Por Ari Lijalad / El Destape Web
Everis, la empresa que tiene a cargo el soporte del sistema de Gestión Documental Electrónica (GDE) que administra todos lo expedientes digitales del Estado argentino, fue hackeada. Esto ocurrió en sus oficinas en España pero dado el tipo de ataque informático el alcance puede extenderse a la Argentina. El Destape se comunicó con la filial Argentina para confirmar si su sede local fue afectada pero hubo reticencia a dar información. Sin embargo, en una de las comunicaciones la operadora reconoció inconvenientes en sus redes. El caso revela la debilidad de esta empresa a cargo del cuidado de los archivos públicos de la era Macri, cuyo caso reveló El Destape.
Everis es la proveedora única del sistema GDE que, tal como publicó El Destape, no cuenta con back up, es decir, con una copia de seguridad de todos los documentos y expedientes públicos de los 4 años de la presidencia de Mauricio Macri. Y no sólo eso. El sistema GDE no tiene un plan ante desastres, no funciona la mayor parte del día, no garantiza confidencialidad ni existe control sobre quienes lo usan, menos de la mitad de las personas que lo utilizan fue capacitada, no está claro de quién es la licencia y, para colmo, el Gobierno no dejó que se auditara de forma completa. Todas estas falencias del sistema cuyo soporte provee Everis constan en documentos oficiales de la Auditoría General de la Nación (AGN) y en la respuesta a un pedido de acceso a la información pública que realizó El Destape. Ahora se suma que la empresa sufrió un ciberataque que bloqueó sus operaciones. Si todo esto ya ponía en riesgo los expedientes públicos de la era Macri, este hackeo a Everis, la empresa a cargo del soporte del GDE, hace más preocupante aún la situación.
El sitio Bitcoin.es publicó esta comunicación de Everis a sus empleados: “Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PC’s apagados. Se ha desconectado la red con clientes y entre oficinas. Les mantendremos informados. Por favor, trasladen urgentemente el mensaje directamente a sus equipos y compañeros debido a los problemas de comunicación estándar.”. Los periodistas Manuel Ángel Méndez y Guillermo Cid consignaron en El Confidencial que “Everis ha confirmado oficialmente estar afectada”.
La situación fue reconocida por el Instituto Nacional de Ciberseguridad (Incibe) de España, que emitió un comunicado donde aseguró que están trabajando “en la mitigación y recuperación del incidente en coordinación con las empresas afectadas”.
El diario La Vanguardia informó que “el Departamento de Seguridad Nacional del Gobierno de España ha hecho público este lunes un comunicado en el que informaba que, a lo largo de esta mañana, ‘se han estado produciendo infecciones por malware tipo ransomware (encripta documentos) a empresas estratégicas en España’”. Entre esas empresas está Everis.
Lo que ningún medio español reparó es que, tal como informó en exclusiva El Destape, Everis es quien se encarga de los expedientes públicos argentinos con un sinnumero de falencias que, aún antes de este hackeo, ya los ponía en riesgo de desaparecer.
El caso recuerda a Iron Mountain, aquel incendio intencional que eliminó decenas de miles de documentos de empresas investigadas por lavado de dinero, entre ellas algunas firmas de la familia Macri. Pero, en este caso, existe la posibilidad de un Iron Mountain digital, más limpio y, al menos, evitando muertes como las de los 10 miembros de bomberos y defensa civil que intentaron apagar aquel incendio.
A su merced
Tal como informó este medio, la AGN advirtió que uno de los riesgos que presenta el sistema GDE es que fue tercerizado en un único proveedor: Everis. El informe de la AGN advirtió que además de los vaivenes propios de cualquier empresa (quiebra, cambios comerciales, cambio de prioridades, etc.) este vínculo con Everis vulneraba “las buenas prácticas para la administración de servicios de terceros y para la administración de riesgos de proveedores”.
La AGN también señaló que “la total dependencia en un único proveedor a cargo del servicio de desarrollo y mantenimiento evolutivo, correctivo y adaptativo del sistema GDE, sin contemplar una adecuada transferencia de conocimiento, condiciona a la Secretaría de Gobierno de Modernización -que no cuenta con personal técnico involucrado en ese servicio- en un proceso complejo y de alto impacto respecto a la responsabilidad que les cabe a los funcionarios de la Secretaría como contratantes ante la degradación o cancelación repentina de este servicio completamente tercerizado”. Esto último, la cancelación repentina del servicio, es una de las cosas que puede ocurrir si hackean a Everis, como sucedió ahora.
El Gobierno respondió que estaban “conscientes de los riesgos que implica la tercerización de la producción de código en un único proveedor” y que habían iniciado un nuevo concurso. En concreto, reconocieron el problema pero la situación se mantiene con Everis como único proveedor. Un proveedor hackeado.
Everis obtuvo el soporte del sistema GDE en octubre de 2017, cuando se quedó con ese concurso con una oferta de 95.775.000 pesos. El presupuesto eran 96 millones, apenas 225.000 pesos por encima de la oferta de Everis, que fue la única que se presentó. A medida. Según el portal Compr.ar, que centraliza la información de los proveedores del Estado, la situación de Everis es “Desactualizado por documentos vencidos” y tiene otros contratos con el Estado, con la Secretaría de Modernización, con la Administración de Bienes del Estado y con el Ministerio de Producción y Trabajo, este último por 32 millones de pesos.
Tienes un e-mail
El ataque a Everis fue a través de lo que se conoce como “ransomware”. Horacio Arroyo, especialista en Infraestructura y Seguridad informática, explicó a El Destape: “El ransomware es una forma de malware que se especializa en encriptar los archivos y todo contenido de los usuarios u organismos que ataca, con la intención de demandar un pago a cambio del acceso a la llave que haga posible la desencripción del material. Puede ser de tipo general, es decir que no tiene como foco ningún grupo en especial, por lo que ataca a todo objetivo con el que tiene contacto y es vulnerable a sus capacidades de penetración y control; o de tipo spear o específico, donde toda la campaña desde la selección del objetivo, el diseño del vector de ingreso y la forma de ataque y control está particularmente creada para un objetivo individual”. La diferencia entre los tipos de ataques es clave, ya que de eso depende si la cuestión, que comenzó en España, puede llegar a nuestro país. Arroyo, que trabaja en la empresa de seguridad informática CTRL, afirmó: “En el primer caso de objetivo general, puede llegar a cualquier parte de la internet, por lo que la posibilidad de ser víctima del ataque depende del nivel de vulnerabilidad de los sistemas en lugar de una ubicación geográfica o ámbito laboral/empresarial”.
Según el portal Bitcoin.es, el ataque fue a través de un mail con el asunto “Joaquin Sabina: cambiar el himno del Atleti con Joaquin Sabina” con la convocatoria a firmar una petición al respecto donde tenían que juntar 100 firmas.