Hackeo al Poder Judicial: habló el experto en seguridad que informó el ingreso ilegal

El hackeo al Poder Judicial de Santa Cruz, informado por TiempoSur semanas atrás, y por el cual hay dos denuncias presentadas en la justicia federal, fue advertido por Mauro Eldritch, hacker y experto en seguridad informática.

Vive en Uruguay y utiliza su cuenta de Twitter para advertir los diferentes ingresos ilegales a varias instituciones de Argentina, cuyos datos son luego vendidos en diversos foros.

Eldritch conoce el cibercrimen y en diálogo con TiempoSur, advirtió que es fácil hackear una institución publica en Argentina.

-TS: Más allá de lo obvio, porque es tu trabajo, ¿cómo te enteraste sobre el hackeo que sufrió el Poder Judicial de Santa Cruz?

-ME: Mi trabajo (Analista de amenazas) está estrechamente ligado a un área llamada Inteligencia de Amenazas, es un campo muy grande donde básicamente monitoreamos "lo que va pasando" en el ambiente de ciberseguridad. Una de las regiones que cubro es Argentina. Me entero porque justamente monitoreo la actividad relacionada con Argentina en distintos canales dedicados a cibercrimen.

-Has advertido de varios hackeos a otros poderes judiciales e instituciones ¿Por qué sucede el hackeo, más allá de la finalidad que es la venta de datos? Además, ¿tan fácil es hackear una institución pública?

-Buena pregunta. El por qué amerita una respuesta muy amplia. Hay miles de posibilidades y todas son compatibles con la situación de seguridad actual del Estado: deuda técnica, recortes presupuestarios como han denunciado en este caso, falta de compromiso y capacitación de quienes toman decisiones, y muchas veces simple y llano desconocimiento de la materia y de las consecuencias que trae este tipo de filtraciones.

Si nos guiamos por el número de filtraciones en el último tiempo - estoy compartiendo casi una a diario y cuando tengo un rato libre - que incluyen Ministerios, Poderes Judiciales, Cortes de Justicia, Hospitales, Compañías Estatales, y otros organismos; sí, podemos decir que la situación actual de seguridad hace que sea fácil el compromiso de la información en manos del Estado.

También podemos agregar que en Argentina no hay una buena cultura de ciberseguridad, particularmente en el manejo de la información ciudadana (ya lo vimos en el RENAPER, migraciones, y demás).

-¿En dónde se venden los datos? Y en el caso del Poder judicial de Santa Cruz, ¿Tan fácil fue hackearlo? Según sabemos desde informática cambiaron al día siguiente las contraseñas, pero  ¿eso sirve?

-Los datos pueden venderse en foros especializados (una venta general, digamos) o en canales propios de un actor de amenazas en particular (como grupos de ransomware, por ejemplo). En otros casos la venta puede darse en ambos lugares -un canal general y uno particular- como hizo el grupo Everest cuando aseguraron tener información del Ministerio de Economía.  Cambiar las contraseñas es una práctica post-mortem (después del incidente). No solucionaría una eventual vulnerabilidad subyacente -si existiese- ni tampoco resuelve el problema de la información ya filtrada.

Es decir, la información filtrada seguirá circulando y si el punto de entrada de un atacante no fuese una clave débil o robada, sino una vulnerabilidad, ese acceso permanecería activo.

-¿Cuánto dinero se puede obtener de los datos del Poder Judicial de Santa Cruz y para qué se utilizarían?

-Los costos dependen de varios factores: del atacante en cuestión, del tiempo que haya pasado desde la filtración y de los datos en sí. No sabría decirte en este caso cuánto pidió el atacante. Siempre digo que a las filtraciones hay que verlas desde dos ópticas: la filtración en sí como un absoluto (lo que se filtró en esta oportunidad); y en perspectiva (relativa a otras filtraciones que puedan considerarse complementarias). En este caso tendrías información especializada de ciudadanos dedicados al ejercicio de la justicia: abogados, fiscales, jueces, etcétera. Es útil de por sí, pero es mucho más aún si la complementás con otras filtraciones como la de RENAPER por ejemplo, donde literalmente se filtraron los DNI de todos los argentinos. Ni hablar si la cruzás con otras filtraciones menores que eventualmente puedan incluir a las mismas personas. Toda esa información relacionada deja una oportunidad amplia para personas malintencionadas que quieran suplantar identidades o cometer estafas.

-¿Quien hackeó el Poder judicial de Santa Cruz, sabía lo que hacía? ¿Era un principiante? ¿Pudo o podrá vender la información?

-Excelente pregunta. Leyendo entre líneas y comparando con otros atacantes más veteranos del ambiente, diría que no es alguien experimentado.

Es un usuario sin reputación previa (en estos canales la reputación lo es todo), el posteo original era muy efusivo y en español (desconociendo las normas del foro, e incluso siendo advertido de esto y teniendo que traducirlo al inglés). Es raro también la cantidad de métodos de pago crypto que aceptaba, cuando la mayoría se pliega a XMR y BTC. Podría haberla vendido, no veo por qué no.

-¿Ayuda o se investiga apropiadamente cuando se realiza una denuncia  federal por hackeo? (Como sucedió en este caso)

-No, en mi perspectiva personal sobre la mayoría de los casos.

Podría ayudar con fines estadísticos, para que el hecho no vaya de cabeza a parar a la cifra negra de (ciber)criminalidad, y para atraer el foco de la conversación a estos temas tan relegados a nivel periodístico y social, eso sí. Pero contribuir por ejemplo a la detención de un actor (serio) organizado no. Es algo que todavía no he visto en Argentina.