Los inversores argentinos sufrieron un cimbronazo este fin de semana: trascendió que un grupo de hackers internacional vulneró los sistemas de la Comisión Nacional del Valores (CNV), no porque este organismo tenga información sensible, sino porque deja a los delincuentes demasiado cerca de la Caja de Valores, que custodia y anota cada una de las inversiones del país.
Sin embargo, la Caja de Valores no tiene porqué correr ningún peligro, en la medida que su departamento de informática mantenga actualizado sus sistemas de seguridad y capacitado a todo su personal en medidas de ciberseguridad.
"Estos "ramsomware", como se llama a los virus que secuestran datos, atacan todo en forma masiva, y sólo obtienen resultados donde hubo descuidos", aclara en diálogo con iProUP el abogado Ismael Lofeudo.
Durante la mañana de este domingo, el grupo Medusa subió a su sitio en la dark web el anuncio con la CNV como víctima. Allí asegura tener 1.5 TB de datos y solicita u$s500.000 para no publicar la información. El organismo asegura que aisló el ataque y está restaurando los datos. En lo que mostró Medusa había un file con contraseñas, pésima práctica para los informáticos.
"La Comisión Nacional de Valores (CNV) aisló y controló un ataque que se detectó el miércoles 7 de junio. Fue realizado con un tipo de código malicioso del tipo ransomware, conocido como Medusa, que había tomado posesión de equipos informáticos y dejó fuera de línea las plataformas del organismo", según un comunicado oficial.
"El protocolo de actuación permitió aislar los equipos y toda la comunicación con el exterior para evitar la propagación del código malicioso. Luego se iniciaron trabajos para reestablecer los servicios de manera paulatina con el fin de lograr la operación plena, que aún continúa en proceso", asegura la CNV.
"La información tomada por los atacantes es de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados", afirma.
"Las emisiones y otros procedimientos iniciados por los regulados se están aprobando según las necesidades de cada requerimiento", aclara. Y advierte que "la CNV realizará una denuncia penal ante la Justicia para que investigue el origen y las responsabilidades del ataque", advierte.
Javier Casabal, de Adcap Grupo Financiero, reafirma que "la CNV no tiene información confidencial, ya que lo que incluye en la autopista financiera es todo público".
Elena Alonso, de Broda Criteria, agrega: "Estaría en manos de los hackers información de los sumarios y otros tipos de investigaciones de la CNV, así como de agentes que tienen registros, sociedades que cotizan en Bolsa y habilitación de asesores", tal como se desprende de la propia información publicada por Medusa.
La abogada especialista en temas informáticos Bárbara Peñaloza criticó que la CNV no publicó el ataque ni lo informó a las víctimas hasta que no lo hizo público la propia Medusa.
"No debería haber trascendido el ataque por quien comete el ramsomware, sino por la víctima, para que los titulares de los datos personales vulnerados tomen precauciones", enfatiza.
"La CNV tiene que comunicar la información en manos de los hackers, los sistemas vulnerados, comunicarse con cada persona, para que pueda tomar alguna precaución, y con las empresas, para que aseguren sus cuentas en los bancos y otras que puedan ser hackeadas usando los datos que ahora tienen los hackers", remarca Lofeudo.
Lofeudo apunta al manejo de ciberseguidad de la CNV. "Una semana te olvidás de actualizar el sistema de seguridad, y el organismo queda vulnerable", recuerda.
Y Peñaloza también subraya que "el ataque debe ser prevenido con sistemas de ciberseguridad robustos y capacitación para los usuarios de los sistemas informáticos del organismo, porque los malware ingresan por error humano. Cualquier empleado que reciba un correo sospechoso y lo abra, puede causar un incidente grave".
La responsabilidad de la CNV se duplica tras el ataque, porque los funcionarios que la dirigen están obligados a denunciar los delitos que se producen y de los que toman conocimiento.
El ataque malicioso de sistemas informáticos no es un delito tipificado en el Código Penal argentino, pero sí otros tres delitos que se producen en forma concomitante, coinciden Lofeudo y Peñaloza: acceso indebido a sistemas, daño informático y extorsión.
La denuncia debe realizarse ante el fiscal Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), precisa Lofeudo.
La Ley de Datos Personales actual no obliga todavía a las entidades públicas o privadas cuyos sistemas resulten vulnerados a informar a las víctimas, y el proyecto para actualizar esa norma está frenado. En la Unión Europea, las instituciones deben denunciar en un plazo no mayor a 72 horas y, de lo contrario, son pasibles de multas millonarias.
En este marco, en la Argentina entre 2019 y lo que va de 2023 ya fueron cajeados las siguientes 40 entidades, según informe publicado por Marcela Pallero:
En el mundo, los hackers han atacado petroleras, aeronáuticas, casinos, organismos públicos, clínicas, escuelas e iglesias.
"La situación del ransomware es una gran preocupación en empresas y gobiernos de todo el mundo. A pesar de que la rentabilidad de este negocio criminal bajó de 2021 a 2022 -según un estudio de Chainanalysis, pasó de u$s766 millones a u$s457 millones-, los ataques y las nuevas cepas están en crecimiento, según trascendió.
"La situación es muy grave y todavía insisten en crear la historia clínica unificada o el voto electrónico, en informatizar más sistemas, cuando la administración está llena de incidentes de ciberseguridad", concluye Lofeudo.