El ataque cibernético al Boletín Oficial y Judicial de la Provincia (BO) no solo desnudó la fragilidad del sistema de seguridad del Estado, sino que además quienes deben investigar la filtración carecen de herramientas técnicas específicas para saber quiénes fueron los responsables, cuál información se vulneró y qué hicieron con ella. El riesgo mayor está del lado de los empleados públicos: sus datos personales podrían estar en manos desconocidas y sumamente peligrosas.
La noticia del alerta en el Boletín Oficial fue publicada por INFORAMA el pasado 3 de junio. Se trató de un hecho de extrema gravedad institucional: alguien accedió sin autorización al sistema de carga del organismo y publicó instrumentos con información inexacta o apócrifa, tras lo cual el sitio estuvo fuera de servicio durante varias horas.
La Dirección provincial del BO lo admitió en un comunicado que no circuló por los canales oficiales sino a través de grupos de WhatsApp entre abogados y organismos públicos, lo que en sí mismo fue una señal de cómo el Gobierno eligió dar cuenta del caso.
El comunicado del BO reconoció que "por razones ajenas" al organismo se había detectado la “publicación temporal de instrumentos con información inexacta o apócrifa”, y atribuyó el problema a la “vulneración de las credenciales de un usuario”. El equipo técnico, consignó el texto, trabajaba para normalizar el servicio.
Lo que el comunicado no precisaba era la magnitud real del problema. No explicaba cuáles instrumentos habían sido publicados con información falsa, durante cuánto tiempo exactamente habían estado disponibles ni quién o quiénes habían accedido al sistema. Tampoco se informó si se pondría en marcha una investigación administrativa o judicial. El organismo solamente pidió disculpas.
La preocupación entre los profesionales del derecho fue inmediata y lógica. El Boletín Oficial y Judicial es, en rigor, el soporte de la legalidad de los actos del Estado. Allí se publican actos administrativos, normas, edictos, disposiciones e información vinculada a organismos públicos y privados de toda la provincia. Cualquier alteración, carga indebida o publicación apócrifa en esa plataforma incide directamente sobre la seguridad jurídica. Y eso había ocurrido.
Durante el martes 2 y por varias horas del miércoles 3, el sitio web del Boletín estuvo inaccesible. La caída no fue un detalle menor: en ese período, nadie pudo verificar la autenticidad de lo que se había publicado ni acceder a la documentación oficial que el organismo concentra. La opacidad con la que se manejó el hecho profundizó la inquietud entre quienes dependen de esa plataforma para su actividad profesional.
Esa misma semana, funcionarios del Gobierno presentaron una denuncia en la Fiscalía General contra autores anónimos. A partir de allí se inició una investigación que se maneja con total hermetismo porque aún no se identificaron sospechosos ni tampoco se sabe cuál fue la información vulnerada. Aunque sí el tipo de datos que estuvieron al alcance del o los hackers.
A casi un mes de aquella revelación, la investigación comenzó a arrojar conclusiones que van más allá del episodio original. Porque lo que empezó como un acceso no autorizado al sistema de carga derivó en un diagnóstico que expone una fragilidad estructural en la infraestructura informática del Estado provincial: el sistema fue quebrantado. En otras palabras, la plataforma oficial es un blanco fácil.
Hallazgos
Entre las primeras medidas adoptadas figuró una inspección ocular destinada a verificar el estado de la plataforma y establecer el alcance real del acceso no autorizado. Además de la fiscalía, intervinieron técnicos de Informática Jurídica del Poder Judicial y la Secretaría de Ciberdelitos.
Lo hallado permitió trazar un mapa del sistema atacado. Se determinó que el entorno del ministerio del que depende el Boletín cuenta con al menos ocho usuarios y cuentas con acceso autorizado. Eso significa que la brecha de seguridad no se reduce a una única contraseña: son múltiples los puntos de entrada al sistema, y cada uno de ellos representa una potencial vía de acceso para quien tenga las herramientas o sepa cómo aprovecharla.
El diagnóstico sobre los filtros de ciberseguridad que protegen esas cuentas fue categórico: no son seguros. No se trata de una debilidad puntual sino de una arquitectura de seguridad que, según los investigadores, no está a la altura de la información que resguarda.
¿Qué tipo de datos quedaron expuestos? Nombres y apellidos, DNI, CUIT, CUIL, correos electrónicos, números de teléfono, domicilios, número de agente, lugar de trabajo, cargo, sueldo, licencias, justificaciones y francos. Es decir, un perfil completo de cada agente estatal.
Todos esos datos pertenecen a empleados y funcionarios del Ejecutivo provincial. Muestran su identidad, la situación económica y los contactos de personas que trabajan para el Estado. ¿Quién tiene acceso a esa información y con qué fines puede utilizarla?
Los investigadores identificaron dos escenarios posibles. En el mejor de los casos, los datos pueden ser vendidos a estudios jurídicos para ejecutar deudas o cobros, o incorporados a bases de datos de sistemas financieros. Quienes accedan a esa información sabrán dónde vive cada agente, cuánto gana y cómo contactarlo.
Por ejemplo, tal información habría sido de gran utilidad para la banda que estafó a medio millar de catamarqueños con pagarés falsos que ejecutaron para apropiarse de bienes inmuebles, vehículos y dinero en cuentas bancarias. De acuerdo con la acusación del fiscal Hugo Costilla, ese grupo operó como una asociación ilícita.
En el peor escenario, tales datos pueden terminar en redes delictivas que los utilicen para llevar adelante estafas dirigidas y sofisticadas, respaldadas por un nivel de detalle que las hace más creíbles y peligrosas.
El muro técnico
Pero la pesquisa llegó a un punto en el que no pudo avanzar, y la razón es que los investigadores no cuentan con las herramientas tecnológicas necesarias para ir más a fondo. Sin esos recursos, no es posible determinar cuál fue el origen de la intrusión ni si hubo tráfico efectivo de la información hacia terceros.
Esto debido a que el trabajo pendiente se relaciona con el campo del OSINT (Open Source Intelligence o Inteligencia de Fuentes Abiertas), una disciplina que consiste en recopilar, analizar y transformar datos públicos y accesibles en información útil y estructurada con métodos legales.
¿Cuáles serían las herramientas requeridas para una investigación más sólida? Hay al menos tres plataformas específicas que debería tener la Justicia provincial para esta tarea.
- Maltego: un software de análisis de vínculos e inteligencia de código abierto que recopila información pública de diversas fuentes de internet y la conecta automáticamente para visualizar relaciones complejas entre personas, organizaciones, dominios, direcciones IP y redes sociales. En este caso, permitiría mapear quién estuvo detrás del acceso no autorizado y qué conexiones existen entre los distintos elementos del ataque.
- SpiderFoot: herramienta de automatización de OSINT que permite recopilar grandes volúmenes de información pública sobre un objetivo -dominios, direcciones IP, correos electrónicos, nombres de usuario- y consultar cientos de fuentes de datos simultáneamente. Su capacidad para conectar entidades y revelar posibles filtraciones, dominios maliciosos o perfiles asociados la convierte en un recurso valioso para investigaciones de estas características.
- Intelligence X (conocida como Intelx): un motor de búsqueda y archivo de datos orientado a la ciberseguridad y al OSINT. Su valor específico en este caso radica en su capacidad para rastrear información histórica, registros públicos, conjuntos de datos filtrados y contenido de la web profunda y oscura. Es, en otros términos, la herramienta que permitiría saber si los datos de los empleados públicos catamarqueños ya están siendo comercializados en algún mercado clandestino.
Que la investigación no cuente con ninguna de estas tres plataformas no es un detalle técnico menor. Es una decisión -o una omisión- del Estado provincial sobre los recursos que está dispuesto a destinar para esclarecer lo que le ocurrió a su propio sistema de información. Se trata de una cuestión de prioridades.
Sistema vulnerable
Uno de los hallazgos más graves que arrojó la investigación es que las medidas adoptadas tras el incidente, como el cambio de credenciales de acceso, no resolvieron el problema de fondo. El sistema permanece expuesto. Tal es el diagnóstico elaborado por Informática Jurídica.
Eso implica que, en este momento, la plataforma que concentra la documentación oficial más sensible de la provincia opera bajo condiciones de seguridad que sus propios evaluadores consideran insuficientes. Y lo hace sin que haya habido hasta ahora una comunicación pública del Estado que informe a los ciudadanos, a los profesionales y a los organismos que dependen del Boletín sobre qué medidas concretas se están adoptando para revertir esa situación.
Por otro lado, los investigadores advierten que la fragilidad detectada no se circunscribe al BO, sino que se extiende a todos los poderes del Estado provincial. No es una lectura alarmista; así surge del propio análisis técnico elaborado por los profesionales.
El antecedente regional más cercano ilustra hasta dónde puede llegar este tipo de vulneraciones cuando no se atienden a tiempo. En Córdoba, el hackeo al sistema del Poder Judicial en agosto de 2022 paralizó su operatoria durante días, comprometió información de alto valor institucional y dejó expuesta la fragilidad de una infraestructura tecnológica que se dio por segura hasta que dejó de serlo.
Por lo pronto, el Gobierno provincial adeuda respuestas sobre los aspectos más sensibles del incidente. No se conoce, por caso, qué instrumentos oficiales fueron publicados con información apócrifa durante el tiempo que el sistema estuvo comprometido, cuánto tiempo duró esa exposición, quién o quiénes accedieron al sistema y con qué nivel de conocimiento técnico. Y lo que es más preocupante, qué destino tuvieron los datos sustraídos.
Tampoco explicó qué plan concreto existe para reforzar la infraestructura de ciberseguridad del Estado más allá del cambio de contraseñas, ni si el episodio derivará en responsabilidades administrativas o penales para quienes tenían a su cargo la protección de esa información.
Por ahora, la investigación está paralizada por carencia de sofware específico. De hecho, lo conseguido fue con métodos convencionales. Que un sistema sea vulnerable puede dar lugar a pérdida o robo de datos, infección de sistemas o caída de páginas web o redes. A eso se refiere el “alto riesgo” del que hablan los técnicos.
Lo que hoy está claro es que el Estado provincial perdió el control sobre información que involucra directamente a sus empleados. Y eso es demasiado grave.
