Argentina registró 2.326 ataques semanales por organización, un incremento del 10% interanual, pero aún así es el cuarto país de Latam con mayor presión de ciberataques, se desprende del reporte de Check Point Researchal.

La región se posiciona como la más golpeada del mundo por los ciberdelincuentes, con un promedio de 3048 ataques semanales por organización (+17% interanual), superando a APAC (2978), África (2696), Europa (1638) y Norteamérica (1449).

Los países de Latinoamérica más agredidos fueron:

El promedio global fue de 2003 ataques semanales por organización, lo que implica un aumento del 3% frente a octubre y del 4% interanual.

Este escenario confirma que América Latina continúa siendo una región de alto riesgo, impulsada por la actividad de ransomware y la creciente exposición a amenazas vinculadas al uso masivo de herramientas de IA Generativa, de acuerdo con el informe global de amenazas correspondiente a noviembre de 2025 que presentó Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd.

GenAI y fuga de datos

Con la adopción acelerada de herramientas basadas en GenAI, Check Point Research detectó un creciente riesgo de filtración de información sensible.

Durante noviembre, 1 de cada 35 solicitudes de GenAI provenientes de redes empresariales presentó un riesgo alto de fuga de datos, y el 87% de las organizaciones que usan estas herramientas queda expuesto.

Además, un 22% de las consultas incluía información delicada, como datos de clientes, comunicaciones internas, código propietario o información personal.

El dato más crítico

En promedio, las organizaciones utilizan 11 herramientas de GenAI por mes, muchas de ellas sin supervisión ni gobernanza de seguridad.

Este uso descontrolado incrementa el riesgo de brechas accidentales, accesos indebidos y ataques impulsados por IA.

Educación sigue siendo el área más atacada

A nivel global, los sectores más comprometidos fueron:

En Argentina esta tendencia se replica, con instituciones educativas y organismos públicos entre los principales objetivos, seguido por manufactura, servicios empresariales y consumo masivo.

Ransomware concentrado en América del Norte

El ransomware continúa siendo la amenaza más dañina:

Los países más afectados fueron:

Por industria, la manufactura industrial (12%), los servicios empresariales (11%) y los bienes y servicios de consumo (10%) fueron los sectores más afectados. 

Los principales grupos de ransomware en noviembre fueron Qilin (15%), Clop (15%) y Akira (12%), que en conjunto representaron una parte sustancial de las revelaciones de las víctimas.

Creciente sofisticación

El director de investigación de datos de Check Point Research, Omer Dembinsky, afirmó que “los datos de noviembre muestran que, junto con el continuo aumento del número general de ataques, se ve una preocupación adicional en la creciente sofisticación de estas operaciones”.  

Sostuvo que “la combinación del crecimiento del ransomware y la exposición de datos relacionada con GenAI proporcionan a los atacantes más herramientas y oportunidades para ejecutar campañas dañinas”.

Y concluyó que “el único enfoque eficaz es priorizar la prevención, impulsada por IA en tiempo real e inteligencia de amenazas proactiva para bloquear los ataques antes de que causen daños”.

Con información de NA.

Una masiva brecha de seguridad en Internet derivó en la filtración de más de 16.000 millones de credenciales de inicio de sesión (es decir, usuario y contraseña), dando acceso a ciberdelincuentes a datos personales que pueden usarse para cometer múltiples delitos.

Estos son los datos de una investigación del portal Cybernews, que asegura que la información filtrada abre la puerta “a prácticamente cualquier servicio en línea imaginable”, como Apple, Facebook, Google, Telegram, GitHub y diversos servicios gubernamentales.

De esta forma, desde enero de 2025, más de 30 conjuntos de datos, que incluían cada uno miles de millones de inicios de sesión en redes sociales, VPN y cuentas de usuario de estas grandes tecnológicas, quedaron expuestos a ladrones de información. A pesar de que los investigadores indicaron que los datos estuvieron expuestos “solo por poco tiempo”, recomiendan a los usuarios que se cambien las contraseñas y se aumente la seguridad de inicio de sesión.

Volodymir Diachenko, uno de los autores de la investigación, aclara en el propio artículo que no hubo una filtración de datos centrada en ninguna de estas empresas tecnológicas, pero las credenciales contenían enlaces de inicio de sesión en dichas plataformas.

Los investigadores califican el caso como “una de las mayores filtraciones de datos de la historia” y afirman que es “combustible” para ciberestafas, robos de cuentas, ataques cibernéticos y fraudes electrónicos en los que los delincuentes se hacen pasar por empresas o entidades de confianza para los usuarios para obtener datos personales.

Además, la filtración es especialmente peligrosa para organizaciones que no disponen de autenticación multifactor o medidas de seguridad para proteger la información relativa al inicio de sesión, como contraseñas o claves.

“No se trata solo de una filtración, sino de un proyecto de explotación masiva. Con más de 16.000 millones de registros de inicio de sesión expuestos, los ciberdelincuentes tienen acceso a credenciales personales que pueden utilizarse para la adquisición de cuentas (bancarias), el robo de identidad y ciberestafas”, apuntan los investigadores.

El equipo detrás del artículo de Cybernews, que se va actualizando diariamente con información nueva, destaca que estos datos estuvieron expuestos durante un breve periodo de tiempo y estaban accesibles mediante servidores de búsqueda como Elasticsearch.

Los datos se han filtrado a través de programas malignos y ataques automatizados para robar credenciales, destaca el portal, que incide en que es “imposible” saber cuántas personas o cuentas estuvieron expuestas durante este periodo.

La guerra cibernética entre Rusia y Ucrania comenzó mucho antes de que las tropas del Kremlin pusieran sus botas sobre el terreno en febrero de 2022. Sin embargo, con el inicio de las hostilidades del mundo físico salieron a la luz nuevos cibercomandos cuyo objetivo iba más allá de las operaciones militares. “Aparecimos en la esfera pública al comienzo de la Operación Militar Especial de Rusia. Fue entonces cuando unimos fuerzas y decidimos salir de las sombras. No nos interesaba la fama, nos motivaba el deseo de hacer justicia y defender el honor de nuestra Patria, Rusia, en el espacio de la información, que es lo que seguimos haciendo hasta el día de hoy”, dicen desde NoName057(16).

NoName057(16) es el grupo de este tipo más activo contra objetivos españoles. El sector de la ciberseguridad les denomina hacktivistas (hackers activistas) y ellos aseguran que son voluntarios, aunque este es uno de los muchos puntos controvertidos acerca de estos comandos. Realizan ataques de perfil bajo, especialmente de denegación de servicio, que pueden bloquear webs y tumbar servicios digitales. Aunque de impacto limitado, las ofensivas de NoName057(16) traen de cabeza a las fuerzas de seguridad, ya que en estos dos años han logrado derribar páginas oficiales de ministerios, ayuntamientos, diputaciones o medios de comunicación.

La última fue este mismo marzo, en venganza por el compromiso español de apoyar la defensa de Ucrania cuando concluya el proceso de paz. El propio Pedro Sánchez lo reconoció la pasada semana en una visita oficial a Finlandia. “Estamos hablando con Finlandia también de ciberseguridad. Tuvimos la semana pasada un ciberataque que llegaba de Rusia”, reflejó ante su homólogo nórdico. “Nuestra amenaza no es una Rusia que lleve sus tropas por los Pirineos a la península, es una amenaza más híbrida, con ciberataques. Por tanto, lo que tenemos que hacer es no hablar solo de gasto en defensa, sino en seguridad”, insistió a su regreso, encajando la ciberseguridad en el debate sobre aumentar el gasto militar.

A pesar de la creciente preocupación oficial, no existen cifras claras sobre el impacto real de estos ataques en términos económicos o de seguridad nacional. Las autoridades no han publicado estimaciones sobre los costes derivados de las interrupciones de servicios digitales ni sobre los recursos destinados a contrarrestarlos, mientras que la actual Estrategia de Seguridad Nacional, de 2021, hace referencia a las acciones de guerra híbrida pero no a los hacktivistas ni a las consecuencias para la ciberseguridad de la invasión rusa de Ucrania.

La que se lleva a cabo contra estos grupos es una guerra de engaños y juegos de sombras en la que se emplean avanzadas herramientas para anonimizar el rastro digital de los atacantes, que los defensores intentan deshacer. Se lleva a cabo entre especialistas que, en raras ocasiones, se dan cita entre las trincheras para departir. Es lo que ha ocurrido cuando dos de estos grupos de hacktivistas han accedido a entrevistarse con un experto en ciberseguridad español, Rafael López, que ha compartido las trascripciones con elDiario.es.

Un fragmento de la conversación del portavoz de NoName057(16) con el experto en ciberseguridad español Rafael López.

“Que nos llamen como quieran, lo importante es que nos respeten y nos teman. Pero, en serio, nosotros nos consideramos ante todo un virus, el virus de la justicia, por muy patético que suene. Con nuestras acciones, mostramos la verdadera actitud del gobierno europeo hacia sus ciudadanos”, afirman desde NoName057(16) en su conversación con el experto.

Guerra de propaganda

Ambas partes ganan con la conversación. El comando pro-Putin, una forma de impulsar su propaganda sobre Ucrania y sobre las supuestas consecuencias que tiene interponerse en los deseos geoestratégicos del Kremlin. “Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, transmite NoName057(16).

Los defensores, por su parte, les ofrecen una nueva plataforma para que los atacantes digan demasiado o cometan un error que permita capturarlos. El pasado verano la Guardia Civil detuvo a tres personas en Manacor, Huelva y Sevilla por, presuntamente, colaborar con las ofensivas del grupo. “La particularidad de los ciberataques llevados a cabo por NoName057(16) es que son realizados mediante un software desarrollado por el propio grupo, bautizado como 'DDoSia', que es utilizado de forma voluntaria por individuos que apoyan los fines de esta organización hacktivista”, detalló entonces la Guardia Civil.

“Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, alegan los miembros del grupo en su entrevista con López. “Por supuesto, podemos entrar en casi cualquier lugar si queremos. Le damos un papel importante al trabajo analítico: seleccionamos cuidadosamente los objetivos de los ataques y los escenarios de impacto en el enemigo para causar el máximo daño”, presumen.

“En cuanto a los líderes de Europa... Bueno, es un grupo de personas perdidas que no entienden con quién o con qué están tratando. Si creen que están seguros, tenemos que decepcionarlos: no, no es así. Estamos en todas partes. Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso. No nos importa quién decidió jugar con fuego; siempre defenderemos a los nuestros y destruiremos todo lo que se interponga en nuestro camino. ¿Quieres probar suerte? Bueno, buena suerte. La necesitarás”, continúan durante la entrevista.

Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer cuantos más adeptos, mejor

Rafael López — experto en ciberseguridad

Este tipo de declaraciones no pillan por sorpresa a sus adversarios. “Tienen un ego enorme y con cada ataque satisfactorio se van retroalimentando, algo muy común entre los activistas”, dice López sobre sus interlocutores. “Tienen un montón de afiliados y mucha gente que les está diciendo constantemente que son buenísimos. Están atacando a la OTAN y la OTAN les teme, están saliendo en prensa, te nombran las fuentes de inteligencia. Ellos saben que hay grupos de trabajo creados con la misión de intentar cazarlos”.

Fue el propio grupo el que empezó a seguir al experto en redes sociales a raíz de que este explicara sus actividades en los medios, lo cual este aprovechó para iniciar la comunicación. “Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer a cuantos más adeptos. Ellos basan su fuerza en sus conocimientos, pero también en tener muchos voluntarios que les ayudan, incluso dentro de los países donde actúan”.

A la caza de voluntarios

Los ataques de denegación de servicio como los que practica NoName057(16) se basan en sobrecargar un sistema, como un servidor o una red, con un exceso de tráfico o solicitudes de datos falsas, haciendo que deje de funcionar correctamente o se cuelgue. Los atacantes avanzados usan múltiples dispositivos para lanzar el ataque simultáneamente, dificultando su detección y defensa. Para eso, los activistas necesitan voluntarios que sumen sus dispositivos a la ofensiva, como presuntamente hacían los tres detenidos en julio en España.

“Los grupos de cibercrimen de corte activista, y más aún los de corte prorruso, buscan sobre todo publicidad, nombre, reputación. De ahí el discurso de que ellos son los mejores, que van en serio, que no tienen ningún tipo de freno y que pueden hacer lo que les dé la gana”, contextualiza Ainoa Guillén, especialista en Inteligencia de amenazas cibernéticas. “¿Qué quieren conseguir? Pues básicamente reclutar nuevos perfiles, porque ellos siempre están intentando reclutar gente que se sume a sus filas”.

En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros

NoName057(16)

Durante su entrevista con López, el grupo pro-Putin no deja pasar la oportunidad de presumir del éxito de sus campañas de reclutamiento. “Vemos que en Europa hay muchas personas valientes y reflexivas que se unen a nosotros, y esto nos motiva aún más y nos da esperanza en la restauración de un mundo justo. En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros”, afirman.

“En cuanto al número de nuestras ciberfuerzas, responderemos con una cita favorita del poeta clásico ruso Alexander Blok: Millones están con vosotros. Nosotros tenemos oscuridad, y oscuridad, y oscuridad. ¡Intentad luchar contra nosotros!”, contestan al ser preguntados al respecto por el especialista español.

Financiación externa

“Cada uno de nosotros tiene su propio capital y queremos gastar parte de estos fondos en algo real y contribuir a la historia. Muchos de nosotros trabajamos en empleos bastante ordinarios. Te puedes encontrar de todo en nuestras filas, desde un profesor hasta un trabajador de carga. Porque para nosotros, todos son importantes”, aseguran desde NoName057(16) sobre sus integrantes y su financiación. Los expertos lo ponen en duda: “Dependen del GRU, que es el servicio de inteligencia ruso”, recuerda López.

Otra de las razones que impiden a los especialistas confiar en la imagen activista que ellos proclaman es que grupos como NoName07(16) retribuyen a los voluntarios con criptomonedas cuando participan en sus acciones. “No es creíble”, coincide Guillén. “Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen. O incluso algo legal... Lo que está claro es que no puede salir de su bolsillo. Echa cuentas: si retribuyen con 50 o 100 dólares a los voluntarios, participan decenas en cada acción y lanzan operaciones casi todos los días...”.

No es creíble que no tengan financiación externa. Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen

Ainoa Guillén — especialista en Inteligencia de amenazas

También está el dominio de las herramientas de anonimización de la que hacen gala sus miembros, lo que no concuerda con integrantes con empleos “ordinarios”. “Ellos se especializan en una rama llamada Opsec, que es la seguridad operativa. Es el que se basa en ocultar su rastro y mantener el anonimato. Hay grupos de que incluso fundaron academias propias donde enseñaban sus técnicas y, como docente, he de decir que tenían programas incluso mejores que los nuestros”, refleja la especialista.

Pese a todo, la del activismo es una de las narrativas clave de estos grupos. También de Z-Pentest, otro de los más activos en España en los últimos tiempos, que también han sido recientemente entrevistados por López: “Cada vez que escuchamos algo sobre que estamos patrocinados por algún gobierno, nos reímos tanto que nos sale el café por la nariz. ¡No dependemos del presupuesto de ningún país!”.

Ciberataques contra infraestructuras críticas

Z-Pentest reivindicó los ataques de principios de marzo contra la Casa Real, La Moncloa, el Departamento de Seguridad Nacional, la propia Policía Nacional y varios ministerios. Se cree que el grupo es de origen serbio, pero también es un arma más de la diplomacia ciber del Kremlin. “Siempre estamos del lado de Rusia, no hace falta adivinarlo”, dicen en su entrevista con López: “Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso”.

Z-Pentest ha hecho ataques de denegación de servicio como los de NoName057(16), pero también ha mostrado capacidades de tener un impacto mucho mayor. En colaboración con otros grupos, Z-Pentest accedió a sistemas que gestionan bombas de petróleo y tanques de almacenamiento en Texas, demostrando su capacidad para manipular funciones críticas en infraestructuras industriales.

Un fragmento de la conversación del portavoz de Z-Pentest con el experto en ciberseguridad español Rafael López.

Durante su conversación con el experto español, su portavoz presume de poder hackear incluso sistemas de la industria militar. “Sí, por supuesto que los hay”, contestan cuando López pregunta si ya han comprometido plataformas de armas: “Pero no lo anunciamos a los cuatro vientos, a diferencia de aquellos que declaran abiertamente su seguridad y luego se preguntan por qué todo de repente salió mal. Guardamos silencio porque el silencio es nuestra mejor arma. Entramos por cualquier hueco, ya sea una vulnerabilidad en el sistema, un eslabón débil en la seguridad o simplemente una contraseña estúpida. Mientras alguien cree que todo está bajo control, nosotros ya estamos dentro, estudiando, analizando, esperando”.

“El mejor momento para atacar es cuando la víctima está convencida de que nadie la tocará. Y cuando ese momento llega… Bueno, el espectáculo comienza”, añaden.

No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario

Z-Pentest

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU reflejó en un informe de 2024 cómo los hacktivistas prorrusos habían fijado su punto de mira en los sistemas de tecnología operativa a pequeña escala tanto en Norteamérica como en Europa, “especialmente en los sectores de agua y aguas residuales, presas, energía y alimentos y agricultura”. “Tratan de poner en peligro los sistemas de control industrial modulares y expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina, aprovechando el software de acceso remoto y las contraseñas predeterminadas”, alertó la Agencia.

Z-Pentest es además uno de los grupos que ha subido el tono del discurso sobre las consecuencias para la población civil de sus ataques. “No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario. Y nos da igual quién se queje ante la ONU, publique mensajes indignados o grabe apelaciones emocionales después. No nos preocupamos por las consecuencias. Las consecuencias deberían temernos a nosotros”, dicen en su entrevista con López.

“Son grupos peligrosos”, confirma el experto. “Son grupos que están muy radicalizados, que hay que tenerlos muy en cuenta en el panorama actual de ciberguerra que existe porque su radicalización, la especialización y la profesionalización que tienen a la hora de atacar y de reclutar los hacen un enemigo muy importante”, concluye.

El sitio oficial Mi Argentina, una de las plataformas digitales más importantes del gobierno argentino, sufrió este miércoles un ataque cibernético. Horas más tarde, desde la Secretaría de Innovación, Ciencia y Tecnología confirmaron el hackeo y apuntaron a gobiernos anteriores por “el estado deplorable en que dejaron a nuestros sistemas de gestión electrónica, plataformas y aplicaciones”.

De acuerdo a la publicación que hizo el organismo que depende de la Jefatura de Gabinete de Ministros en redes sociales, “este 25 de diciembre a las 21:30 horas detectamos que el sitio web http://argentina.gob.ar fue atacado por ciberdelincuentes. El hackeo da cuenta del estado deplorable que dejaron los anteriores gobiernos a nuestros sistemas de gestión electrónica, plataformas y aplicaciones”, argumentaron.

Y agregaron: “Es un firme recordatorio de la necesidad urgente de inversión para fortalecer la infraestructura y la seguridad informática. Dicha inversión no pudo ser concretada por este Gobierno, contemplada en el DNU 656/2024, por culpa de un grupo de diputados y senadores del Congreso de la Nación que optaron por jugar a la alta política en vez de garantizar los fondos destinados a la lucha contra estos delitos”, apuntaron desde Innovación, Ciencia y Tecnología, al tiempo que reiteraron “la necesidad de invertir en Ciberseguridad”.

El ataque: cronología del incidente

El programador Maximiliano Firtman (@maxifirtman) explicó que los atacantes realizaron un defacement (cambio del contenido visual del sitio web), dejando mensajes con firmas políticas y un video del rapero “Homer el Mero Mero” con su canción “22” en algunas secciones.

Además, dejaron el mensaje “really? hacked again!?” (¿De verdad? ¿hackeado de nuevo?) y en el pie de página del portal se podía leer “fuck Milei”.

Según Firtman, “por lo que se ve a simple vista, parece que solo accedieron a cambiar encabezados y pies de página de las secciones estáticas, pero hasta que haya un anuncio oficial, yo sugiero esperar para usar el sitio web, principalmente en el ingreso de información o credenciales.”

El especialista también destacó que este tipo de ataques “sobrepasa el concepto de hacking  y es un delito; es mejor llamar a quien firma este acceso no autorizado como ciberdelincuente y no como ”hacker“.

¿Quiénes están detrás del ataque?

El grupo o individuo responsable del hackeo utilizó el seudónimo “h4xx0r1337” y dejó su firma en varios puntos del sitio. Además, mencionaron la cuenta @gov.eth, lo que sugiere una posible vinculación con otros ataques cibernéticos recientes.

Si bien la autoría no ha sido confirmada oficialmente, estos pseudónimos son conocidos en la comunidad hacker internacional por realizar infiltraciones en sitios gubernamentales y corporativos.

Impacto y riesgos potenciales

La plataforma Mi Argentina es clave para la gestión de trámites y servicios esenciales, incluyendo:

La vulneración de este sistema no solo compromete la confidencialidad de los datos personales, sino que también genera incertidumbre sobre la capacidad del Estado para proteger la información digital de sus ciudadanos.

Expertos advierten sobre las fallas

El periodista Julio Ernesto López (@julitolopez) también se refirió al tema a través de sus redes sociales, señalando: “Mientras parte de Argentina.gob.ar está caída por el hackeo, otra parte todavía online deja rastros de lo que pasó.”“Masivo deface en Argentina.gob.ar. En definitiva, se metieron el ciberpatrullaje y la flamante unidad de ciberdefensa en el culo.”

Más tarde, en TN, López explicó que lo que ocurrió “es que el sitio argentina.gob.ar, que es donde residen todas estas páginas de la tarjeta Sube, de pasaporte, de otros servicios más que tiene el gobierno, fue ayer intervenida o hackeada por un grupo de hackers. Estos grupos de hackers dejaron mensajes ofensivos directamente al gobierno y también hicieron, digamos, casi te diría un hackeo que parecía una estudiantina. Habían dejado sus nombres firmando para ser exhibidos y obviamente llevarse el rédito”, detalló.

Según el experto, “el sitio web del gobierno es una cosa y lo que está pasando por detrás con las aplicaciones es otra. Todavía no tenemos ningún indicio que se hayan comprometido aún más los datos, porque recordemos que hay una seguidilla de hackeos en Argentina. Esto no representaría por ahora algún tipo de problema colateral”, remarcó.

Por su parte, Javier Smaldone, programador y especialista en ciberseguridad, advirtió en reiteradas ocasiones sobre las deficiencias en los sistemas de seguridad informática de las plataformas estatales.

Para Smaldone, tras la explicación en X de la Secretaría de Innovación, Ciencia y Tecnología, el gobierno de Javier Milei tuvo un año “para actualizar y asegurar los sistemas. También tuvieron 30 millones de dólares. Hoy los hackearon unos pibes (los sistemas del Estado argentino son reventados cada tanto por pibitos con algo de tiempo libre). Imaginen lo que hacen con nuestros sistemas los servicios de espionaje de otros países”.

Lo que se sabe hasta ahora:

¿Qué deben hacer los usuarios?

En medio de esta situación, los expertos recomiendan:

La situación sigue siendo dinámica y preocupante, mientras el gobierno aún no ha brindado explicaciones claras sobre el alcance del ataque ni las medidas adoptadas para mitigar sus consecuencias.

Con información de agencias.

IG

Guardan el anonimato hasta niveles inauditos. Son ¿decenas? ¿cientos? ¿miles? “Todavía no tenemos los datos del último censo” responde, irónico, un pirata del otro lado de la única plataforma en la que parecen sentirse a gusto: Telegram. “Pero hay de todo, desde gente de más de cincuenta, pibes de mi edad y mucha gente entre treinta y cuarenta”, arriesga. A veces se encuentran cara a cara en eventos como el Cibercirujeo que acaba de celebrarse hace algunos días. Otros no llegan a conocerse nunca en esta dimensión (la física) pero saben de los demás lo único que les interesa saber: que al otro le importa la libertad, lo colectivo, la protección de lo que llaman “bienes comunes digitales”. Eso construído de a muchos y que debe –sostienen– seguir siendo de acceso libre, público y gratuito. No importa si se trata del conocimiento generado colectivamente y preservado en el portal de Educ.ar, de todo lo publicado por el extinto Ministerio de las Mujeres, Géneros y Diversidad o –su último gran logro– el archivo de la agencia Télam. Para “les pirates” (como se nombran) hay un acervo cultural que es y debe seguir siendo de todos.   

Son todos y ninguno, cualquiera y nadie. Sombras parlantes que responden a las preguntas sin revelar nunca sus identidades. Tanto que en una conversación de semanas los nombres propios serán no más de dos o tres. Del otro lado habrá siempre un cyborg llamado Kropotkin o un bot de apelativo de René Montes, aun cuando ambos encierren multitudes. “Un cyborg es un organismo cibernético. Es decir, una persona aumentada por la tecnología que permite que múltiples personas estén pendientes de este chat y contesten en forma anónima pero con una identidad colectiva”,  explicarán cuando se pregunte al respecto. 

La aclaración no es casual: para el Movimiento, Partido Pirata o el muy argentino Partido Interdimensional Pirata (cambian de nombre, estrategias y tácticas según el país) no es lo individual lo que cuenta sino la acción colectiva, la única –dicen– que  transforma y asegura que lo de todos siga siendo para todos. Y eso, en un momento en donde cada cosa –desde las semillas hasta las ideas– tiene o tendrá dueño, es potencialmente peligroso. Por eso en los intercambios con este diario, que serán muchos, en distintos días y a las más diversas horas, la mayoría de las veces se conversará con un cyborg que, apenas da la bienvenida y saluda, avisa que usa “pronombres neutros” y pregunta por los propios. Defienden un espacio invisible en donde cada quien se sienta a gusto y pueda conversar en paz. “Además, somos cuidadoses porque sabemos lo que pasa. Incluso hemos entrenado a otras organizaciones en temas de autodefensa digital. Hubo gente que no se cuidó tanto con lo de Educ.ar y hubo algunas indicaciones de riesgo pero se atajó a tiempo la situación”, explica el bot. 

Habla de sabotajes. De los cientos de ataques (cibernéticos, y de los otros) que sufrieron las huestes piratas sólo por haber salido a defender los bienes comunes digitales. Por enfrentar a la motosierra gubernamental con miles de agentes tan efectivos como invisibles. 

El poder de las sombras

Los diálogos serán entonces sí o sí vía Telegram (ninguna de las plataformas comerciales parece ser del agrado de los y las piratas, aún cuando sólo en Twitter tengan más de 9.000 seguidores) y todo –hasta responder algunas pocas preguntas para este medio– se analiza y decide en grupo. Como buenos piratas, su llamado a la revolución digital tiene mucho de provocación (“Apostatemos de las redes sociales de vigilancia masiva”, invitan en X) y funcionan en mini equipos de tres personas llamados, cómo no,  “barcas”. 

Cada barca se dedica a un tema específico (feminismo, ecología, derecho a reparar, transfeminismo, archivo, etc) y todas hacen de la libertad y la defensa de lo público dos de sus banderas más agitadas. Precisamente por eso toda práctica privatista (no tener libre  acceso al código fuente de las tecnologías que utilizamos a diario, por ejemplo, o estar condenados a no poder reparar ninguno de los dispositivos que alguna vez compramos) es para quienes integran este colectivo –y sus simpatizantes en general– poco menos que una afrenta. Algo que va en contra de la idea misma de liberación y comunidad que allá lejos y hace tiempo, en los hipposos tiempos  A.C (Antes del Copyright, antes de que cada computadora y sistema operativo tuviera dueño de una vez y para siempre) era la promesa más sexy de la red de redes: millones y millones de personas conversando, compartiendo libremente conocimientos y aprendiendo juntas. 

El final ya lo conocemos; con los años y la expansión vertiginosa del negocio, gigantes tecnológicos como Apple, Microsoft y Google terminaron apropiándose no sólo de la red sino del cardumen en su interior: los clientes y su activo más valioso, los datos. Frente a esto y desde hace ya varios años (“más de veinte”, arriesgan algunos, recordado al Partido Pirata sueco) distintos grupos comenzaron  a organizarse para escapar de lo que no dudan en llamar “una red de vigilancia global”. 

“Aún no está escrita la historia del PiP en Argentina, pero tiene como mínimo quince años”, explica René, el bot. “El PiP de acá se desvinculó de los partidos piratas europeos cuando se decidió que no se iba a buscar ser un partido electoral”, aclara. Sin embargo, eso no significó en absoluto que renunciaran a la lucha política en el más amplio sentido de la palabra. Al contrario. Hoy hay barcas abordando temas tan diversos como software libre y antipatriarcal, desobediencia cibernética, derecho a la comunicación, artes digitales, cultura libre y mucho más. “Somos un grupo de personas que busca defender la cultura libre en general y que no tiene interés en participar como una agrupación política formal pero sí en proteger los bienes comunes digitales. Eso surge como una reacción a la amenaza de motosierra del gobierno actual”, precisa.

Así fue como, gracias a la acción conjunta y coordinada de decenas de ellos y ellas en Argentina lograron salvar la totalidad del sitio Educ.ar, un proyecto estatal con más de dos décadas de trayectoria y una herramienta indispensable para docentes de todos los niveles. Pero no sólo eso. Hoy en el Archivo Pirata Antifascista se preservan y pone a disposición de cualquiera que quiera consultarlos los archivos de todo lo que ya se borró o corre riesgo de ser borrado. Desde el desaparecido Ministerio de Mujeres, Géneros y Diversidad hasta los del Museo Sitio de la Memoria ESMA, todo sigue vivo ahí. “Archivando sitios antes de que sean eliminados” es su divisa.  

Contra el gran borrado

Una semana antes de que Javier Milei asumiera la presidencia, el Partido Interdimensional Pirata lanzó un comunicado que terminó siendo profético.  “Ante la inminente toma del poder de un partido político que se comprometió a desaparecer el Estado, cerrar Ministerios y avanzar sobre derechos adquiridos, consideramos necesario y urgente salvaguardar una importante cantidad de información y recursos contenidos en diversos sitios web del Estado que están en riesgo de ser eliminados”. Para ese entonces, muchos seguían agitando la bandera de la “campaña del miedo” y perjuraban que nada de todo lo que los activistas del PiP ya olían en el aire terminaría por suceder. Hasta que un día acceder al sitio Educ.ar ya no fue posible y el temible cartelito de “En mantenimiento” hizo su aparición. “Nada indicaba que iban a eliminar 20 años de recursos educativos, ESI, memoria, historia y construcción social”, ironizaba en un tweet del 26 de enero Juan P. Romano, uno de los pocos héroes con cara en todo este lío. “Tampoco que Educ.ar iba a desaparecer tan rápido”. 

Y, nobleza obliga, en otro tweet explicaba que “el laburo lo hizo el Partido Pirata, yo nomás redirecciono y guardo una copia para compartir a quien quiera y generar más mirrors”. Así y todo, aquella vez Juan fue la cara visible de algo mucho más grande y recibió piropos de todo tipo y tamaño. Desde “No tenés idea de la inmensidad de lo que acabás de hacer” hasta un simple “Gracias”, la cuenta de Romano explotó de agradecimientos pero también de aprendizajes. 

Para ese entonces el sitio completo ya había sido “backupeado”, “torrentizado” y varios verboides más que daban cuenta de la hazaña. Dos décadas de biblioteca colectiva estaban a salvo. Para eso, el ejército anónimo de sandokanes también había compartido las herramientas y los procedimientos para que cualquiera (incluyendo gente sin demasiado conocimiento técnico) pudiera sumarse a la cruzada.  Convocaba explícitamente a la autorganización y a la preservación de plataformas y materiales, entre otras cosas “proponiendo el/los sitios que consideran importantes para preservar en el Archivo Pirata Antifascista (APAF), generando copias de respaldos de código fuente, archivos y bases de datos de los sitios a los que tengan acceso, aportando recursos varios para el alojamiento de las copias de respaldo e involucrando en lo posible a les trabajadores de sistemas de cada organismo”, entre otras tantas cuestiones. Y así fue: hubo quienes ofrecieron espacio de almacenamiento, otros que crearon sitios espejo y otros más que contribuyeron a su modo con la tarea de preservación. 

Un escudo, un escudo argentino. Por estas horas, quienes quieran acceder al archivo histórico de Télam se van a encontrar con eso: con una corona de laureles y un gorro frigio, una bandera argentina y  un mensaje: “Página en reconstrucción”. El archivo histórico de la Agencia Estatal de Noticias “cuenta con más de un millón de registros”, según precisa Google, pero lo cierto es que hoy todo ese tesoro está fuera del alcance de los internautas. Los casi ochenta años de historia (TELAM fue creada por Juan Domingo Perón en abril de 1945) fueron borrados.  O eso se intentó. Una vez más, el PiP activó a tiempo su operativo de rescate preventivo  y –también por estas horas, como el escudo– se puede acceder al material en el Archivo Pirata Antifascista. 

Como alguna vez aprendimos en la escuela, 451 es, en la escala Fahrenheit, “la temperatura a la que el papel de los libros se inflama, y arde”. El inicio del fuego. Pero ahora que nuestros libros y lecturas son en su mayoría digitales, los procesos de conservación y rescate también deben ser otros. No habrá que memorizar como en la novela de Bradbury, pero sí que funcionar como malla o “personalidad colectiva”, en palabras del bot René Montes. No es el punto lo que cuenta, sino la red. Esa cuyo centro está en todas partes, y en ninguna.  

FS/DTC

En un nuevo capítulo del espionaje ilegal, un expediente venía creciendo con bajo perfil en los tribunales federales de Comodoro Py. En dicha causa se investigan varios casos de hackeo, robo de líneas de teléfono celular y armado de operaciones de prensa contra jueces y funcionarios de la Corte y el gobierno de la ciudad de Buenos Aires.

De fondo, resurgió un ecosistema integrado por seudoperiodistas, policías, hackers y agentes inorgánicos de la ex Secretaría de Inteligencia (SIDE) que trabajan al servicio del mejor postor.

Estas son diez respuestas sobre el caso que en el que se centró la agenda judicial de la semana y que abrió un nuevo frente para el kirchnerismo en los tribunales.

1. El caso

Es un expediente que forma parte de un conjunto de causas conectadas con el presunto espionaje y hackeo a jueces federales, funcionarios de la Ciudad de Buenos Aires y jueces de la Corte Suprema. El caso contra Ariel Zanchetta fue iniciado de oficio por el fiscal Gerardo Pollicita el 15 de septiembre último, luego del análisis preliminar de algunos dispositivos electrónicos incautados en el domicilio particular del expolicía. Allí se hallaron los “partes” de inteligencia y los chats que comprometieron a Zanchetta en el presunto espionaje ilegal. 

La sospecha central de la fiscalía es que el expolicía habría buscado y conseguido los datos necesarios para obtener claves y hackear los teléfonos celulares de diferentes personalidades de la política y la Justicia. Por eso, lo comprometen las búsquedas en bases de datos como SudamericaData realizadas a jueces que ese mismo día perdieron control de sus líneas de teléfono.

Sin embargo, esa línea de investigación está abierta y el nexo entre Zanchetta y el hackeo aún no está cerrado para los investigadores. En el interín, el fiscal Pollicita y la Dirección de Asistencia Judicial en Delitos Complejos y Crimen Organizado (Dajudeco) revisaron los dispositivos electrónicos secuestrados a Zanchetta y hallaron los chats y archivos que salieron a la luz la semana última. Son los resultados preliminares.

2. Quién es Ariel Pedro Zanchetta

Expolicía federal, exagente de la Secretaría de Inteligencia (SIDE) y supuesto periodista, de acuerdo con el curriculum vitae que se halló en su computadora. Se desempeñó durante 25 años como agente de la Policía Federal Argentina (PFA), entre 1988 y 2013, y también habría sido “agente inorgánico” de la SIDE, durante al menos seis años, entre 2009 y 2015.

Zanchetta dijo ante la Justicia durante su declaración indagatoria que ejerce como periodista y que publicaba en el sitio EnClave.ar, entre otros. Enclave.ar dependía especialmente de Zanchetta: el sitio dejó de actualizarse tras la detención del expolicía, a mediados de año. 

La Justicia descarta que sea periodista, ya que no pudo hallar ningún artículo o noticia publicada a su nombre en portales de noticias.

elDiarioAR intentó comunicarse con su abogado, pero no recibió respuesta hasta el momento. 

Está acusado de delitos de violación de secreto y de la privacidad, además de presunta defraudación en tentativa. 

3. Para quién trabajaba Zanchetta

Hasta el momento, de los chat surge que Zanchetta “reportaba” -utiliza esa palabra en las conversaciones- a Néstor Fabián “Conu” Rodríguez. Sin embargo, la fiscalía no descarta otros vínculos con el poder político a lo largo de los últimos años. 

En la investigación de Pollicita se hallaron otros presuntos clientes, como la Municipalidad de San Isidro, a cargo de Gustavo Posse, precandidato a vicegobernador de la provincia de Buenos Aires en la fórmula encabezada por Diego Santilli (Juntos por el Cambio). El municipio le destinó al sitio EnClave.ar publicidad oficial $98.000 mensuales entre mayo y octubre de 2023. En dicho portal pueden leerse notas asiduas y amigables con la gestión de Posse, como esta: “Sigue el legado y la buena gestión: Macarena Posse será candidata a intendenta en San Isidro”.

Lo mismo sucedía con la Municipalidad de Leandro N. Alem, que informó a la Justicia que había aprobado el pago de $20.000 por mes en concepto de publicidad oficial al portal vinculado a Zanchetta entre marzo y mayo de 2023. Hay diversas notas sobre el intendente Carlos Ferraris (Frente de Todos).

4. Quién es Fabián “Conu” Rodríguez 

Número dos del área de comunicación de La Cámpora, después de Hernán Reibel, vocero de la vicepresidenta Cristina Fernández de Kirchner. Rodríguez es referente de la organización kirchnerista en la provincia de Buenos Aires. El fiscal Pollicita lo acusó en la causa de violación de la Ley de Inteligencia al tratarse de un funcionario público que habría encargado tareas de espionaje ilegal. Este viernes se presentó ante la Justicia y dijo que no tiene “nada que ver”.

En julio de 2015 fue nombrado presidente de Télam, la agencia oficial de noticias y encargada de la distribución de la pauta oficial de la Nación, un cargo de alto nivel político y poder económico. En Télam se decide quién cobra la publicidad oficial y cuándo la cobra o no.

En diciembre de 2019 asumió como subsecretario de Coordinación de Medios de la provincia de Buenos Aires. De allí, donde manejó la publicidad oficial del gobierno de Axel Kicillof, desembarcó en la Administración Federal de Ingresos Públicos (AFIP), cuando asumió su mando Carlos Castagneto, un aliado de Fernández de Kirchner. En una primera etapa quedó a cargo de la comunicación del organismo y luego fue nombrado subdirector general de Servicios al Contribuyente de la AFIP.

5. Cómo se financiaba

“Conu” Rodríguez cae en la mira de la Justicia en parte por este punto. Zanchetta conservó fotografías de uno de los chats de Telegram con el funcionario, en los que el referente de La Cámpora le solicitaba armar “un parte” y una publicación sobre Victoria Tolosa Paz con datos sensibles sobre su vida personal, política, económico-financiero y comercial, justo cuando Alberto Fernández deja trascender que la nombraría ministra de Desarrollo Social, una cartera codiciada por La Cámpora y otros sectores del kirchnerismo.

En el chat fotografiado, Rodríguez le indicaba a Zanchetta que se inscribiera como proveedor del Ministerio de Comunicación Pública bonaerense, organismo en el que Rodríguez se desempeñó como subsecretario entre diciembre de 2019 y agosto de 2022 y donde dijo que aún tenía “a su gente” trabajando.

Zanchetta facturaba la pauta para su portal bajo la razón social “Carla Vanina Cirillo” y resultó adjudicatario de publicidad oficial por $80.000 en agosto de 2022, $150.000 mensuales en septiembre y octubre de 2022, y $200.000 mensuales entre noviembre de 2022 y junio de 2023, cuando el expolicía quedó detenido.

Hasta el momento, la fiscalía sólo pudo recuperar la conversación fotografiada por Zanchetta, ya que que el chat entre él y Rodríguez estaba configurada para que se borraran automáticamente en un día. 

6. Qué hay sobre el diputado Rodolfo Tailhade en el expediente

Aparece manteniendo al menos tres chats con Zanchetta. Hasta ahora -todavía resta analizar el contenido de muchos dispositivos secuestrados-, los investigadores no ponen el foco en Tailhade -como sí lo hicieron sobre Rodríguez- debido a que el contenido de las conversaciones no arrojó la comisión de delitos ni el intercambio de dinero.  Tailhade afirmó que los únicos chats que le respondió a Zanchetta son las tres conversaciones que se hicieron públicas. Sin embargo, “está siendo investigado”, aseguró una fuente directa de la causa a elDiarioAR.

En los chats, Zanchetta le ofrece información sobre las causas judiciales contra Elisa Carrió en un archivo que Tailhade afirmó que nunca abrió; información sobre Luis Juez, que el diputado dice que solicitó pero nunca recibió; y una tercera conversación en la que el expolicía le pasó el link público con los chats hackeados del caso Lago Escondido, que habían salido publicados ese domingo previamente, dijo el diputado. 

Tailhade afirma que Zanchetta se presentó como “periodista” y que se lo presentó alguien de su espacio político. Pidió ser querellante en la causa debido a que trascendió que está entre los políticos sobre los que Zanchetta reunió información sensible de las bases de datos que consultaba. La oposición solicitó su apartamiento de la comisión de Juicio Político de la Cámara de Diputados que lleva adelante el proceso contra los jueces de la Corte.

7. Qué tiene que ver Zanchetta con el hackeo a los jueces y al exministro de Seguridad porteño

No está claro aún para los investigadores, pero se indaga sobre un nexo entre el expolicía y el misionero acusado. Ese hackeo se realizó en la provincia de Misiones y fue instrumentado a través de tarjetas SIM gemelas por el joven misionero Ezequiel Núñes Pinheiro, a quien se le adjudicó el hackeo a los celulares del ex ministro de Seguridad porteño Marcelo D’Alessandro; del diputado Diego Santilli; y de los jueces Mariano Borinsky, Gustavo Hornos, Rodrigo Giménez Uriburu y Andrés Basso. Los últimos cuatro intervinieron en causas y juicios contra Fernández de Kirchner.

Otra línea de investigación es la que originó la denuncia del presidente de la Corte, Horacio Rosatti: la creación de líneas de teléfono a su nombre. 

Núñes Pinheiro declaró ante la Justicia que realizó los hackeos a pedido de una persona que lo contactó por la aplicación de mensajería Telegram, al que dijo desconocer. Recibió un pago en criptomonedas pero aún no se conoce quién fue el autor del pago y del encargo.

Para realizar el hackeo en 2022, se necesitaban secuestrar las líneas de teléfono con tarjetas SIM gemelas que les permitieran ingresar al contenido de Whatsapp, Telegram y otras aplicaciones, tomar la información y desactivar el secuestro virtual. Para secuestrar las líneas necesitaban claves de acceso y para descifrarlas utilizaron bases de datos con información que se suele utilizar como clave: fechas de cumpleaños, por ejemplo, direcciones, nombres de los hijos, entre otros datos.

Zanchetta realizó unas 2.000 búsquedas en 2022. Una de ellas a Rosatti, pero también a otros jueces, políticos y sindicalistas en las fechas de los hackeos o procedimientos ilegales sobre las líneas. Se cree que podría haber sido el proveedor de datos esenciales para cumplir el objetivo descrito. En dicha base de datos se pueden obtener los números de teléfonos celulares. Zanchetta dijo que buscó los datos para su trabajo periodístico. 

8. Qué tipo de tareas de inteligencia realizaban

Entre las tareas que realizaba por encargo, la fiscalía detectó vigilancia, grabaciones ocultas, búsqueda de datos confidenciales y públicos. También escribía operaciones de prensa, a través de su portal basado en Junín.

“Estos informes de inteligencia poseen distinto nivel de detalle —o de avance sobre la intimidad de las personas—, y contienen información de distinta índole como opiniones políticas, creencias religiosas, acciones privadas, relaciones íntimas, fotografías, orientaciones sexuales, vínculos familiares y de amistad, situación patrimonial en el país y en el exterior, participación en sociedades y en distintas actividades, presunta participación en hechos delictivos o en causas penales”, afirmó Pollicita en un dictamen que consta en la causa.

“En muchos de estos documentos se observa que la información volcada no se limita a la persona sobre la que se centró la actividad investigativa sino que también avanza sobre ‘objetivos secundarios’, es decir, personas que tendrían vínculos familiares, sentimentales o comerciales con la persona objeto del informe”, detalló el fiscal.

“Habría incluido (entre sus servicios), cuanto menos, la realización de tareas ilegales de inteligencia, la recopilación, almacenamiento, sistematización y análisis de información, la filmación subrepticia de los objetivos y el acceso indebido a bases de datos de acceso restringido de organismos públicos y a correspondencia privada”. 

9. A quiénes espiaban

El fiscal detalló en uno de sus dictámenes que Zanchetta investigó “a cientos de personas -políticos, magistrados, funcionarios públicos, periodistas, empresarios, artistas, dirigentes sociales, deportivos y sindicales, entre otros-. 

Entre los jueces, se encuentran Rosatti, Lorenzetti y Juan Carlos Maqueda; Hornos y Borinsky; Leopoldo Bruglia y Pablo Bertuzzi; Ricardo Bustos Fierro y Ernesto Kreplak. También Silvio Robles, vocero y mano derecha de Rosatti, el procurador general de la Nación, Eduardo Casal; Rodolfo Canicoba, Sebastián Casanello, Carlos Stornelli, Juan Ignacio Bidone.

La lista sigue con Alberto Fernández, Sergio Massa, Javier Milei, Patricia Bullrich, Horacio Rodríguez Larreta, Juan Manuel Urtubey, Axel Kicillof, Gustavo Bordet, Gerardo Morales, Rodolfo Suárez, Gerardo Zamora, José Alperovich, Jorge Capitanich, Antonio Bonfatti, Omar Perotti, Gustavo Valdés, Elisa Carrió, Miguel Pichetto, Graciela Camaño, Diego Santilli, Carolina Piparo, Florencio Randazzo, Cristian Ritondo, Joaquín de la Torre, Julio Garro, Néstor Grindetti, Jorge Macri, Jaime Méndez Curuchet, Mariano Cascallares, Martín Insaurralde, Julio Zamora, Malena Galmarini, Gerardo Milman, Eduardo de Pedro, Máximo Kirchner, Amado Boudou, Mario Meoni, Mariano Recalde, Javier Iguacel, Felipe Solá, Alfredo Luenzo, Julieta Quintero Chasman, Luis Barbier, Daniel Lipovetzky, entre otros políticos.

Además, Victoria Tolosa Paz, Guillermo Dietrich, Alberto Remigio Abad, Martín Ocampo, Gustavo Arribas, Silvia Majdalani, José María Olazagasti, Matías Kulfas, Juan Martín Mena, Carla Vizotti, Sergio Berni, Santiago Cafiero, Carlos Castagneto, César Gerardo Milani, José Potocar, Juan Martín Paleo, Juan José Gómez Centurión, Nicolás Kreplak.

Jorge Fontevecchia, Claudio Savoia, Luis Novaresio, Roberto Navarro, Christian Sanz, Ángel Pedro “Baby” Etchecopar, Pablo Duggan, Angelo Calcaterra, Ernesto Clarens, Marcelo Tinelli, Alfredo Coto, Hugo Krajnc.

Entre los artistas, Teresa Parodi, Tristán Bauer, Alfredo Casero, David Adrián Martínez (“Dipy”) y entre los dirigentes sociales, Juan Grabois y Milagro Sala. También Daniel Angelici, Juan Sebastián Verón, Rodolfo D’Onofrio, Claudio Tapia, Hugo Moyano, Roberto Baradel, Pablo Micheli y Omar Plaini.

10. ¿Hay una organización detrás de Zanchetta y el hacker misionero?

El fiscal Pollicita, en sus dictámenes, habla de “la posible existencia de una organización criminal que, en forma coordinada y sostenida en el tiempo, habría llevado a cabo un conjunto de acciones tendientes a vulnerar las comunicaciones telefónicas y electrónicas de distintos magistrados y funcionarios del Poder Judicial de la Nación, obteniendo datos personales para suplantar sus identidades, tomando el control de sus líneas de celulares, accediendo a sus aplicaciones de mensajería e incluso -en un supuesto- haciendo requerimientos de dinero a su nombre.

Sin embargo, esta línea de investigación está en proceso.

ED/DTC

El submundo del espionaje ilegal volvió a emerger a la superficie con el nuevo escándalo mediático de la semana y expuso, nuevamente, el funcionamiento de una “comunidad informativa” al servicio de funcionarios, candidatos y estudios jurídicos. Un submundo en donde proliferan seudoperiodistas, policías, hackers e inorgánicos de la Secretaría de Inteligencia (SIDE). Un ecosistema desordenado, desprolijo, sin un jefe que organice -como en otras épocas-, sin verticalidad. Armadores de “carpetas” al mejor postor. Fuego amigo o enemigo. Oficialismo y oposición. Nunca ajeno a las campañas electorales e internas políticas. Así lo explicaron a elDiarioAR fuentes y documentos judiciales, investigadores, víctimas y contactos de estos cuentapropistas del espionaje ilegal. 

Una de esas redes quedó en evidencia esta semana en un caso que investiga el fiscal federal Gerardo Pollicita y que expuso el funcionamiento y los contactos de Ariel Zanchetta, un ex policía federal. Zanchetta -quien asegura ser periodista, escribe en sitios web y cobraba pauta oficial- entregaba información sobre personalidades públicas al funcionario Fabián “Conu” Rodríguez, actual subdirector general de Servicios al Contribuyente de la Administración Federal de Ingresos Públicos (AFIP) y previamente encargado del área de prensa de Carlos Castagneto, titular de AFIP.

El funcionario es uno de los referentes de comunicación de La Cámpora, espacio que responde a la vicepresidenta Cristina Fernández de Kirchner, y encargado durante años de la asignación de pauta oficial, confirmó una fuente del kirchnerismo a elDiarioAR. Este lunes, el juez federal Marcelo Martínez de Giorgi ordenó allanamientos en su domicilio y su oficina en la AFIP. En la casa de Rodríguez se secuestraron 11 notebooks y 12 teléfonos celulares, además de dos discos externos y numerosos pendrives, que deberán ser peritados, informó una fuente directa de la investigación. 

En su oficina en la AFIP se secuestró otra computadora portátil. 

Rodríguez, quien aún no presentó abogado en el expediente, quedó comprometido porque de la información secuestrada con anterioridad al expolicía Zanchetta surgió que hubo intercambio de dinero público entre el funcionario y el supuesto periodista a cambio de tareas de supuesto espionaje. El funcionario le consiguió pauta oficial del gobierno de la provincia de Buenos Aires por $200.000 mensuales a cambio de que el expolicía armara “partes” y luego publicara “notas”. El dinero público fue asignado por el Ministerio de Comunicación Pública bonaerense, organismo en el que Rodríguez se desempeñó como Subsecretario de Coordinación de Medios entre diciembre de 2019 y agosto de 2022.

El caso que más compromete a Rodríguez es el encargo que le hizo a Zanchetta para investigar a Victoria Tolosa Paz, días antes de que asumiera como ministra de Desarrollo Social del gobierno de Alberto Fernández. El funcionario le informó al expolicía en qué country vivía Tolosa Paz y le solicitó un “parte” y una nota símil periodística para publicar en un sitio web, EnClave.ar, en el que Zanchetta hacía sus aparentes operaciones. El “operador” cumplió con ambas tareas, según determinó el fiscal Pollicita en uno de sus dictámenes. 

El “parte” sobre la entonces futura ministra Tolosa Paz incluía “antecedentes laborales, monto de salarios, información crediticia, bancos y cifras con las que opera, constancias de AFIP, participaciones societarias en dos empresas, expedientes civiles y estatuto social, titularidad de automotores e inmuebles, declaraciones juradas patrimoniales de los años 2018 y 2019, imágenes satelitales de su vivienda, información de un supuesto testaferro —con fotografía— y de una propiedad en Miami, Florida, Estados Unidos de América registrada a nombre de aquel”, detalló el fiscal.

Zanchetta tenía otros clientes, como la Municipalidad de San Isidro, a cargo de Gustavo Posse, precandidato a vicegobernador de la provincia de Buenos Aires en la fórmula encabezada por Diego Santilli (Juntos por el Cambio). El municipio le destinó al sitio EnClave.ar -vinculado a Zanchetta en el expediente judicial- publicidad oficial $98.000 mensuales entre mayo y octubre de 2023. En dicho portal pueden leerse notas asiduas y amigables con la gestión de Posse, como esta: “Sigue el legado y la buena gestión: Macarena Posse será candidata a intendenta en San Isidro”.

Lo mismo sucedía con la Municipalidad de Leandro N. Alem, que informó a la Justicia que había aprobado el pago de $20.000 por mes en concepto de publicidad oficial al portal vinculado a Zanchetta entre marzo y mayo de 2023. Hay diversas notas sobre el intendente Carlos Ferraris (Frente de Todos).

¿Cómo funciona el negocio de los seudoperiodistas y el espionaje ilegal? elDiarioAR consultó a un exfuncionario que los padeció y quien explica que hay distintos servicios y métodos. La mayoría de las veces, en los casos más sofisticados, requieren ser parte de la “comunidad informativa”.

“Comunidad informativa”

Ariel Zanchetta se desempeñó durante 25 años como agente de la Policía Federal Argentina (PFA), entre 1988 y 2013, y también habría sido “agente inorgánico” de la Secretaría de Inteligencia (SIDE), luego AFI, durante al menos seis años, entre 2009 y 2015, de acuerdo a la información reunida por la fiscalía.

El fiscal detalló en uno de sus dictámenes que Zanchetta investigó “a cientos de personas —políticos, magistrados, funcionarios públicos, periodistas, empresarios, artistas, dirigentes sociales, deportivos y sindicales, entre otros— y habría incluido (entre sus servicios), cuanto menos, la realización de tareas ilegales de inteligencia, la recopilación, almacenamiento, sistematización y análisis de información, la filmación subrepticia de los objetivos y el acceso indebido a bases de datos de acceso restringido de organismos públicos y a correspondencia privada”. elDiarioAR intentó comunicarse con su abogado este lunes, pero no recibió respuesta hasta el momento. 

Hay muchos Zanchetta en el sistema. Se hacen llamar periodistas, tienen sus propios sitios web o programas radiales o televisivos

Zanchetta dijo ante la Justicia durante su declaración indagatoria que ejerce como periodista y que publicaba en el sitio EnClave.ar, que dejó de actualizar su página tras la detención del expolicía.

Hay muchos Zanchetta en el sistema. Se hacen llamar periodistas, tienen sus propios sitios web o programas radiales o televisivos. Hay decenas de portales de seudonoticias como el que se le atribuye.

Algunos trabajan por encargo, como en el caso del “parte Tolosa Paz”; otros son más emprendedores y generan sus potenciales clientes. Arman los “partes” o “carpetas” e intentan “venderlas” a los investigados. “Primero te publican una operación de poca monta en su sitio web, por ejemplo, algo sobre la vida personal. Después te hacen llegar o te comunican que tienen otra cosa más importante o que puede generar mayores problemas y ahí es cuando te piden plata, en negro o en forma de pauta oficial”, explicó un exfuncionario a este medio.

No se trata de grandes espías sino personas del sistema con red de contactos personales: alguien en la Dirección de Migraciones con clave de acceso; o en el Registro de la Propiedad Inmueble; o en el Registro Automotor. Eso es lo que se llama formar parte de la “comunidad informativa”, explican en la Policía Federal, que permite el intercambio de información de bases de datos oficiales y confidenciales. Pero en lugar de ser al servicio de un fin oficial, es para un fin privado y de lucro. Los estudios jurídicos también los utilizan como fuente de información, explicó la fuente.

“La AFIP siempre fue el fuerte de la comunidad informativa de estos tipos porque ahí sí conseguían data más sofisticada”, explica el exfuncionario. Desde consumo de tarjetas de crédito hasta deudas y declaraciones patrimoniales.

“Son servicios al mejor postor. Antes este tipo de espionaje lo hacía el propio Estado a través de la exSIDE, ahora se terceriza”, explicó uno de los investigadores. “El caso de Tolosa Paz es el que mejor demuestra cómo trabajan. Es la punta del ovillo de una operación política, en el marco de una interna dentro del oficialismo”, agregó la fuente consultada.

“El policía es el eslabón más débil, el primero que cae cuando estas redes salen a la luz”, asegura una fuente en la fuerza. El nivel, además, deja que desear, dice el bien entendido. “Espían mal y dejan los dedos pegados”. Zanchetta tenía en sus dispositivos capturas de los chats que lo comprometían.

Efecto Tailhade

El diputado Rodolfo Tailhade (Frente de Todos) aparece en los chats de Zanchetta. Conocido por su rol de alto perfil en el juicio político contra la Corte Suprema, las denuncias contra Mauricio Macri y Patricia Bullrich, se convirtió esta semana en blanco de las críticas de la oposición y de un sector de los medios. Rápidamente, Juntos por el Cambio (JxC) capitalizó una serie de datos publicados en crónicas periodísticas en las que exponían conversaciones entre un expolicía detenido y procesado en el caso y el diputado. 

Hasta ahora -todavía resta analizar el contenido de muchos dispositivos secuestrados-, los investigadores no ponen el foco en Tailhade del mismo modo en que lo hicieron con Rodríguez, debido a que el contenido de las conversaciones no arrojó la comisión de delitos ni el intercambio de dinero. 

Sin embargo, en conferencia de prensa, Juntos por el Cambio solicitó que Tailhade sea investigado en la comisión bicameral de Inteligencia. Durante la tarde de este lunes trascendió que pedirían el desafuero del legislador pero el diputado no tiene orden judicial de allanamientos ni detención en su contra. Tampoco fue citado a declarar, ni como testigo ni como imputado. Está siendo investigado, informó una fuente con acceso directo a la causa.

Tailhade dijo en una entrevista en la radio AM750: “Esto es una operación de la mafia”. Aseguró que se trata de una “operación” de “(Silvio) Robles y (Horacio) Rosatti”. “Ese es el verdadero origen de todo esto. Ya sea judicial o mediático. Ellos armaron esta operación berreta”, afirmó Tailhade. Se refiere al juez Rosatti, presidente de la Corte Suprema, y a su mano derecha y vocero, Robles, a quien Tailhade interrogó en la comisión de Juicio Político, en el marco del proceso contra los jueces del máximo tribunal. 

La causa contra Zanchetta tiene a otro procesado y detenido, el misionero Ezequiel Núñez Pinheiro, a quien se le adjudica en la Justicia el hackeo a los celulares del ex ministro de Seguridad porteño Marcelo D’Alessandro; del diputado Diego Santilli; y de los jueces Mariano Borinsky, Gustavo Hornos, Rodrigo Giménez Uriburu y Andrés Basso. Los últimos cuatro intervinieron en causas y juicios contra Fernández de Kirchner.

Robles también fue blanco de un intento de hackeo de Pinheiro y pidió ser querellante en el expediente.

Zanchetta “obtuvo y almacenó datos personales” sobre decenas de personalidades públicas, entre ellos, Rosatti y sus colegas de la Corte Suprema, Ricardo Lorenzetti y Juan Carlos Maqueda; de Hornos y Borinsky; de los también jueces federales Leopoldo Bruglia, Pablo Bertuzzi, Ricardo Bustos Fierro y Ernesto Kreplak. También de Silvio Robles, dice uno de los dictámenes del fiscal Pollicita.

“No sé quién es (Zanchetta) -respondió Tailhade-. Nunca lo vi. Tengo tres mensajes de él. Dos contestados con un ‘gracias’ y otro sin contestar. Y después en WhatsApp tenía un montón de notas que me iba mandando. Pero no tenía una relación ni por qué sospechar”. “Se presentaba como periodista. Verifiqué el medio, era de Junín. Nunca me pareció demasiado serio y por eso no le presté atención. Pero tengo cero miedo a la mafia de Comodoro Py. Voy a seguir adelante con esto. Todas las conversaciones que me mandaba supongo que se pueden rescatar desde la nube o algún lugar”.

“Hace 17 días le pedí a Martínez de Giorgi que si consideraba que me tenía que citar, me cite de inédito. Nunca me llamó. No sé si querrá que pasen seis años, como pasó en Parques Eólicos, como le pasó a Macri”, se quejó contra el juez de la causa.

ED/DTC

Cuando elDiario.es avanzó su primera detención, en marzo de 2022, aún no se podía citar su nombre o publicar detalles sobre su vida. El sospechoso de liderar el grupo Lapsus$, una de las bandas de ciberdelincuentes más activas y peligrosas en aquel momento, era un menor de solo 16 años. Ahora, ya cumplida la mayoría de edad, un tribunal de Londres dirimirá la implicación de Arion Kurtaj en los ciberataques contra Microsoft, Vodafone, Nvidia, Samsung, Uber, el Gobierno de Brasil o las desarrolladoras de videojuegos Ubisoft y Rockstar Games. No obstante, los jueces no declararán la inocencia o culpabilidad del joven, que fue declarado no apto para ser juzgado por motivos psiquiátricos.

Kurtaj es un joven residente en Oxford de ascendencia albana. Su actividad en las redes sociales mostraba su gran afición a la pesca, que compartía con su tío, así como algún tipo de neurodiversidad, que la BBC identificó más tarde con un trastorno del espectro autista. La fiscalía británica considera que él y otro joven de 17 años eran “actores clave” en Lapsus$. Se le imputan 12 delitos, entre ellos tres de chantaje, dos de fraude y seis de uso indebido de ordenadores, recoge la agencia Reuters.

La trayectoria de Lapsus$ fue meteórica y muy agresiva. Su primer ciberataque confirmado se produjo en diciembre de 2021 contra el Ministerio de Sanidad de Brasil, donde robaron 50 terabytes de información. Poco después, ya en enero de 2022, realizaron una ofensiva que se considera clave en las acciones posteriores del grupo al conseguir penetrar en Okta. Esta firma proporciona servicios de identificación digital a los empleados de otras empresas, las credenciales virtuales para que los sistemas informáticos de las multinacionales sepan quién puede acceder a qué.

Ya sea por la información obtenida de la propia Okta o de la experiencia obtenida del funcionamiento de sus llaves maestras digitales, Lapsus$ se especializó en entrar hasta la cocina de grandes empresas para, fingiendo ser sus propios empleados, sustraer sus archivos más sensibles. Es lo que hizo con Nvidia, el fabricante de las tarjetas gráficas más buscadas por los aficionados a los videojuegos y, ahora, por los desarrolladores de inteligencia artificial.

El ciberataque a Nvidia también dio otras pistas a los investigadores. Lapsus$ pidió dinero a cambio de no vender a terceros los datos robados, pero también hizo otra curiosa exigencia: que Nvidia volviera a configurar sus tarjetas gráficas para que fueran capaces de minar criptomonedas, algo que la compañía había bloqueado al comprobar que su buen rendimiento en esta materia había disparado su precio y las había hecho casi imposibles de conseguir para los consumidores.

El secreto de Lapsus$

Esa petición a Nvidia desató las dudas de los investigadores. Lapsus$ acumulaba ciberataques muy importantes, pero no era acorde con las prácticas de los ciberdelincuentes profesionales. Estos, por regla general, evitan colocarse en el foco y su principal objetivo es desaparecer tras cerrar el negocio, ya sea extorsionando a la víctima o subastando la información robada al mejor postor. Tras dar un buen golpe, también es habitual que desaparezcan o permanezcan inactivos un tiempo para evitar dejar pistas a las fuerzas de ciberseguridad.

Todo lo contrario de lo que hizo Lapsus, que en vez de ocultarse se fue directo contra los peces más gordos de la pecera. Atacó y robó a Microsoft, que cuenta con algunos de los mejores equipos de ciberseguridad del planeta. Filtró datos de nuevos dispositivos en los que Samsung estaba trabajando. Penetró en las redes de T-Mobile, participó en una gran oleada de ciberataques en Portugal, atacó a la tecnológica Globant, a Ubisoft, al portal de comercio electrónico argentino Mercado Libre. Todo ello en cuestión de un par de meses, llegando incluso a anunciar en redes sociales sus próximos ataques.

A los ciberdelincuentes no les conviene llamar la atención porque pueden convertirse en objetivo de otras bandas. Es lo que ocurrió con la avalancha de hackeos de Lapsus$ y con su supuesto líder, Arion Kurtaj, que acumulaba una fortuna de 10 millones de euros cuando fue detenido por primera vez con 16 años. El joven fue víctima de un ataque de doxing, que consiste en publicar en Internet una gran cantidad de información privada de una persona, como su nombre completo, dirección, documento de identidad, ocupación, fotografías, datos de su familia, etc. Es una maniobra habitual entre ciberdelincuentes, que protegen con celo su identidad.

El doxing contra Kurtaj llevó a su detención inmediata por parte de la policía británica, junto a otros seis jóvenes relacionados con las actividades de Lapsus$, varios de ellos menores de edad. Se revelaba así el secreto de Lapsus$, el grupo de adolescentes que había logrado hackear algunas de las multinacionales más importantes con un líder que operaba desde su habitación en casa de sus padres. Pero Kurtaj no había dicho su última palabra.

GTA VI: un último gran golpe

Lapsus$ se caracterizó por acceder a archivos confidenciales de empresas utilizando credenciales de sus propios trabajadores. Las conseguían extorsionando a esos empleados, comprándoselas por altas sumas, logrando acceder a sus cuentas mediante el timo de la SIM, hackeándoles sus cuentas de email o las de sus proveedores. Cualquier método que les llevara hasta esas llaves digitales les valía. En septiembre de 2022, menos de seis meses después de la detención de Kurtaj, Uber denunció haber sufrido otro ciberataque con estas mismas prácticas.

Había dos opciones. Es habitual que los ciberdelincuentes se copien las tácticas unos a otros cuando resultan exitosas, y las de Lapsus$ lo habían sido. La otra es que alguien del propio grupo hubiera vuelto a la acción. El dilema se resolvió poco después cuando Kurtaj, ya en solitario pero al más puro estilo que rigió a la banda, volvía a salir de caza mayor apenas unos días después con una gran filtración del videojuego GTA VI. Un título que promete miles de millones de euros de beneficios para su desarrolladora, Rockstar Games, pero del que Kurtaj presuntamente filtró un gran número de detalles años antes de su lanzamiento (que se espera para 2024 o 2025).

Se desconoce si el joven llegó a exigir algún pago a Rockstar antes de liberar la información sobre GTA VI, que se componía de más de 90 vídeos que mostraban tanto a sus protagonistas como el espacio donde se desarrollará la acción. Datos como estos se dirimirán en el juicio sobre sus acciones, en el que la policía británica también le acusa de haber accedido a sus sistemas tras su detención. Aunque no podrá se condenado, el proceso también ayudará a esclarecer la trayectoria del joven, uno de los pocos casos en los que el imaginario colectivo del hacker adolescente que se divierte burlando la seguridad informática mundial y la historia real encajan a la perfección.

La jueza porteña Araceli Martínez, quien investigaba el hackeo a Marcelo D'Alessandro, exministro de Justicia y Seguridad porteño, se declaró incompetente y dispuso el envío de la causa a la Justicia Federal de Comodoro Py, según fuentes judiciales. La magistrada lo hizo en favor de Sebastián Ramos, que tramita el expediente de Lago Escondido: allí se investiga la presunta aceptación de dádivas por parte de funcionarios y magistrados ofrecidas por empresarios, pero también si sus comunicaciones fueron hackeadas.

La decisión de Martínez trascendió este lunes, pero fue tomada el 28 de abril por un planteo de la fiscal Daniela Dupuy, a cargo de la investigación, quien logró detectar que el hackeo al exministro lo llevó a cabo un joven llamado Elías Ezequiel Núñez Pinheiro desde Eldorado, Misiones, de acuerdo con el expediente.

Por otro lado, de Lago Escondido se encuentran el propio D’Alessandro; Juan Bautista Mahiques, Fiscal General porteño; los jueces Carlos Alberto Mahiques, Julián Ercolini, Pablo Yadarola y Pablo Cayssials; Leandro Bergoth, exfuncionario de la SIDE y los empresarios Tomás Reinke, Pablo César Casey y Jorge Rendo, los últimos dos de Grupo Clarín.

“La solicitud de incompetencia presentada por la Dra. Dupuy, implica tácitamente el reconocimiento, por parte de la directora de la investigación, que las medidas urgentes ya se han agotado y en consecuencia, corresponde en este preciso momento, adoptar la resolución que el frenesí de la investigación aconsejó posponer hasta este día”, sostuvo Martínez en el fallo de 16 páginas.

En el escrito, la magistrada recordó que en la causa tramitada por Ramos -quien deberá decidir si acepta la remisión- se “investiga tanto la posible aceptación por parte de funcionarios públicos y magistrados, de determinados servicios de costo económico ofrecidos por empresarios, en razón de los cargos que ejercían y posiblemente por intervenciones que pudieron tener en casos puntuales ligados a los roles que poseen” como “el hackeo y espionaje que habrían conducido, de forma delictiva a acceder a las comunicaciones realizadas desde los teléfonos de las personas implicadas”.

“Por lo demás y adunando la propuesta de asignación al Juzgado Criminal y Correccional Federal 2, es de destacar que el resultado de las maniobras de hackeo y espionaje derivó en la obtención y publicación de comunicaciones que, de chequearse su veracidad, poseería superlativa relevancia e innegable vinculación con los hechos principales que se investigan en ese Tribunal de excepción, en el marco de la causa aludida”, agregó Martínez.

La jueza porteña relató en la resolución que llegaron a la supuesta identidad del hacker a partir de información brindada por la compañía Nosis, a cuya plataforma había ingresado el imputado para obtener o corroborar datos de D'Alessandro, los cuales luego le permitirían realizar la maniobra de Sim Swapping que le permitiría acceder a sus mensajes de Telegram.

El Sim Swapping consistió en obtener un nuevo chip, hacerlo pasar por el de D'Alessandro y pedirle a la compañía de telefonía celular del exministro la recuperación de su línea telefónica; lo que logró tras responder una trivia por Internet donde se le requirieron determinados datos personales de la víctima del hackeo.

Además, Nosis dijo que desde el celular en que se consultó el perfil comercial de D'Alessandro se registraron 16 usuarios en el año 2022, donde se realizaron consultas respecto de setenta y dos (72) personas, entre las cuales se encuentran varias quienes denunciaron ante la Justicia Federal haber sido víctimas de Sim Swapping.

“Dichas personas damnificadas son: Rodrigo Giménez Uriburu (juez), Andrés Fabián Basso (juez), Gustavo Marcelo Hornos (juez), Cristian Vanesa Figueroa Figueroa, Verónica Salido, Luis Esteban Barbier, María Eugenia Piperio, Diego Cesar Santili y el denunciante en estas actuaciones Marcelo Silvio D'Alessandro”, enumeró la jueza Martínez.

Por último, la magistrada hizo hincapié en que “la empresa Nosis ha hecho saber además que advirtió una regularidad entre las contraseñas seleccionadas para los dieciséis (16) perfiles en cuestión, puesto que solo se han utilizado dos contraseñas para todos los dieciséis usuarios”.

LC con información de agencia Télam

Todo empezó con una advertencia del FBI de cara al viernes santo. “Evite utilizar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Actores malintencionados han descubierto formas de utilizar los puertos USB públicos para introducir malware y software de vigilancia en los dispositivos. Lleve su propio cargador y cable USB y utilice una toma de corriente”, publicó en Twitter la cuenta del organismo en Denver.

Es un aviso de ciberseguridad que podría haber emitido prácticamente cualquier institución del mundo. Como cita el cuerpo de seguridad estadounidense, el uso de estos puntos de recarga está desaconsejado: para un ciberdelincuente sería posible engancharse a ellos y comprometerlos para infectar cualquier dispositivo que se conecte a continuación. La práctica se conoce como juice-jacking o “estafa del cargador” y pese a que ha sido descrita muchas veces en los últimos años, el tuit del FBI se ha viralizado hasta convertirse en uno de los más compartidos de la historia de su cuenta.

El motivo es que alrededor del comentario del FBI se ha organizado una discusión en la que están participando expertos en ciberseguridad de todo el mundo. Su debate es si esta práctica es tan insegura como se transmite normalmente al público general. “No hay ni una sola prueba documentada de que se haya comprometido algún dispositivo con juice-jacking”, es el argumento más repetido por los críticos. ¿Es posible hacerlo? Sí. ¿Se ha hecho de verdad alguna vez? La comunidad de expertos de ciberseguridad no tiene constancia de ello.

“Es posible, pero no nos consta ningún caso real o malicioso sobre este tema”, explica a elDiario.es una portavoz del Instituto Nacional de Ciberseguridad (Incibe), el organismo español encargado de promover la seguridad digital de ciudadanos y empresas privadas. Pese a ello, el Incibe también tiene un artículo sobre los “Peligros de cargar tu móvil en el aeropuerto” en el que aconseja no hacerlo: “El riesgo de robo de información es alto, ya que el ciberdelincuente puede obtener acceso a cualquier dato en nuestro móvil, como, por ejemplo, fotos, ubicación, historial de llamadas, datos de aplicaciones, archivos, información bancaria, certificados digitales…”.

“Desde el punto de vista de la seguridad física, hace unos años surgieron unos pequeños dispositivos llamados USB Killers, que tienen en su interior unos condensadores con la función de generar altas descargas eléctricas (de hasta 220V), que pueden dañar el dispositivo y dejarlo totalmente inservible”, continúa el organismo: “Los ciberdelincuentes también pueden usar un sistema de comunicación conocido como AT, que se desarrolló hace unos años para permitir la comunicación entre módem y ordenador, que permite obtener información a través de la ejecución de unos sencillos comandos, como el IMEI, el número de teléfono, la conexión actual, etc.”, añade.

Mientras las instituciones optan por matar al perro y desaconsejar el uso de cualquier punto de recarga, el debate entre los especialistas ha evolucionado en varias direcciones. Una de ellas es si merece la pena que el usuario medio se exponga a otro tipo de problemas (como quedarse incomunicado en medio de un viaje) por evitar la posibilidad real pero remota de que su dispositivo sea infectado a través de uno de estos puertos. “Mira, ¿deberías acostumbrarte a usarlos? Para estar seguro, quizá no. Pero si tu teléfono está a punto de quedarse sin batería y no llevas un cargador encima, ¿deberías preocuparte tanto por usarlo como para dejarlo morir? No hay pruebas de ello”, resumía un abogado y forense digital.

Un condón digital

“Aunque no haya un caso [de juice-jacking] conocido, yo con mi gorro de investigador en ciberseguridad tengo que recomendar que la gente no se conecte porque técnicamente es posible hacerlo”, comenta a elDiario.es Guillermo Suárez-Tangil, especialista en análisis y detección de malware inteligente del Instituto Madrileño de Estudios Avanzados (IMDEA Networks). “No me sorprendería que se pudiese explotar una vulnerabilidad en versiones de algunos sistemas operativos de Android usando estos cargadores y que lo descubriéramos pasados unos años”, afirma.

“También es cierto que a lo mejor para usuarios finales esto no es algo que les debiera preocupar tanto”, añade a continuación el experto: “Si tienes un perfil más alto sí que hay que tomar ciertas precauciones, igual que los gobiernos con los teléfonos oficiales de sus empleados públicos, pero el usuario final no tiene por qué seguir este tipo de recomendaciones tan a fondo”.

Suárez-Tangil destaca además que hay métodos relativamente sencillos para asegurar la protección del dispositivo y evitar incidentes. Uno de ellos son los conocidos como “condones USB” o data blockers, que se conectan entre al cable de carga y evitan que este se utilice como vector de infección al taponar el paso de cualquier tipo de dato. Valen menos de 10 euros, por lo que son más baratos que las baterías portátiles que suelen recomendar los organismos de ciberseguridad.

Aunque el condón evite cualquier contagio, tanto este especialista como el Incibe recuerdan que la mayoría de sistemas operativos tienen la opción de desactivar la transferencia de datos a través de cable.

Si no hay pruebas de hackeo, ¿de dónde sale el aviso?

La otra línea de la discusión abierta entre los expertos en torno al juice-jacking ha sido desentrañar por qué las instituciones de seguridad empezaron a alertar sobre esta práctica. Lo que han descubierto es que al final de esa cadena no hay nada.

“Un agente del FBI me dijo que la advertencia de la oficina de Denver estaba basada en información de la FCC [la Comisión Federal de Telecomunicaciones estadounidense]”, revela en Mastodon Dan Goodin, editor de ciberseguridad de Ars Technica. “Un portavoz de la FCC me dijo que su información provenía de un artículo del 2019 de New York Times. Ese artículo citaba una advertencia de la oficina del fiscal de Los Ángeles, que fue retirada en diciembre de 2021, un par de semanas después de que se informara que los funcionarios de la oficina del fiscal no tenían casos y no podían confirmar que esto sucediera”.

“Sigo siendo escéptico de que el juice-jacking sea una amenaza en absoluto. ¿Qué pruebas hay que demuestren lo contrario?”, insistía Goodin: “Si puedo infectar tu dispositivo engañándote para que lo conectes a mi cable de alimentación trampa, me parece que tengo un 0day muy valioso que los fabricantes de dispositivos Apple y Android querrían parchear de inmediato. ¿Cómo es posible que esta amenaza haya existido durante tantos años sin ningún parche?”, se preguntaba.

Este es otro de los argumentos de los críticos. Un hacker que descubriera un agujero de seguridad de este tipo podría rentabilizarlo mucho más fácilmente comunicándoselo a las propias empresas afectadas que intentando ciberatacar indiscriminadamente a otros usuarios. El motivo es que si los ciberdelincuentes tendrían un método para colarse en los dispositivos de los usuarios sin ser detectados. Es decir: un malware desconocido por los fabricantes de Android y por Apple capaz de infectar sus teléfonos.

Esa información valdría mucho dinero. Todas las grandes tecnológicas tienen programas para recompensar a las personas que encuentran y notifican brechas de seguridad. Dependiendo de su gravedad, pueden llegar a pagar sumas muy altas. Tampoco hay noticias de que un hacker haya cobrado una recompensa por un descubrimiento de este tipo.

Durante los primeros años de internet, la red de redes funcionaba de manera bastante unidireccional, de forma que no se diferenciaba tanto de medios de comunicación como la televisión o los diarios. Por supuesto, los usuarios de internet podían consultar diferentes contenidos de manera dinámica y personalizada. Pero no era necesario que se registraran en cada plataforma o que introdujeran sus datos de pago a cada paso.

El potencial de internet terminó haciendo inevitable el fin de esa etapa ‘inocente’ de la red. Poco a poco fueron apareciendo plataformas donde era necesario registrarse para poder acceder a sus servicios. De hecho, a partir de la aparición de Facebook en 2004, se llegó a un punto en el que nuestros datos privados pasaron a ser codiciados de manera voraz por las Big Tech.

Quienes llevan algo más de tiempo navegando online recuerdan ahora con nostalgia plataformas como MySpace: con un diseño pobre, sí, pero sin un propósito publicitario tan exagerado, y sin la necesidad de apropiarse de los datos de sus usuarios aun a costa de su propia voluntad. Hoy en día, nuestros datos personales están en juego cada vez que usamos internet, por eso es necesario que seamos conscientes de los riesgos online.

Los datos pueden caer en manos aún peores

Es bastante unánime la percepción de que plataformas como Facebook hacen un uso abusivo de la información privada de sus usuarios, y por eso se recomienda limitar la información que se comparte con ellas. Pero tus datos privados pueden quedar en manos todavía más perniciosas si son interceptados por un ciberataque.

Pensá en toda la información que compartís en tus redes, por ejemplo. Estos datos incluyen tus fotografías privadas, tus ideas políticas, tus hábitos y los lugares que visitás frecuentemente, además de datos de contacto básicos como tu número de teléfono, tu dirección postal o tu correo electrónico. Y a estos datos se pueden sumar otros aún más sensibles como tus tarjetas de crédito o tus cuentas bancarias.

Por eso ahora, a diferencia de lo que ocurría hace unos años, es necesario usar herramientas como un gestor de contraseñas para garantizar tu seguridad digital. Un software de este tipo protege tus cuentas y se encarga de que tus claves permanezcan seguras y libres de hackeos, manteniendo a salvo tus datos de acceso y bancarios en un sinfín de plataformas online.

¿Qué es lo que buscan los hackers?

Un error que comete una gran cantidad de usuarios de internet es creer que ellos no son un objetivo interesante para los hackers porque no son celebridades o instituciones públicas. Si bien es cierto que las celebridades pueden ser un objetivo muy atractivo para un hacker, en la mayoría de los casos los hackeos tienen como víctimas a personas corrientes.

Los hackers pueden tratar de vulnerar tus cuentas de plataformas como Mercado Libre o Amazon, que tienen acceso a tus tarjetas de crédito y que pueden permitirles usar esta información para hacer compras ilegítimas o, sencillamente, para vaciarte las tarjetas mediante operaciones bancarias fraudulentas.

Por otra parte, los ciberatacantes también pueden hackear tus redes sociales o tu correo electrónico para buscar mensajes comprometedores con los que chantajear después. O también pueden explotar tus redes para hackear las de tus contactos, lo que puede perjudicar considerablemente tu imagen personal y profesional.

Internet ya no es un entorno que se pueda gestionar con inocencia

Destacamos al comienzo que los primeros pasos de internet fueron un tanto inocentes y unidireccionales. Era relativamente posible navegar desde el anonimato y disfrutar de todos los servicios de la red sin necesidad de estar introduciendo nuestros datos privados a cada instante. Pero esos días ya quedaron muy atrás.

Internet ahora es diferente, y requiere de una actitud distinta para poder navegar de forma segura. Todos los usuarios debemos ser conscientes de los riesgos que presenta la red de redes, tanto por parte de las Big Tech como de los ciberatacantes. Resulta curioso que tanto Facebook como los hackers traten de hacerse con la misma información. Curioso y, hasta cierto punto, un tanto aterrador.

Sea como sea, es importante que adoptemos una actitud activa y consciente a la hora de usar internet. Debemos evitar la publicación de contenidos innecesarios en nuestras redes sociales, por más que en ocasiones esa prudencia le pueda doler a nuestra vanidad. Nos conviene reducir el número de plataformas online que usamos a diario. Y es esencial que contemos con las herramientas de ciberseguridad más avanzadas para protegernos en la red.

Hackers y estafadores se aprovechan de los terremotos que han provocado más de 21.000 muertos en Turquía y Siria para hacerse pasar por ONGs, recibir donaciones y robar datos de usuarios de Internet, advirtió hoy el productor rumano de antivirus Bitdefender.

“En la campaña identificada justo después del sismo, los delincuentes cibernéticos pretendían ser representantes de una organización caritativa ucraniana que tenía la misión de recolectar dinero para ayudar a las víctimas”, señala Bitdefender en un comunicado.

Desde una IP que Bitdefender ha situado en Pakistán, los estafadores enviaban correos electrónicos a sus víctimas en nombre de la “Fundación Wladimir”, que decía asistir a los siniestrados “sobre el terreno”.

Su página web fue creada el 3 de octubre de 2022, y para recibir donaciones, la falsa ONG también había creado carteras de criptomonedas.

La fachada de esta organización ficticia sirvió en un primer momento para pedir apoyo económico para las víctimas de la invasión rusa de Ucrania.

Sin embargo, “parece haber cambiado su misión y ahora busca donaciones para las víctimas del devastador terremoto”, señala la empresa de ciberseguridad, una de las líderes internacionales del sector.

Bitdefender ha identificado otra campaña en la que los hackers se hacen pasar por otra ONG “global que colabora con UNICEF” y pide a los usuarios que envíen un correo a una dirección electrónica para recibir información sobre las formas de pago.

“Con esta interacción, los usuarios no solo confirman su dirección de correo”, también “se arriesgan a ofrecer informaciones personales y financieras suplementarias”, advierte Bitdefender, que recomienda estar siempre alerta para no caer en este tipo de fraudes.

EFE.

IG

Los chats supuestamente obtenidos mediante el hackeo al teléfono celular del ministro de Seguridad de la Ciudad de Buenos Aires, Marcelo D’Alessandro, incluyen una conversación con el empresario del juego Daniel Angelici, ex presidente del club Boca Juniors y ex vice de la Asociación de Fútbol Argentino (AFA), y una conversación con otro contacto sobre un ofrecimiento de dinero. Así consta en las publicaciones realizadas en un foro que puso a la venta el contenido del teléfono de D’Alessandro por 600 dólares y que está bajo investigación judicial. 

El ministro porteño denunció que su línea de teléfono fue hackeada el 19 de octubre último. Casi un mes y medio después, el o los hackers anunciaron la venta del contenido de los chats de Telegram del funcionario porteño por un valor de 600 dólares, de acuerdo con la publicación en un foro en internet en el que suelen realizar este tipo de publicaciones, como informó elDiarioAR este jueves. 

Un usuario creó la publicación para vender el contenido el 1° de septiembre a las 23 horas. “Estoy vendiendo la data completa exportada de Telegram del teléfono del ministro argentino +500MB $600 (nota de la redacción: dólares). Only BTC o Monero” (en referencia a las criptomonedas), publicó en idioma inglés, con una captura de la información del Telegram de D’Alessandro: “908 chats, 4.099 contactos, 24 frecuentes”.

Ante el pedido de distintos usuarios que solicitaban “pruebas de vida” del contenido hackeado, el usuario en poder del material publicó capturas de tres conversaciones de Telegram: la ya conocida sobre el caso Lago Escondido, que involucra a jueces federales, ejecutivos de Clarín y funcionarios de la Ciudad de Buenos Aires; una comunicación entre D’Alessandro y Angelici; y un supuesto tercer chat entre el funcionario porteño y un contacto agendado como “Fede”. “Estos supuestos chats fueron obtenidos mediante un espionaje ilegal”, afirmó D’Alessandro a elDiarioAR el miércoles por la noche.

Allegados al ministro de Seguridad porteño aseguraron que los chats publicados por el usuario el 2 de diciembre último estarían editados y no coinciden con conversaciones que D’Alessandro haya mantenido con sus contactos. Además, afirmaron que el funcionario utiliza la aplicación Whatsapp para comunicarse y que las supuestas conversaciones filtradas como “pruebas de vida” son un “montaje” y una “operación de inteligencia”.

Sin embargo, Angelici admitió haber mantenido esa conversación por chat con D’Alessandro, según pudo corroborar elDiarioAR. Desde Qatar, el ex presidente de Boca y ex vice de la AFA respondió la consulta de este medio este jueves por la mañana, hora local, a través de una fuente allegada que actuó como intermediario. 

Angelici ratificó que le solicitó al ministro de Seguridad “un favor” para que D’Alessandro permitiera a un custodio del ex dirigente xeneize ascender en el escalafón de la Policía de la Ciudad a pesar de que estaba fuera de término. 

El empresario del juego tenía custodia de la policía porteña debido a amenazas en su contra, de acuerdo con una fuente del ministerio de Seguridad porteño.

En las capturas publicadas por el hacker no figura la fecha del intercambio entre D’Alessando y Angelici. La fotografía del chat de Telegram sólo permite ver que se llaman mutuamente entre las 11:36 y el mediodía, sin poder establecer la comunicación, hasta que lo logran a las 12:01. Luego intercambian mensajes por escrito entre las 15:32 y las 16:38 pero tampoco figura la fecha del chat.

Esta es la transcripción textual de la conversación publicada por los hackers, sin correcciones de puntuación ni de tipeo.

MD: Lo mandé recién así que sale en la orden del día de la semana.

DA: Ok.

MD: Lo de Zarate (sic) es muy muy fundamental para vos??? Por q tengo (sic) que reabrir el sistema de ascensos y forzar mucho.

DA: Es mi custodia y se le murió la madre justo cuando tenía que rendir

MD: No me psicopatees q (sic) soy tano yo también

DA: Pero es la verdad con esta Pandemia de mierda el tipo ni la pudo despedir y justo les tocaba examen para ascender

MD: Por q (sic) no hablan antes estos bolas tristes??? Ahora veo y lo hago. Nos va a tener que hacer un monumento. El mío es más chiquito. Me adelanté a tu chiste malo…

DA: Dale jefecito jajaja

MD: Decile, (sic) porfa que lo mande mañana a las 11 a ISSP para reevaluación. Que pregunte por la licenciada Lucía Signori. Le avisas, no?

DA: Si ya le avisé

Estos supuestos chats fueron obtenidos mediante un espionaje ilegal.

Marcelo D'Alessandro — Ministro de Seguridad de la Ciudad de Buenos Aires.

El custodio -que ya no prestaría servicio para Angelici- “había cumplido con todos los requisitos para ascender y había dado todos los exámenes, estaba en condiciones de ascender”, dijo la fuente cercana a Angelici. Descartó la comisión de cualquier ilícito o intento de torcer las reglas del ministerio de Seguridad, y dijo que le habían hecho llegar la captura del chat filtrado, aunque no precisó quién.

“Fede”

En otro supuesto chat extraído del teléfono de D’Alessandro, se registra una conversación entre el ministro y un contacto agendado como “Fede”, entre las 20:39 y 20:43 horas, sin fecha. A su vez, el contacto Fede tiene agendado al funcionario como “Marcelo” o “M”. En el entorno del ministro porteño negaron tajantemente que el chat sea real y afirmaron que D'Alessandro no tiene a ningún contacto agendado como “Fede”. elDiarioAR pudo saber que las capturas de este chat publicadas por el hacker o los hackers el viernes último están en poder y fueron analizadas por personal especializado de la Policía de la Ciudad de Buenos Aires para intentar determinar el origen de la publicación en línea e identificar a su publicador.

En la captura, “Marcelo” le escribe a “Fede” para contarle de un presunto arreglo de dinero. “Fede” le replica: “50% guille, 50% gata”, pero “Marcelo” le dice que sea “10 para no joder”.

El hackeo

La vulneración de la línea telefónica de D’Alessandro es investigada en los tribunales de Comodoro Py. La denuncia, que también fue presentada de manera individual por el ex ministro de Seguridad Diego Santilli, quedó a cargo de la jueza María Servini, pero recientemente la magistrada se excusó de intervenir por su relación de amistad o conocimiento con ambos denunciantes.  

Tanto en los entornos de D’Alessandro como de Santilli, quien fue ministro de Seguridad justo antes de que asumiera el actual titular de la cartera, sostienen que el hackeo se realizó en el marco de una operación de inteligencia ilegal. Se utilizó la misma técnica y fue con dos días de diferencia. 

También lo atribuyen al momento político y destacan que por las mismas fechas, uno de los jueces que se encontraba juzgando a la vicepresidenta Cristina Fernández de Kirchner en el juicio oral y público por el caso Vialidad denunció el hackeo de su teléfono celular con el mismo método. En el oficialismo nadie se hace eco de esas sospechas de la oposición.

Una modalidad utilizada por los hackers consiste en el secuestro de información personal o relevante y la extorsión al usuario hackeado para “devolverle” los datos vulnerados y apropiados a cambio de dinero. Sin embargo, ni Santilli ni D’Alessandro fueron extorsionados por los hackers, de acuerdo a sus denuncias y a las consultas de elDiarioAR a sus entornos. 

El custodio de Angelici había cumplido con todo los requisitos para ascender y había dado todos los exámenes, estaba en condiciones de ascender.

Fuente allegada a Daniel Angelici.

La maniobra de sustracción de la línea telefónica de D’Alessandro se hizo el 19 de octubre a las 15:26 a través del cambio de la tarjeta SIM, mediante la modalidad de autogestión, de acuerdo con la denuncia a la que accedió este medio. 

Los hackers adquirieron un nuevo chip en El Dorado, Misiones, en la frontera con Paraguay. Realizaron un trámite online de autogestión en Movistar en el que debieron responder una serie de preguntas de seguridad que D'Alessandro y Santilli habían configurado. Tras ingresar las respuestas correctas, lograron apoderarse de sus líneas. 

Ambos dirigentes están convencidos de que fueron objeto de una operación de inteligencia. Las preguntas y respuestas de seguridad estaban basadas en información de índole personal de difícil acceso, según allegados. Por eso, en Comodoro Py arriesgan la hipótesis del fuego amigo, en el marco de la interna política y pre-electoral dentro de Juntos por el Cambio.

Canal de venta

La puesta en venta del material de Telegram extraído del teléfono de D’Alessandro es la única publicación del usuario en poder del material en un foro, según pudo corroborar elDiarioAR de una fuente directa del caso.

El foro incluye una sección denominada “Transparency Reports”, donde publica una revisión de los pedidos cursados por fuerzas estatales o privados, aunque según un experto consultado no suele acceder a esas solicitudes. Por ejemplo, entre junio y septiembre de este año, el foro recibió requerimientos del gobierno de la India, Argentina y Pakistán para que entregue información sobre determinados casos (que no se identifican); y el gobierno de Corea le solicitó la remoción de contenido.

Tras una denuncia del juez federal Pablo Yadarola, uno de los jueces que figuran en el chat del caso Lago Escondido, el juez federal Marcelo Martínez de Giorgi consultó a expertos locales de la policía porteña para que le informen cuáles son las vías para bloquear o dar de baja la publicación de los chats filtrados, ya que se trata de material obtenido de manera ilegal.

Denuncias

Yadarola realizó la denuncia el fin de semana último, tras la filtración y publicación de los chats en los que D’Alessandro figura intercambiando mensajes y audios con el propio Yadarola y con otros tres jueces federales, Julián Ercolini, Carlos Mahiques y Pablo Cayssials; dos ejecutivos de Clarín, Jorge Rendo y Pablo Casey (sobrino de Héctor Magnetto, CEO del multimedio); el jefe de los fiscales porteño, Juan Bautista Mahiques; un exdirector de Asuntos Jurídicos de la entonces Secretaría de Inteligencia del Estado (SIDE), Leonardo Bergroth; y el publicista Tomás Reinke. 

La publicación de las conversaciones les valió una denuncia penal del Gobierno y una cadena de la vicepresidenta Fernández de Kirchner. Están sospechados de haber viajado a Bariloche para hospedarse en la exclusiva propiedad del empresario británico Joe Lewis en un vuelo privado supuestamente costeado por ejecutivos de Clarín, que se filtró hace unas semanas cuando Página/12 accedió a la planilla de pasajeros del avión contratado para el viaje.

Luego, se filtraron los chats del teléfono de D’Alessandro en los que los protagonistas del viaje planifican cómo enmascarar la presunta dádiva con facturas falsas y testimonios falsos y presionar a la fiscal y la jueza federales de Bariloche -que investigaban el viaje en cuestión- para que cierren la causa. 

Por instrucción del presidente Fernández, el ministro de Justicia, Martín Soria, presentó la denuncia por “incumplimiento de los deberes de funcionario público y dádivas” y solicitó a la justicia de Bariloche que obtenga “los aparatos de telefonía celular de todos los implicados”. Fue al día siguiente de la condena a seis años de prisión que recibió la vicepresidenta Fernández de Kirchner por administración fraudulenta en el caso Vialidad, que había instruido Ercolini, uno de los jueces denunciados.

ED/MG

Mientras el Gobierno de Alberto Fernández denunciaba en Bariloche a los jueces, funcionarios de la Ciudad de Buenos Aires y sólo a uno de los ejecutivos del Grupo Clarín involucrados en los chats del caso Lago Escondido, en los tribunales de Comodoro Py, distintos expedientes iniciados por dos de los pasajeros del viaje a la propiedad del magnate británico Joe Lewis se movían con sigilo en el marco de la “contraofensiva”. Así lo pudo determinar elDiarioAR de fuentes con conocimiento directo de los hechos.

El juez federal Pablo Yadarola, del fuero Penal Económico, presentó el fin de semana una denuncia por presunto espionaje ilegal, luego de que comenzaran a circular por internet conversaciones que había mantenido mediante la aplicación Telegram y en las que figura junto al resto de los involucrados planificando cómo enmascarar el viaje sospechado de dádivas -se investiga si fue costeado por Clarín y Lewis- e influir en la investigación judicial de Bariloche para que la fiscal y la jueza cierren la causa.

La denuncia del juez Yadarola recayó por sorteo en el juzgado federal de Julián Ercolini, otro de los jueces involucrados en el caso Lago Escondido. La causa quedó delegada en el fiscal Eduardo Taiano, también de turno el día de la denuncia. El domingo 4 de diciembre por la mañana, cuando los chats y audios que revelaban la supuesta maniobra fueron publicados por medios de comunicación, Ercolini le solicitó a su colega Marcelo Martínez de Giorgi que asumiera momentáneamente en la causa, ya que el propio juez está implicado en los hechos. 

En ese primer momento, Ercolini apeló a la figura de “ausencia momentánea del juez” para no intervenir en las primeras medidas del expediente. Martínez de Giorgi ordenó a la Sección de Investigaciones Especiales de la Policía de la Ciudad de Buenos Aires que rastreara la dirección de IP desde la cual se publicó y se puso a la venta el contenido del teléfono hackeado de D’Alessandro. El juez también consultó a los expertos si el sitio web podría bloquearse o darse de baja. Al día siguiente, ya en tribunales, se envió la causa a sorteo para que quede radicada en un nuevo juzgado federal de Comodoro Py, el número 12, que está vacante y se encuentra subrogando el juez Ariel Lijo, según información judicial.

A través de una página web, el o los hackers solicitaban apenas 600 dólares por la información y a pedido de distintos usuarios dieron “pruebas de vida” de los chats del ministro de Seguridad porteño: publicaron capturas de tres conversaciones de Telegram: la ya conocida sobre el caso Lago Escondido; una comunicación entre D’Alessandro y el empresario Daniel Angelici, ex presidente del club Boca Juniors; y un tercer chat entre el funcionario y un contacto agendado como “Fede”, sobre los que se publican detalles en elDiarioAR junto a las versiones de los involucrados. “Estos supuestos chats fueron obtenidos mediante un espionaje ilegal”, afirmó D’Alessandro a este medio.

Aún no está claro quién armó el sitio web “Patagonian Facts”, en el que se publicó el chat completo del grupo de Telegram sobre el caso Lago Escondido; si la información fue comprada por alguien a los hackers o si los mismos que vulneraron la línea de D’Alessandro decidieron hacer público parte de los 908 chats que se jactaron de haber obtenido de la aplicación de mensajería utilizada por el ministro porteño.

El hackeo

¿Qué saben las autoridades hasta el momento sobre el hackeo? Existe otro expediente, precedente al iniciado el fin de semana por el juez Yadarola. El ministro porteño D’Alessandro y el diputado Diego Santilli (Juntos por el Cambio y antecesor de D'Alessandro en el ministerio de Seguridad porteño) denunciaron que sus teléfonos celulares -en realidad sus líneas- fueron hackeados con dos días de diferencia en octubre último. La denuncia quedó a cargo de la jueza María Servini, quien en los últimos días se excusó de intervenir por ser allegada a ambos denunciantes. También hay una denuncia de D'Alessandro en la fiscalía de Delitos Informáticos de la Ciudad.

El 5 de noviembre, Clarín publicó detalles de la denuncia, ratificados por este medio con fuentes directas del caso: información proporcionada por Movistar determinó que los hackers tomaron el control de las líneas de los celulares de ambos durante unas 20 horas e incluso mandaron mensajes e hicieron varios llamados al exterior. ¿Cómo lo hicieron? 

La maniobra de sustracción de la línea telefónica de D’Alessandro se realizó el 19 de octubre a las 15:26 a través del cambio de la tarjeta SIM, mediante la modalidad de autogestión, de acuerdo con la denuncia a la que accedió elDiarioAR. 

Los hackers adquirieron un nuevo chip en El Dorado, Misiones, en la frontera con Paraguay. Realizaron un trámite online de autogestión en Movistar en el que debieron responder una serie de preguntas de seguridad que D'Alessandro y Santilli habían configurado. Tras ingresar las respuestas correctas, lograron apoderarse de sus líneas. Ambos dirigentes están convencidos de que fueron objeto de una operación de inteligencia. Las preguntas y respuestas de seguridad estaban basadas en información de índole personal de difícil acceso, según allegados.

“Esa circunstancia derivó en que se viera afectada mi conectividad y si bien a partir de mis reclamos pude recuperar la misma, para lo cual tuve que instalar un nuevo chip, quienes sustrajeron momentáneamente mi identidad intentaron acceder a información de carácter personal y confidencial tales como mis contactos personales y contenido de mensajes de Whatsapp”, explicó D’Alessandro en su denuncia. 

En los tribunales de Comodoro Py arriesgan otras hipótesis: los judiciales creen que el hackeo podría ser una maniobra en el marco de la interna política de Juntos por el Cambio, es decir, perpetrado por sectores de inteligencia paralela que responden al espacio político que integran Mauricio Macri, Horacio Rodríguez Larreta y Patria Bullrich, en plena disputa por las elecciones presidenciales de 2023; o una operación de los servicios que responden al kirchnerismo, ya que la publicación de los primeros chats sucedió cinco días antes de la sentencia a la vicepresidenta Cristina Fernández de Kirchner y uno de los involucrados es el juez que instruyó la causa del juicio: Ercolini. La expresidenta y el Gobierno capitalizaron rápidamente el efecto de los chats. Fernández de kirchner acusó a los integrantes dle chat filtrado de integrar la “mafia judicial”.

Chats a la venta

El viernes 2 de diciembre a las 12:55 del mediodía, un usuario de Twitter dio la primera alerta sobre la venta de información del teléfono de D’Alessandro en el sitio web. Otro usuario creó la publicación el 1° de septiembre a las 23 horas. “Estoy vendiendo la data completa exportada de Telegram del teléfono del ministro argentino +500MB $600 (nota del autor: dólares). Only BTC o Monero” (en referencia a las criptomonedas), publicó en inglés, con una captura de parte de la información del Telegram de D’Alessandro: “908 chats, 4.099 contactos, 24 frecuentes”.

Es la única publicación del usuario en este foro, que se adjudica ser la “continuación” de Raid Forums, otro sitio dedicado a los mismo fines que se abrió en 2015 y fue dado de baja este año, tras la intervención del FBI, el Servicio Secreto y el Departamento de Justicia de los Estados Unidos, según pudo corroborar elDiarioAR de una fuente directa del caso.

Tras su publicación, otros usuarios interesados en la información, le solicitaron “pruebas de veracidad” y el publicador accedió a publicar una serie de imágenes de la información.

Allí ofreció capturas de los contactos de Telegram del teléfono de D’Alessandro, como el agendado como “Daniel Angelici”, y un intercambio puntual de llamadas y mensajes de Telegram entre el ministro de Seguridad porteño y el empresario de los bingos, amigo del expresidente Macri y ex presidente de la Asociación de Fútbol Argentina (AFA), sindicado como uno de los “operadores judiciales” de Juntos por el Cambio.

Una de las IPs utilizadas por el sitio web en el que se puso el contenido del teléfono a la venta pertenece a una entidad radicada en Rusia. A su vez, el dominio que se utilizó para alojar el contenido y venderlo, está registrado en un portal con base en Finlandia.

El sitio web en el que se difundieron los chats entre los jueces, ejecutivos de Clarín, D’Alessandro y otros sobre el caso Lago Escondido utiliza una IP propiedad de Cloudflare Inc., una red de entrega de contenido que opera como intermediaria entre el usuario y el proveedor de alojamiento del sitio web, con sede en San Francisco, Estados Unidos, que tiene antecedentes de haber aportado información a fuerzas de seguridad ante un requerimiento y bloquear contenidos denunciados o dar de bajo el dominio que los publicó, explicó una fuente del caso a este medio. 

Nota: esta nota se completó a las 15:37 del 8 de diciembre de 2022 para informar que la causa iniciada por la denuncia de espionaje ilegal, según información judicial, está desde un comienzo delegada en el fiscal Taiano y tras el nuevo sorteo del expediente quedó radicada en el juzgado federal número 12, subrogado por el juez Ariel Lijo.

ED/MG

Especialistas y aficionados en ciberseguridad viajaron a bordo del “trencito de la alegría hacker” por las calles de la Ciudad de Buenos Aires, para detectar las vulnerabilidades en las redes wifi del hogar, corporativas y públicas. Lo hicieron ayer miércoles, en el marco de la décimo octava edición de la Ekoparty, la convención de hackers más grande de habla hispana.

El “trencito de la diversión” partió a las 15 horas desde el Centro de Convenciones Buenos Aires (CEC)en Av. Figueroa Alcorta al 2099, al ritmo de la música, luces de colores y muñecos de minions bailando. Al mismo tiempo, hackers, estudiantes de informática y ciberseguridad miraban sus pantallas y controlaban las antenas.

La experiencia llamada “Wardriving” es la búsqueda de redes inalámbricas desde un vehículo en movimiento, desde donde se evalúan cuáles son sus protocolos de contraseñas que se usan. Luego, realizarán un mapeo demográfico de la seguridad en las redes de Buenos Aires, detalló a Télam Agustín Osorio, coordinador del wardriving de Ekoparty.

El coordinador explicó: “Es una actividad no disruptiva, es decir, solo vemos el nombre de las redes de la ciudad y el protocolo de seguridad que están utilizando, no capturamos información sensible de ningún tipo, ni entramos a las redes, es decir, no vamos a hackear nada”. Osorio agregó que cualquiera puede participar, y que los requisitos técnicos son una computadora que tenga “algún sistema embebido que permita reconocer los procesos y un software adecuado” o un teléfono que pueda descargar una aplicación llamada Wiggle.

Los protocolos de protección de las redes wifi son el “open, o red abierta, más conocida como OPN, que es la que utilizan los aeropuertos, los bares, y que te conectas sin contraseña. Luego le siguen las WAP que es un protocolo muy anticuado y que ya no está casi en uso, porque es muy sencillo hackaerlo”, y los más recientes y seguros son WAP2, y WAP3, explicaron los coordinadores del evento.

En el último asiento, se encontraba sentado Horacio Deliavali, analista informático de 22 años, quien dijo a Télam estar ahí porque “quería vivir la experiencia”. Sostenía su celular, donde se podían ver 3.000 redes wifi, algunas con candados verdes que verifican su seguridad, otras con color rojo para denotar lo fácil que pueden ser hackeadas, y su nivel de alcance a medida que el tránsito se mueve. El joven recomendó: “No conectarse a una red pública para no hacer transacciones que sean sensibles, como ingresar al homebanking, y si se hace utilizar programas llamados VPN que bloquean los datos que uno usa”..

A su lado viajaba su amigo de 26 Ricardo Pacheco, quien estudia ingeniería informática y trabaja como soporte técnico. “Me interesa lo que es la ciberseguridad y por eso venimos a ver de qué trata el evento”, mencionó, y contó que tuvo una vez que hackear una computadora porque la persona se olvidó la contraseña. “Si usas una red pública estás bastante expuesto, pueden entrar hasta a leer los mails de tu trabajo”, indicó.

Danilo Berazo y su novia Joe Anteño de 26 y 28 años, ambos de nacionalidad ecuatoriana, viajaban sentados con una antena conectada a su notebook viendo cómo aparecían en la pantalla las redes wifi, mientras un personaje de la película Minions bailaba en el medio del trencito al ritmo de la música reggaetonera. “El objetivo de esto es ver si podes obtener la clave de la red wifi. Muchas veces buscas modelos de router en Internet y te salen las claves por defecto del modelo, entonces vas probando la combinación y quizás en segundos podes quedarte con el acceso de esa red”, comentó Berazo.

El joven estudió programación, pero se define como un “autodidacta” y “gran aficionado”, aunque actualmente hace ethical hacking, que significa que las empresas lo contratan para hackear su propio sistema para corroborar su seguridad, habiendo firmado un contrato de confidencialidad. “Es como contratar a un ladrón que entre a tu casa pero que no te va a robar de verdad, sino que te dice 'mira, puedo entrar por acá'”, bromeó.

Lo que realizan “los hackers malos”, agregó, es duplicar los nombres de los wifi y que “todo el tráfico de información de la gente pase por su servidor”, obteniendo así las claves de tarjetas de crédito si es que se hicieron transacciones desde los teléfonos, además de las fotos y vídeos que se envían.

David (28) y Yasmin (27) viajaron desde Chile para participar del evento. De todos los participantes del recorrido, ellos alcanzaron a localizar 6.800 redes wifi, 2.000 de ellas de dispositivos como tablets o celulares, gracias a sus dos antenas conectadas a la computadora, que tienen un amplio alcance. “Si algo he aprendido, es que todo se puede hackear”, aseguró la joven que estudió ingeniería y conectividad en redes. David recordó que hace unos años intentaron hackearle el teléfono, y que pudo ver el origen la conexión, logrando “hackear al que lo estaba hackeando”.

“Esta actividad se hace desde hace 15 años, y con el tiempo fuimos descubriendo qué tanto tardamos y cuánta importancia le damos a la adaptación de las tecnologías y seguridades de web. En Argentina se está mejorando pero va a un ritmo lento y descuidado, ya que, al consumidor promedio no le importa o no se queja hasta que no le ocurre algo; y el proveedor tiene que invertir mucho dinero en tecnología nueva”, detalló Osorio.

Recomendaciones para mayor ciberseguridad

Para preservar la ciberseguridad, Osorio recomendó generar contraseñas “seguras”, lo que significa que deben tener un mínimo de 12 caracteres, con mayúsculas, minúsculas, y algún punto. Es importante no conectarse a redes wifi públicas, “porque si hay una persona maliciosa conectada a la misma red, puede escanear el tipo de información que estás utilizando y capturar contraseñas”.

El organizador hizo hincapié en que habría que “concientizar al usuario de lo que puede generar usar estas redes, o indicarle que 'no nos hacemos cargo de que te roben información cuando estés conectado a esta red', lo que es un anti marketing”, indicó. En esta edición que duró un poco más de una hora, se recorrieron las zonas de Barrio Norte, Palermo Chico, Puerto Madero y la Avenida 9 de Julio.

LC con información de agencia Télam

Dos graves ciberataques en un solo fin de semana desataron las sospechas sobre la vuelta a la actividad de un peligroso grupo de delincuentes. Tras pasar varios meses inactivo, los investigadores avisan de que existen “indicios” de que Lapsus$ retomó sus operaciones y está detrás de estas últimas ofensivas. Los hackeos comparten un mismo modus operandi y ponen sobre la mesa el regreso de una banda cibercriminal que provocó auténticos dolores de cabeza a los especialistas en ciberseguridad a comienzos de año.

La fama de Lapsus$ era merecida, ya que consiguió hackear a varias multinacionales que cuentan con equipos de primer nivel, como Microsoft. Se cree que el grupo está formado por adolescentes. La policía británica llegó a detener el pasado marzo a siete jóvenes por su supuesta vinculación con el grupo. A uno de ellos, que entonces contaba con 16 años, se le acusó de ser el líder de la banda. Quedó en libertad a las pocas horas y aunque Lapsus$ apenas ha actuado desde entonces, ellos, o alguien que sigue sus métodos, volvió a la acción.

La mayor filtración de un videojuego

Es el segundo de los ataques de este fin de semana el que hizo atar cabos a los investigadores. El domingo se publicó en Internet un enorme paquete de contenido del próximo videojuego de la saga Gran Theft Auto, el GTA VI. El título no se publicará hasta finales de 2023 o 2024, por lo que los 90 vídeos que salieron a la luz con la filtración masiva corrieron como la pólvora entre los incontables fans del juego, que lleva vendidas más de 165 millones de copias de su edición anterior.

“Hemos sufrido una intrusión en la que un tercero no autorizado accedió ilegalmente y descargó información confidencial”, reconoció este lunes Rockstar Games, la desarrolladora del juego. También lamentó que los fans hayan conocido las novedades del GTA VI por esta vía. Según lo que se aprecia en los vídeos, este incluirá a la primera mujer protagonista de la saga, que será de origen latinoamericano, mientras que el escenario de la narrativa será Vice City, una ciudad ficticia basada en Miami. La desarrolladora no quizo confirmar estos puntos y se esfuerza para retirar los vídeos de la red a través de reclamaciones de copyright.

El intruso o intrusos que filtraron los vídeos lograron acceso total a los archivos de Rockstar. Defienden que se llevaron también el código tanto del GTA VI como del VI. Pese a ello, la empresa afirma que no se produjo ningún ataque contra el juego que la fuerce a retrasar el lanzamiento. Sus sistemas informáticos tampoco sufrieron infección alguna.

Rockstar es uno de los gigantes de la industria y su empresa matriz tuvo un beneficio neto de casi 100 millones de dólares el año pasado. Sin embargo, el incidente no fue más allá de la filtración masiva. El hacker (o los hackers), simplemente, consiguió acceso total a su red, lo demostró colgando en foros los archivos del tan esperado juego y desapareció.

Era la segunda vez que ocurría algo similar en cuestión de días. El viernes Uber vio como alguien consiguió acceso a todos sus sistemas, colgó capturas de los paneles de administración y de sus datos financieros y se fue. La empresa dice que el ataque no tuvo otras consecuencias. “Hemos revisado nuestro código base y no hemos encontrado que el atacante haya realizado ningún cambio. Tampoco hemos encontrado que el atacante haya accedido a ningún dato de clientes o usuarios”, comunicó la empresa.

Antes de esfumarse, el atacante se puso en contacto con especialistas en ciberseguridad y con el New York Times para asegurarse que sus acciones no pasaban inadvertidas. Les dijo que tenía 18 años de edad.

Uber piensa que su hackeo y el de la filtración del GTA VI están relacionados. “Este fin de semana también se informó que este mismo actor atacó al fabricante de videojuegos Rockstar Games. Estamos en estrecha coordinación con el FBI”, explicó esta semana, junto con algunos hallazgos de su investigación: “Creemos que este atacante (o atacantes) está afiliado a un grupo de hackers llamado Lapsus$”.

Atacar sin forzar nada

Lapsus$ se hizo famoso por atacar a todas esas compañías sin utilizar la fuerza bruta, sino consiguiendo acceso a sus sistemas utilizando las credenciales de sus propios trabajadores. Para ello engañan a esos empleados o bien les ofrecen grandes sumas a cambio de sus contraseñas a través de la web oscura.

Con esta táctica hackearon a Microsoft, pero también a la red de comunicaciones de Portugal, a Samsung, Nvidia o Okta, entre otras multinacionales. Esta última, pese a ser la menos conocida, fue una de sus operaciones más críticas. Okta es una empresa que da servicio de identificación digital para empleados de otras compañías, por lo que entrar a sus sistemas suponía un atajo para penetrar en cientos de organizaciones.

El método de entrada coincide con el que se usó para atacar a Rockstar y a Uber. En ambos casos la vía de entrada ha sido Slack, el programa de comunicación interna que usan sus trabajadores. ¿Cuál era su objetivo? Quizá solo demostrar que habían entrado. “Nosotros los llamamos atacantes de acceso inicial”, explica Josep Albors, director de investigación de la firma de ciberseguridad ESET.

“Ellos se dedican a obtener acceso a la red interna de una empresa, muy grandes en este caso, y luego ya negociar con ese acceso. Pueden vendérselo a grupos que quieran desplegar ransomware por ejemplo (un tipo de ataque que cifra los archivos de la víctima para exigir un rescate por desbloquearlo), para robar información y venderla mejor al mejor postor...”, continúa el experto.

“Lo que hacen después de obtener el acceso es difícil de rastrear porque el tipo de acuerdos al que llegan después no se suelen publicitar, a no ser que ellos mismos quieran informar de ello porque beneficie a sus objetivos”, añade Albors.

El regreso de Lapsus$... o de sus fans

La supuesta edad de los atacantes, el método de entrada, la filtración de información comercial. Todos ellos son “indicios” que apuntan a un posible regreso de Lapsus$, aunque los especialistas advierten que también podrían ser imitadores del grupo.

“En el cibercrimen, el fenómeno de los imitadores ocurre constantemente”, dice Albors. “Aquí se están atribuyendo los ataques a Lapsus$ y es algo perfectamente factible, pero no debemos descartar la posibilidad de que haya grupos imitando estas actividades”.

La opción de que sea un segundo grupo que haya copiado el modus operandi de Lapsus$ quien esté detrás de las últimas ofensivas se ve reforzado por lo mediáticos que llegaron a ser estos ciberdelincuentes. Su fama y sus actividades les hicieron ganarse enemigos incluso entre otros grupos de criminales. Esto le convirtió en víctima de doxing, un ataque habitual entre hackers que se basa en la publicación de todos los datos de identidad, de contacto y de información comprometida de una persona.

Su detención llegó tras ese ataque, aunque la policía británica aseguró que seguía al joven desde antes de la publicación de sus datos personales.

“Ayatolá Jameneí tumbado” tuiteó una cuenta de Twitter afiliada con Anonymous, junto con una foto de la página web del líder iraní dando error. El colectivo hacker Anonymous había anunciado el miércoles que lanzaría ataques contra páginas oficiales del gobierno e instituciones iraníes en adhesión a las protestas populares, reprimidas, por la muerte de Mahsa Amin, la mujer que perdió la vida por los malos tratos de la Policía de la Moralidad tras ser arrestada por haberse colocado el velo de manera anti-reglamentaria.

“El pueblo iraní no está solo”, anunció Anonymous. Hasta ahora han dejado sin servicio a la agencia Fars, vinculada con la Guardia Revolucionaria, que no funciona desde el miércoles, a la web del Banco Central y a varias reparticiones de la administración pública. Algunas de estas últimas páginas han vuelto a funcionar correctamente.

El colectivo hacker Anonymous declara actuar en solidaridad con las manifestaciones callejeras que crecen desde la muerte de Mahsa Amin, abandonada en coma por la Policía de la Moralidad tras reeducarla en el correcto uso del velo femenino obligatorio.

Por su parte, Teherán bloqueó el miércoles el internet móvil casi completamente en el país. También limitó aplicaciones como Whatsapp e Instagram en un aparente intento por asfixiar las protestas.

“Irán sufre ahora las mayores restricciones en internet desde la masacre de noviembre de 2019”, indicó NetBlocks, una plataforma que supervisa la conectividad de los usuarios y la censura en internet. La plataforma hacía referencia a las protestas de hace tres años provocadas por el aumento del precio de los combustibles y que según Amnistía Internacional (AI) dejaron más de 300 muertos y miles de detenidos.

Amin fue detenida el martes de la pasada semana por la llamada Policía de la Moralidad en Teherán, donde se encontraba de visita. Trasladada a una comisaría, se le impartió “una hora de reeducación” por ostentar un velo mal colocado.

Tres días más tarde de la hora didáctica, Amin murió el hospital público al que había sido conducida. Llegó en coma y había sufrido un ataque al corazón. Según su padre, no tenía antecedentes de enfermedades coronarias o cardíacas.

Desde entonces se han multiplicado las protestas en al menos 20 ciudades y han muerto ocho personas, según las estimaciones oficiales conservadoras.

AGB con información de agencias

El domingo 18 de septiembre un ataque cibernético conmocionó la industria de los videojuegos. Un hacker sustrajo códigos fuente e imágenes inéditas de Grand Theft Auto VI –continuación del juego más vendido en EEUU la década pasada y parte de una saga que ha recaudado más de mil millones de dólares-, publicó en línea casi una decena de clips y pidió negociar un acuerdo con los desarrolladores del videojuego. Calificado como el hackeo más grande las historia, este incidente pone en evidencia la creciente magnitud de los crímenes cibernéticos en la industria de los videojuegos.

Varias notas de prensa reportaron el fin de semana que un hacker, que se hace llamar “Teapotuberhacker”, subió contenido del juego en una entrada del foro GTAForums. Estas filtraciones forman parte de un secuestro de información, ransomware como se conoce en la jerga del campo. Reportes de prensa han informado sobre publicaciones en Telegram del responsable del hackeo –que aseguraba además haber atacado UBER días atrás-, intentando comunicarse con funcionarios de Rockstar Games, la desarrolladora del juego, para “negociar un arreglo”.

A pesar de la importancia de los anteriores, este ataque reviste una magnitud nunca antes vista. La importancia del juego, y de la empresa que lo desarrolla, hacen de este hackeo un golpe significativo al corazón de la industria de los videojuegos.

En un comunicado publicado en Twitter, Rockstar Games, reconoció las filtraciones como reales y denunció que sus servidores internos habían sido intervenidos. La empresa afirmó, empero, que los planes de desarrollo y diseño del juego no se verían afectados por el incidente. Sin embargo, un manto de incertidumbre cubre las publicaciones sobre el proyecto.

Los hackers atacan de nuevo

Este ataque se enmarca en un crecimiento vertiginoso de la criminalidad cibernética. En agosto de 2022, la empresa de seguridad, rendimiento y distribución en la nube, Akamai Technologies, publicó un estudio donde consigna que los ataques a la industria de los videojuegos han aumentado más del doble en el transcurso del último año. En la breve historia del cibercrimen hay varios eventos significativos: la sustracción de la identidad de 23 millones de jugadores de Webkinz World en abril de 2020, el acceso clandestino a las cuentas de 300.000 usuarios de Nintendo en junio del mismo año. El 2021 dos sucesos conmocionaron la industria: en febrero un grupo de hackers secuestró el código fuente de varios juegos importantes del estudio de videojuegos CD Project y, en junio, otro ataque criminal sustrajo el código fuente del juego de fútbol FIFA 21 y lo puso a la venta por 28 millones de dólares (o su equivalente en cryptomonedas). Los detalles de la solución de estos conflictos no se han hecho públicos.

La magnitud del ataque

A pesar de la importancia de los anteriores, este ataque reviste una magnitud nunca antes vista. La importancia del juego, y de la empresa que lo desarrolla, hacen de este hackeo un golpe significativo al corazón de la industria de los videojuegos.

La saga de Grand Theft Auto es una de las más populares y exitosas en la historia. En el reporte del año pasado, la compañía Take-Two Interactive, dueña de Rockstar Games informó que la toda la serie -alrededor de veinte juegos, incluyendo versiones originales, expansiones, versiones portátiles y remasterizaciones- ha vendido en total más de 355 millones de copias. El último juego de la saga, GTA V, lanzado en 2013, recaudó alrededor de 155 millones de unidades y obtuvo más de mil millones de dólares en beneficios. Al éxito rotundo de la saga hay que sumarle la enorme expectativa -el hype dirían muchos de los usuarios- que genera la aparición de una nueva entrega, tomando en cuenta que ya han pasado casi 10 años desde el último juego oficial de la saga.

Estos elementos han establecido a Grand Theft Auto VI como uno de los juegos más esperados por la comunidad de gamers y se estiman enormes ganancias con su lanzamiento. Cálculos del Bank of America afirman que el videojuego generará 3.500 millones de dólares en reservas antes del día de su lanzamiento y un promedio de 2.000 millones de dólares anuales a partir de entonces.

La magnitud y relevancia del ataque ponen de manifiesto la creciente influencia de las formas globales de criminalidad cibernética contemporánea. En abril de 2021 la empresa proveedora de seguridad virtual BlackCloak publicó un informe que alertaba sobre el aumento de los ataques a las empresas de videojuegos. A pesar de las advertencias, el crimen cibernético no cesa de aumentar.

Tal vez la indefensión se explique por las características particulares de la industria de los videojuegos. Al mismo tiempo que se va consolidando como uno de los puntales del mercado de entretenimiento global es también una industria constituida por estudios con protocolos de seguridad débiles que no tienen las mismas exigencias que otras instalaciones para proteger los datos de sus usuarios. Esto la ha convertido en un blanco privilegiado para los hackers.

Los problemas de cibercrimen se suman a las preocupaciones sobre los impactos de la crisis económica mundial. Aunque varios analistas consideran a la industria de los videojuegos como “a prueba de recesión”, hay algunos indicios que muestran que la inflación está frenando el gasto en entretenimiento por parte de los consumidores.

Por ahora no hay un desenlace en el ataque cibernético que conmocionó a la industria de los videojuegos. Se prevén demandas legales agresivas de parte de la desarrolladora del juego y no hay claridad sobre las próximas publicaciones de parte del hacker que sustrajo el material. Lo único que parece claro es que este suceso provocará cambios significativos en una industria que enfrenta la criminalidad cibernética de manera cada vez más recurrente. 

AGB

El grupo de ciberdelincuentes Lapsus$ es uno de los más activos y peligrosos que operan en este momento. Violó la ciberseguridad de multinacionales tecnológicas como Microsoft y su rastro pasa por múltiples administraciones públicas y gobiernos. Es muy agresivo, con ataques como el que tumbó toda la red de Vodafone en Portugal, que llegaron a calificarse de “acto terrorista” por dejar incomunicados a servicios de emergencia, bomberos, los principales bancos y millones de ciudadanos. Este jueves la policía británica detuvo a siete adolescentes por su relación con estos hechos.

Las autoridades británicas no confirmaron si entre ellos se encuentra A.K., un joven de 16 años que en las últimas horas había sido señalado por múltiples investigadores de ciberseguridad como el cerebro detrás de Lapsus$, así como por hackers rivales.

Una de las primeras en apuntar que un adolescente podía ser una de las personas clave de este grupo cibercriminal fue la empresa española Quantika14. Esta firma de análisis forense digital y peritaje informático pudo rastrearlo gracias a un conflicto interno en Lapsus$, durante el cual varios de sus miembros se atacaron entre ellos y dejaron pistas que permitieron a los investigadores comenzar a seguir sus huellas. Como documentó Quantika14 el 9 de marzo, una de las personas que estaba detrás de Lapsus$ era A.K., de 16 años.

“Es un adolescente que vive en el Reino Unido pero que viene de Albania”, explicaba a elDiario.es el director de Quantika14, Jorge Coronado, en la mañana de este jueves, antes de que se produjeran las detenciones. Fuera de Internet, A.K. es un joven al que le gusta ir a pescar con su tío. En la red, era una de las voces cantantes de Lapsus$. “Hay muchos indicios de que es su líder”, aseveraba Coronado.

En las últimas horas esa batalla entre ciberdelincuentes escaló y derivó en la publicación de todos los datos personales de A.K. en Internet. Su conflicto con otros hackers rivales lo convirtió en objetivo de un doxing, un tipo de ciberataque basado en la revelar en Internet toda la información privada de una persona. El joven vio sus datos expuestos en un página web que se dedica a publicar este tipo de ataques. Su reacción fue intentar comprar la web y destruirla. El dueño le engañó, cogió el dinero pero mantuvo el doxing contra A.K.

“Este muchacho empezó a relacionarse con diferentes personas que se dedican a atacar a otras empresas. Termina ganando muchísimo dinero pero también muchos enemigos”, continúa el director de Quantika14. Según comunicó la policía británica a la BBC, su fortuna ascendía ya 10 millones de euros. “Cuando se publica el doxing sobre él nos damos cuenta de que el muchacho está viviendo una situación bastante complicada. No me extrañaría que de la misma forma que lo están buscando grandes empresas y sus investigadores, le busque también la mafia”.

“Se ha convertido en un objetivo ahora mismo, tiene bastante dinero. Se comenta, y a mi no me extrañaría nada porque he analizado sus redes sociales de arriba a abajo, que tenga algún tipo de Asperger”, continuaba Coronado. La BBC indica que era autista. Su padre narró a la cadena pública británica que la familia “estaba preocupada por él e intentó alejarlo de los ordenadores”.

El cerco contra el joven se había estrechado por más flancos. Cuatro investigadores de ciberseguridad independientes que trabajan para las empresas hackeadas por Lapsus$ habían señalado a Bloomberg que también habían identificado a A.K. como “la mente maestra” detrás del grupo de cibercriminales más buscado. Encontraron las mismas evidencias forenses que Quantika14: adolescente, 16 años, residente en Oxford, en la casa de sus padres..

Las fuentes en contacto con el medio estadounidense apuntan que la evidencia forense relaciona al adolescente con algunos de los principales hackeos llevados a cabo por Lapsus$, pero no con todos. Los investigadores adelantaban que hay hasta ahora siete personas diferentes que participaron en las acciones de la banda. Al menos uno de los seis restantes sería otro adolescente brasileño. Brasil y Reino Unido fueron las dos primeras áreas donde Lapsus$ comenzó a atacar objetivos locales antes de pasar a las grandes ligas y hackear a multinacionales como Microsoft o Nvidia.

A.K. tenía a múltiples investigadores pisándole los talones. “Tenemos su nombre desde mediados del año pasado y lo identificamos antes del doxing”, dijo a la BBC Allison Nixon, jefe de investigación de la empresa de investigación de ciberseguridad Unit 221B. “Unit 221B, en colaboración con [la empresa de ciberseguridad] Palo Alto, tras identificar al actor, vigiló sus movimientos a lo largo de 2021, enviando periódicamente a las fuerzas de seguridad un aviso sobre los últimos delitos”.

Desconcertaban a los investigadores

El modus operandi de Lapsus$ había desconcertado a los especialistas en ciberseguridad, que estudiaban sus ataques desde hace meses. “No parecen cubrir sus huellas. Llegan a anunciar sus ataques en las redes sociales o a anunciar su intención de comprar credenciales a los empleados de las organizaciones objetivo”, exponía Microsoft este miércoles en un comunicado en el que reconocía que miembros de la banda se habían colado en sus sistemas.

Una de las especialidades de Lapsus$ era hacerse con identificaciones oficiales de los trabajadores de las empresas a las que pretendían atacar, ya fuera sobornándoles o mediante el engaño. “Sus tácticas incluyen la ingeniería social basada en el teléfono; el intercambio de SIM para facilitar la toma de posesión de cuentas; el acceso a las cuentas de correo electrónico personal de los empleados de las organizaciones objetivo; el pago a los empleados, proveedores o socios comerciales de las organizaciones objetivo para acceder a credenciales y aprobar la autenticación de múltiples factores (MFA); y la intromisión en las llamadas de comunicación de crisis en curso de sus objetivos”, resume Microsoft.

Además de contra Microsoft y Nvidia, Lapsus$ reivindicó ciberataques exitosos contra Samsung o Ubisoft. En España, Telefónica fue uno de sus objetivos. Sin embargo, uno de las acciones que despertó más preocupación entre los investigadores fue el hackeo de Okta, una empresa especializada en dar servicios de identificación a empleados de otras compañías. Con acceso a sus sistemas, los ciberdelincuentes pueden comprometer saltar a las redes de cientos de sus clientes.

Okta negó en un primer momento que Lapsus$ se hubiera infiltrado en su estructura, para terminar reconociendo este miércoles que un ciberataque ha afectado a una parte de sus clientes (hasta 400). “Tras un análisis exhaustivo, hemos llegado a la conclusión de que un pequeño porcentaje de clientes —aproximadamente el 2,5%— se ha visto potencialmente afectado y cuyos datos pueden haber sido vistos o manipulados”, afirmó su jefe de seguridad en un comunicado.

CC

El grupo de hackers Anonymous le declaró la “ciberguerra” a Rusia y a su presidente, Vladimir Putin, por invadir a Ucrania, con exigencias de que retire sus tropas de allí o hará ciberataques contra los principales sitios web del Gobierno ruso.

“El grupo Anonymous está en estado de ciberguerra contra el Gobierno ruso”, afirmaron los hackers en su cuenta de Twitter, en un mensaje que acompañaron de un vídeo y la etiqueta #Ukraine.

En el video, Anonymous criticó la invasión rusa a Ucrania y el “agresivo régimen” del país. También lanzó un aviso sobre la posibilidad de que “componentes clave de la infraestructura gubernalmental” sean 'hackeados', según Europa Press.

No es la primera vez que la identidad colectiva se posiciona en contra de las actuaciones de Rusia. Este viernes varios perfiles anunciaron la caída del “canal de propaganda” RT “Russia Today”.

Desde Ucrania, el ministro de Transformación Digital, Mykhailo Fedorov, celebró este pronunciamiento de Anonymous a favor de su país, que calificó de “operación especial” contra Rusia.

El grupo recordó a Putin que en 2018 hackeó el sitio web del regulador ruso de las comunicaciones, Roskomnadzor, y anunció que filtró los datos del Ministerio de Defensa de Rusia, que ahora son de libre acceso.

“Su intento reciente de amenazar a Finlandia y Suecia es una vergüenza. Amenaza a estos países si ingresan en la OTAN. Hoy tumbamos los sitios del Servicio Federal Antimonopolios, el Kremlin, (la cadena de televisión) Rusia Today y otros sitios vinculados a las autoridades rusas”, declaró Anonymous.

Durante horas no funcionó este sábado la página de la agencia espacial rusa, Roscosmos, y aun no funciona la del Kremlin.

Además, Anonymous amenazó a Putin con revelar lo que ocultó durante años y prometió que estas informaciones serían “un golpe demoledor” para el mandatario y “sus títeres corruptos”.

“Solo es cuestión de tiempo hasta que encontremos la suciedad que usted trata de esconder de la sociedad a la que miente mezquinamente (...) Ahora exigimos restaurar los derechos del pueblo ucraniano”, añadió el grupo, que llamó a todos sus afiliados a buscar información en la red.

YouTube suspende la monetización de contenidos para la cadena rusa RT

En tanto, YouTube anunció este sábado que suspende la posibilidad de que algunas cadenas rusas, como la estatal RT, moneticen sus contenidos en la plataforma debido a las “circunstancias excepcionales” en Ucrania, invadida por Rusia.

La red social informó asimismo que limitó el acceso a RT (antes llamada Russia Today) y a otras cadenas rusas en Ucrania, país invadido por tropas rusas desde hace tres días.

En YouTube se obtienen ingresos mediante la activación de anuncios publicitarios en los videos.

El viernes, Facebook dijo haber prohibido que los medios de comunicación públicos rusos ganen dinero en su plataforma.

“A la luz de las circunstancias excepcionales en Ucrania, estamos tomando una serie de medidas”, declaró este sábado un portavoz de la compañía.

“Nuestros equipos han comenzado a suspender la posibilidad de que algunas cadenas generen ingresos en YouTube, incluidos los canales de RT en todo el mundo”, añadió.

La plataforma precisó que se “limitarán mucho” las recomendaciones a los usuarios para que elijan esos canales.

“Y en respuesta a una petición de un gobierno, hemos restringido el acceso a RT y a varios otros canales en Ucrania”, señaló YouTube.

A principios de febrero, en medio de la escalada de la tensión por Ucrania, Alemania prohibió la emisión de RT en su territorio, lo que llevó a Rusia a cerrar la oficina de la cadena alemana Deutsche Welle en Moscú.

RT fue creada en 2005 como “Russia Today”, es financiada por el Estado ruso y en la actualidad cuenta con emisoras y páginas web en varios idiomas, sobre todo en inglés, francés, español, alemán y árabe.

CRM con información de agencias