La Dirección Nacional de Migraciones (DNM) decidió no ceder a la extorsión de un grupo de hackers, que en la mañana de ayer terminaron intrusando el sistema informático del organismo. Publicaron una veintena de carpetas robadas. Los nombres de los archivos indicarían que puede tratarse de información sensible, algo que fue descartado de plano por el organismo que depende del Ministerio del Interior. Entre las carpetas filtradas en la Deep Web (web profunda) hay oficios de la Agencia Federal de Inteligencia (AFI), donde también negaron que pueda afectarlos la filtración. La búsqueda de publicidad de los hackers puede ser la clave para que los investigadores judiciales detecten quiénes están detrás del ataque y determinar si hubo apoyo local.
Los teléfonos de la Dirección de Tecnología y Comunicaciones empezaron a sonar sin parar a las 7 de la mañana del jueves 27 de agosto. Desde distintos puestos de control avisaban que no podían utilizar el sistema que registra los ingresos y egresos del país. Rápidamente se detectó que era una situación anómala y que estaban bajo el ataque de un virus que afectaba al sistema Windows y al paquete de programa Windows. Por horas, las entradas y salidas al país quedaron congeladas. El virus en cuestión es un ransomware Netwalker, que -- como su nombre en inglés indica -- se mueve como un secuestrador. El programa malicioso ingresa a la computadora, cifra el contenido y pide rescate. Hasta ahora, se entiende que el virus ingresó por una computadora y se fue expandiendo hasta otras.
En las computadoras de la DNM apareció un mensaje de los secuestradores informáticos que, decía que, si colaboraban con ellos, iban a poder recuperar los archivos. El valor de la colaboración fue primero de 76.000.000 de dólares. Después la bajaron a 2.000.000 de dólares y luego volvieron a subirla a 4.000.000 de dólares. La exigencia era el pago en bitcoins, una moneda digital que favorece este tipo de transacciones al no ser rastreable. Desde el Ministerio del Interior, la decisión fue no negociar y presentar una denuncia, que tramita en el juzgado de Sebastián Casanello. El juez delegó la investigación en el fiscal Guillermo Marijuán, que pidió la asistencia de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
“La UFECI está colaborando con la fiscalía de Marijuán. Estamos recolectando la información filtrada para chequear que efectivamente corresponda a la DNM y colaborar para identificar a los responsables”, explicó a Página/12 el fiscal Horacio Azzolin, titular de la UFECI. Las publicaciones de Netwalker sobre la filtración de la DNM aparecieron en ruso, lo que puede ser un indicador de que la nacionalidad de los atacantes. Al tratarse de organizaciones delictivas que suelen estar del otro lado del mundo, en general, las investigaciones se hacen cooperando con otros países que ya sufrieron los hackeos. Días atrás se registró un ataque similar en el Banco de Chile y la empresa Telecom había sido víctima de una vulneración semejante.
Una de las hipótesis que se investigan es que, más allá de lo promocionado durante el gobierno de Cambiemos, el sistema haya estado desprotegido y vulnerable frente a ataques externos. O si pudo haber existido un empleado infiel que pudo haber introducido el ransomware o haber vendido información. Por ahora, no hay pruebas en ese sentido en el expediente. Después del ciberataque, la directora de Migraciones, Florencia Carignano, le pidió la renuncia al director general de Sistemas, Juan Carlos Bacchi. El analista en sistemas llevaba 17 años trabajando en Migraciones y otros años más en el Ministerio del Interior.
Al momento de presentar la denuncia, la DNM pidió que se investiguen tres posibles escenarios. Por un lado, quieren que la justicia determine si se trató de un ciberataque como fin en sí mismo – como suelen hacer los hackers para mostrar sus habilidades y dejar al descubierto las vulnerabilidades de agencias estatales o grandes empresas. La otra posibilidad es que alguien con gran poderío haya buscado ingresar en las bases para manipular, borrar o dañar contenidos. La tercera alternativa es que hayan orquestado un hackeo para facilitar un delito tradicional.
El segundo escenario podría llegar a tener su correlato en alguien interesado en borrar determinadas huellas de un accionar ilegal. Hay distintas investigaciones judiciales que ponen el foco en cómo se usaron las bases de Migraciones para espiar durante el macrismo. Las autoridades actuales, por ejemplo, detectaron que había 19.000 claves activas de la Policía de la Ciudad para chequear ingresos y egresos al país. Esos permisos se redujeron a 200 en los últimos meses. El fiscal Federico Delgado analiza una causa sobre espionaje contra jueces y dirigentes políticos que fueron espiados por sus entradas y salidas al país. El juez de Dolores Alejo Ramos Padilla logró probar el acceso que la banda que lideraba Marcelo Sebastián D’Alessio a las bases de Migraciones.
Dentro de los archivos filtrados hay carpetas vinculadas a distintas embajadas, como la de los Estados Unidos, México o Rumania, datos sobre Interpol y pedidos de dos direcciones de la Agencia Federal de Inteligencia (AFI). Desde la DNM explicaron que, antes de la filtración, ellos sabían cuál era el material secuestrado y se comunicaron con las agencias a la que correspondía la información para avisarles cuáles eran los datos que podrían ponerse en circulación. En el caso de la AFI, se trataba de claves de acceso que había tramitado la Dirección Operacional de Terrorismo y la dirección de Delitos contra el orden constitucional. En ninguno de los casos, significaba un riesgo para la central de inteligencia, explicaron a Página/12 desde esa dependencia. De todas formas, el área de Ciberinteligencia de la AFI está trabajando con la DNM para detectar posibles vulnerabilidades.
¿Qué información robaron?
En la denuncia judicial, que recayó en el juez Sebastián Casanello, consta que el malware afectó los sistemas de archivos basados en MS Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y los archivos de Microsoft Office (Word, Excell, etc) existentes en los puestos de trabajo y carpetas compartidas de los usuarios.
Según la captura de pantalla que los criminales subieron a la dark web, se secuestraron 22 carpetas con diverso material. Hasta el momento, según estuvo circulando en los medios de comunicación, el contenido afectado es el siguiente:
1. ABM (9 PDF, 1 JPG y 1 BASA DATA FILE): formularios de solicitudes de altas, bajas y modificaciones (ABM) de accesos a aplicaciones para diversos usuarios de la DIM (2016).
2. AFI (2 PDF y 1 Word): memo y nota formal de la Operacional de Inteligencia sobre Terrorismo y Delitos contra el Orden Constitucional de la AFI, solicitando reseteo de claves.
3. CAJA (1 Word y 7 PFD): 5 archivos con Tickets (2015) y escaneo de libro de guardia (2015).
4. CAPACITACIÓN INTERPOL (7 PDF): formularios de inscripción de agentes de la DIM en una capacitación de Interpol (11/2016) y formularios para participar en una reunión operativa (15 al 17 de noviembre de 2016).
5. CHINOS CORRIENTES (37 PDF y 1 Word): informe sobre posible cohecho en la Delegación Corrientes/Chaco, con descripción de modus operandi, forma de pago, listado de empleados que participarían del hecho y nómina de 78 ciudadanos chinos que iniciaron radicación entre febrero/marzo del 2014. (Existe causa judicial en trámite).
6. CONSULADO DE COLOMBIA (5 PDF): escaneo de expediente del año 2016, procedente del Ministerio de Relaciones Exteriores solicitando información sobre colombianos en algunas provincias, a pedido del Cónsul General de Colombia en Argentina para evaluar la instalación de Consulados Móviles.
Nota formal del Cónsul General de Colombia en Argentina con la solicitud. Cuadro estadístico con radicaciones resueltas e iniciadas de ciudadanos colombianos en dichas provincias. (8/2016)
7. DELEGACIÓN ENTRE RIOS (14 PDF): memo remitiendo nota de la GNA y PNA solicitando datos estadísticos. Nota del Centro de Reunión de Información “Concepción del Uruguay” de la GNA, solicitando datos estadísticos de la situación migratoria de extranjeros en la provincia de Entre Ríos, en los años 2015 y 2016. (6/2016)
8. EMBAJADA DE EEUU (6 PDF y 1 Word): nota formal (expte.) del Vicecónsul Derek Wright solicitando datos de cantidad de ciudadanos estadounidenses que ingresaron al país en calidad de turistas.
9. EMBAJADA DE MEXICO (6 PDF y 1 Word): nota formal (expte.) del Encargado de Negocios, Alejandro Alba solicitando datos estadísticos de mexicanos que se encuentran viviendo en la Argentina.
10. EMBAJADA DE RUMANIA (4 PDF y 1 Word): nota formal (expte.) de la Embajadora de Rumania Carmen Podgorean solicitando datos estadísticos de ciudadanos rumanos que se establecieron en la Argentina.
11. EMBAJADA FILIPINAS (8 PDF): nota formal (expte.) de la Cónsul Ma. Carmela Teresa A. Cabreira solicitando cantidad de ciudadanos filipinos residentes en la Argentina.
12. INFORME INTERPOL FLUJOS MIGRATORIOS (7 PDF y 1 Word): nota de Interpol a la Directora de la DIM remitiendo un documento denominado “Apreciación de flujos migratorios por grandes eventos en Sudamérica”. Está el informe de Interpol escaneado (7/2015).
13. INICIATIVA INTERNACIONAL DE ACELERACION DE LOS TRAMITES DE VIAJE PARA EXTRANJEROS (6 PDF): escaneo de la Declaración Conjunta Relativa a la Cooperación entre el Ministerio de Seguridad y el Ministerio del Interior, Obras Públicas y Vivienda de la República Argentina y la Dirección de Aduanas y Protección Fronteriza de los Estados Unidos del Departamento de Seguridad Nacional de los Estados Unidos tendiente a elaborar una iniciativa internacional de aceleración de los trámites de viaje para pasajeros. GLOBAL ENTRY (8/2016).
Escaneo de dos tarjetas personales de funcionarios de la Embajada de la República Popular China en la República Argentina.
14. MEMOS internos de trabajo y procedimientos varios.