Los creativos de siempre: Cómo los hackers aguaron la celebración del mes de la ciberseguridad en Chile

La última semana de septiembre fue una fiesta para los ciberdelincuentes. Ataques al Estado Mayor Conjunto y al Poder Judicial, fueron solo una parte del festín, porque el mismo embate caló a la Comisión Nacional de Acreditación. Voces parlamentarias alzaron la voz exigiendo modernizar el cuerpo legal promulgado en 2018, que después del embate digital, se convirtió en una reliquia normativa. Los piratas de la red de seguro celebran, porque se implemente o no el nuevo articulado, atacarán sí o sí en el momento menos esperado. De eso no cabe ninguna ciberduda. La historia es de CHV Noticias.

Lunes 3 de octubre de 2022 | 08:00

Nadie está libre de un hackeo. Esa fue la máxima durante los últimos diez días, antes que de fuera octubre, el mes de la ciberseguridad en Chile, cuyo rótulo se remonta a 2018, cuando se dictó por primera vez la ley del ramo Nº 21.113. Por entonces diputados y senadores celebraban que gracias a un acuerdo transversal, se promulgó un cuerpo normativo acorde a los tiempos.

Cuatro años han transcurrido desde entonces, en los que el mundo digital, con su avance vertiginoso convirtió al cuerpo legal en un objeto del pasado y a la defensa estatal antipiratas, en un lugar desangelado.

Si bien la actualización normativa fue un avance, lo cierto es que desde 2010 el mundo conocía de sobra la cruzada del australiano Julian Assange, cuando publicó en Wikileaks más de 90 mil documentos estadounidenses relativos a la guerra de Afganistán. Y seis años más tarde aparecían los llamados “papeles de Panamá”, que reveló cientos de sociedades constituidas por el bufete panameño Mossak-Fonseca en los paraísos fiscales. Sus dueños iban desde magnates de distintas nacionalidades a conspicuos políticos europeos.

Transcurrido el tiempo, los rateros de la “www” han perfeccionado sus estrategias y los departamentos de ciberguerra gubernamentales a nivel global, les han declarado una batalla sin cuartel.

Sin embargo, en la lógica del gato y el ratón, lo cierto es que este último es ostensiblemente más veloz, ya que opera desde cualquier lugar del orbe, lo que impide trazar sus movimientos y en no pocas oportunidades ligando los ataques a causas morales de la humanidad contra los poderosos de siempre.

Chile no escapa a ese contexto y desde 2018 ha intentado fortalecer el músculo antihacker del Estado, sobre todo en el aparato militar para la defensa de la seguridad nacional. No obstante, el esfuerzo no ha logrado detener a los programadores “invisibles”, que se ocultan detrás de códigos encriptados.

En esa lógica, los últimos diez días de septiembre de 2022 se convierten en el mes para conmemorar a las víctimas que dejaron los asaltantes digitales en dos instituciones coercitivas del Estado y otra educacional.

Cyber month, ciberataque, ciberseguridad, ciberguerra, ciberinteligencia son por hoy expresiones unidas por un prefijo que acortó el adjetivo cibernético. Antepuesto a cualquier palabra, crea una nueva. Aquí la historia de una cibercrisis que azotó también al cibercorazón del gobierno.

El golpe

El viernes pasado, radio Bío Bío publicó en su web que la Comisión Nacional de Acreditación (CNA) fue presa de un hackeo que implicó la filtración de cientos de documentos: licencias médicas de los funcionarios, viajes, viáticos y programas presentados por universidades “atachados” en los correos electrónicos.

La entidad, pequeña pero importante en el aparato estatal, debió confirmar los hechos sumándose a la hackersemana. La explicación era sencilla: los atacantes -un par de semanas antes- exigieron un ciber-rescate para desencriptar los datos institucionales. La orden fue no negociar.

Si la CNA de seguro fue un objetivo sencillo, es probable que el servidor del Estado Mayor Conjunto (EMCO) tuviera características similares o bien los encargados brillaron por su ineptitud.

Quien se adjudicó la revelación de 386 gigas de e-mails con secretos militares y otros de menor importancia, fueron los hacktivistas del grupo Guacamaya.

El cibergolpe ocurrió en mayo, pero no fue hasta el 20 de septiembre que salió a la luz, cuando la ministra de Defensa, Maya Fernández, estaba en Nueva York acompañando al Presidente Gabriel Boric, quien expondría ante las Naciones Unidas.

Fernández tomó el primer vuelo. Nadie tenía que decírselo: la situación era grave e involucraba a su cartera. Es más -y de acuerdo a la versión de La Moneda-, la secretaria de Estado nunca fue informada que en mayo hubo una falla de seguridad y que los “guacamayos” se dieron un festín robando epístolas digitales.

Lo que vino fue lo esperable: el jefe del EMCO, general del Ejército Guillermo Paiva, renunció a su cargo. Se ordenaron sumarios y tanto la Justicia Militar como el Ministerio Público, iniciaron sendas investigaciones.

Sin embargo, la señal política de que el Estado sufrió apenas una cibermella para el olvido, duró poco. Más bien, fue apenas un respiro.

El error de Vivanco

A última del domingo 25 de septiembre, algunos jueces de garantía de Santiago y regiones recibieron un mensaje de whatsapp, informando que el sistema podría estar afectado con un virus. Acto seguido corrió la voz. Varios magistrados descreyeron la versión: la única posible era otro ataque hacker.

Al día siguiente todo quedó más claro: el ransomware Cryptolocker atacó y se expandió en los computadores que utilizaban Windows 7, una reliquia computacional carente de actualizaciones, protegido -insistían desde la judicatura- con un poderoso antivirus.

Uno de los mensajes recibidos por jueces a nivel nacional.

Si bien no se expusieron miles de documentos en la red, la imagen del tercer poder del Estado fue presa de todo tipo de epítetos en las redes sociales. Uno suave fue “impresentable”.

La caída afectó al sistema de correos y la “toma” de audiencias en los tribunales de garantía, pero la web de búsqueda de causas se salvó en primera instancia. Días más tarde fue el turno de Windows 10.

Seguían mensajes de alerta a los magistrados y magistradas.

De inmediato, la información llegó a oídos de la Defensoría y el Ministerio Público, instituciones que tomaron medidas de inmediato: nada que procediera de la fuente judicial debía siquiera tocarse con el puntero del mouse hasta nueva orden. Cryptolocker era una enfermedad de transmisión digital.

De acuerdo a varios mails enviados a los funcionarios de la fiscalía, los hechos duraron al menos hasta el viernes 30. Una nueva comunicación del departamento informático de la entidad perseguidora penal, revela una queja: el Poder Judicial no entregaba información sobre la solución del ciberproblema. Nuevamente abrir cualquier mail, quedó estrictamente prohibido hasta nuevo aviso.

Vea el mail del Ministerio Público.

Suma y sigue, el mismo 30 al menos diez sitios web del Estado quedaron en blanco, pero las autoridades rejuraron que no se trató de un virus externo. Para nadie es un misterio que los cibernaturas descreyeron la versión y el algoritmo de Twitter nuevamente tendenció el hecho.

Ciberbandera

Los tres episodios revelaron la falta de inversión en ciberseguridad por falta de recursos, tal como admitió la vocera de la Corte Suprema, la ministra Ángela Vivanco. La alta magistrada, eso sí, cometió un error discursivo cuando entregó la versión oficial: no se presentaría denuncia alguna, porque la persecución de este tipo de ilícitos era más bien imposible.

Sus dichos duraron poco, porque el mismo 30 de septiembre apareció en el sistema de búsqueda de causas, una querella criminal interpuesta por la Corporación Administrativa del Poder Judicial (CAPJ). Y más: se contrató a un empresa del foro computacional extranjera para mejorar las defensas, cuyo costo es de varios millones de pesos.

Si el noveno mes del año puede ser catalogado como un hacker-cumpleaños, octubre recién comienza, mientras los parlamentarios alzan la voz reactivamente, insistiendo en la necesidad de adaptar la legislación a los tiempos que corren. Eso sí, después de cuatro años en que los ataques hacker ciberaumentaron y la ley se quedó en el terreno de lo analógico.

Así, las ciberpropuestas llegan -otra vez- en ciberpantalones cortos esperando una cibermadurez que, independientemente de cuánto tarden en implementarse, a los asaltantes digitales poco les importa. Atacarán si o si, en el momento menos esperado. De eso no cabe ninguna ciberduda.