, un ramsonware "puede captar información sumamente valiosa para una empresa y que le representa al atacante una recompensa mucho más elevada por el rescate", por lo que se trata de una modalidad que seguramente aumentará.
"Sumado a esto, tiene un vector de ataque que le da mayor anonimato a lo largo de todo el proceso", destaca el experto en monedas digitales.
Las organizaciones de todo planeta se enfrentan así a un flagelo creciente, que aprovechan la necesidad de digitalización de una economía parada por la pandemia. Los delitos de la nueva era es en ceros y unos: se roban datos guardados en bytes y se cobran rescates en monedas virtuales. Y a escala global.