Para ver esta nota en internet ingrese a: https://www.diarionorte.com/a/213829
Ricardo Ambrosig

Columnista

¿Qué es el "ransomware" que afectó al Poder Judicial?

Hace una semana fue noticia el hackeo de computadoras judiciales. Según el comunicado oficial, se trató de "...un ataque de un malware del tipo ransomware que han sufrido algunos servidores".

Por lo general, un “ransoware serio” no se esmera en el contenido gráfico. Son ataques profesionales que demandan la intervención de personal dedicado a combatir este tipo de delitos informáticos.

"Este tipo de ataques -agrega el informe- de índole delictual y malicioso, habría comprometido información de algunos servidores del Poder Judicial, como lo ha hecho en otros organismos públicos, tanto nacionales como provinciales. Por el momento no se tiene acabada definición de la real situación en que se encuentran los sistemas, servidores y servicios".

El ataque provocó la suspensión de "...todos los servicios de índole digital (INDI, IURE, IURE -Ingreso de demandas-, SIGI, SIGI profesional, servidores, internet, conexiones de red, conexiones VPN, correos oficiales, domicilios electrónicos, y todo otro servicio digital que brinda el Poder Judicial) hasta el domingo 16 de enero de 2022".

Días después, el STJ comunicó que se había contactado a una empresa privada de seguridad informática y se detectó que el problema se extenderá a los servicios informatizados más allá de la primera estimación, algo que se supo tras las pericias.

Una pantalla del “ransomware” Maze, que bloquea la máquina, ofrece un correo de contacto, y debajo un código para “validar” la infección.

¿Qué sucedió?

Prudentemente, el Poder Judicial no informó las condiciones que ponen los delincuentes para liberar el acceso a los archivos que contienen las máquinas afectadas, ya que un ataque "ransomware" no es otra cosa que el secuestro virtual de sistemas informáticos que son liberados tras el pago de un rescate, que se hace siempre en criptomonedas, difíciles de rastrear.

Llama la atención que el ataque haya sucedido durante la feria judicial, ya que de haber sido en pleno funcionamiento del sistema, el perjuicio seria enorme ante la urgencia de miles de profesionales para seguir adelante con sus casos y cambiaría el eventual escenario para la recuperación del o los sistemas.

Todas estas son suposiciones basadas en el informe oficial, pero la mención del "ransomware" no tiene otra interpretación que la de un hecho de extorsión, habida cuenta que no se trató de una amenaza sino de una acción concreta.

Cómo se ejecuta

El "ransomware" puede infectar una o más computadoras de varias formas. Uno de los métodos más habituales es a través de spam malicioso, mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje puede incluir archivos-trampa adjuntos, como PDF o documentos de Word, instrumentos habituales en el ámbito judicial.

Este tipo de intrusión usa lo que se llama "ingeniería social" para engañar al usuario, con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo.

Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa. Consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna, ya que los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer click en un anuncio.

Cierto tipo de “ransomware” es fácil de anular, porque no tiene la sofisticación necesaria. Es el caso de programas que bloquean pantallas y por lo general el pedido de “rescate” es a nivel aficionado.

Tipos de "ransomware"

Hay tres tipos principales de esta clase de ataques, que van desde lo inofensivo hasta el secuestro virtual.

Los del primer tipo suelen ser mensajes emergentes -bastante molestos- que informan de que se ha detectado un problema en la máquina y que la única forma de librarse de él es pagar. Si no se hace, seguramente continuará el bombardeado con mensajes emergentes, pero los archivos están básicamente a salvo y un equipo experto puede deshacerse del problema.

Los del segundo tipo bloquean la pantalla de la computadora mediante algún mensaje que intenta lucir "oficial", informando que se han detectado actividades ilegales en esa computadora y se debe pagar una multa. Obviamente, ningún organismo de seguridad extranjero ni local actuaría de esa manera. Su efectividad se basa en el pánico que puede infundir la recepción de un mensaje que dice que la máquina contiene pornografía infantil o que se usa para cometer delitos informáticos. 

La efectividad -en este caso- está dada por lo que se llama "culpa implícita", porque la víctima, aún a sabiendas de no haber hecho nada cuestionable, pone en duda su propia inocencia y, en lugar de declarar una actividad de la que no se siente orgulloso, por más inofensiva que sea, prefiere pagar el rescate.

El peor ataque es el ataque de cifrado, ya que literalmente secuestra los archivos y los cifra de manera tan segura como una criptomoneda, exigiendo un pago para volver a descifrarlos y devolverlos. La razón por la que este tipo de "ransomware" es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, se requiere de la intervención de agencias de seguridad y organismos especializados en ciberdelito en procura de "limpiar" y restacar archivos en la medida de lo posible, ya que incluso si se paga no hay ninguna garantía de que los ciberdelincuentes dejen en paz el sistema afectado. Este es el ataque más común contra organismos oficiales.

Ataque inédito

Los ataques de "ransomware" más comunes apuntan directamente al sistema operativo Windows, especialmente a las versiones más obsoletas como XP o Windows Seven, y se cuelan en sistemas descuidados, sin actualizar. De todas maneras, un "ransomware" casi siempre tiene un blanco específico al que el delincuente considera solvente como para someterlo a chantaje.

Hasta ahora no se sabía en nuestra región de ataques de este tipo, no porque no hayan sucedido, sino porque las víctimas prefieren no revelar el daño, en resguardo de sus intereses, sobre todo cuando se trata de empresas privadas.

La mayoría de estos "secuestros" virtuales tienen soluciones sofisticadas, y es por eso que se requiere de la intervención de especialistas y mucho más tiempo que el previsto, por lo que el STJ comunicó sin demora que ese sería el caso.

Para evitar ser víctima, sirven las recomendaciones de siempre: no hacer click en la publicidad que llegue al correo electrónico (ni siquiera las de comercios o bancos que conocemos), porque siempre serán publicidades. Los negocios y entidades serias sólo envían un archivo de imagen donde dicen todo lo que tienen para decir, sin enlaces.

Tampoco hay que caer en la trampa de correos o mensajes de contactos o personas conocidas que se presentan imprevistamente y contengan enlaces.