En la investigación del "AFIP-Gate" crece la hipótesis del "factor humano" y se diluye la sospecha del hacker externo
Se suponía que era inexpugnable y que sus estándares de seguridad estaban a la par de los más avanzados de América latina.
Se creía que era virtualmente imposible toparse -ni a propósito ni por casualidad- con esos datos sensibles que el propio Gobierno había prometido preservar.
Sin embargo, el sistema que guardaba los nombres de los miles de adherentes al blanqueo sufrió una fisura, y ahora la AFIP es un hervidero de rumores sobre cómo eso pudo ser posible.
Como en toda investigación, ya hay algunas pistas que permiten plantear varias hipótesis. Algunas parecen más factibles que otras.
Por lo pronto, la versión que gana peso es que hubo un "factor humano" y no un problema tecnológico. Ocurrido el incidente, en el organismo trabajan contrarreloj para hallar el origen de la filtración.
Tal como dejó en claro el propio Alberto Abad, titular de la AFIP, es probable que puedan conocerse nuevos datos sobre quienes adhirieron al blanqueo.
"Aún se desconoce el volumen de filtración de datos del blanqueo", se sinceró el funcionario.
E indicó que el organismo está en pleno proceso de auditoría interna" y que, por ese motivo, todavía no está claro qué nivel de información fue extraída.
Las fuentes consultadas por iProfesional coincidieron en destacar la idoneidad y calidad profesional de Jorge Linskens, ahora ex subdirector general de sistemas y telecomunicaciones del organismo, ya que debió renunciar tras la revelación de datos sensibles.
Mientras tanto, la estrategia de investigación que se está llevando a cabo se centra en ocho funcionarios.
El factor internoLa fortaleza de los sistemas del ente recaudador es un punto que los expertos no han puesto en duda.
También destacaron que ni antes ni después de las filtraciones se han conocido pistas en la web y en la Internet profunda ("dar o deep web") que revelaran brechas por donde se podría haber filtrado la información.
En este sentido, compararon esa ausencia de versiones sobre posibles vulnerabilidades con los recientes casos que padecieron multinacionales de la talla de HBO, Disney o Sony.
Poco se informó sobre la infraestructura informática de la AFIP, salvo la Sala Cofre que se encuentra en sus oficinas en la Avenida Paseo Colón, en el barrio porteño de San Telmo.
Sebastián Stranieri, director general ejecutivo de VU Security, empresa de seguridad informática -que tiene entre sus clientes a bancos como el Macro, HSBC y Credicoop- señaló que a este tipo de sistemas, como el del organismo recaudador, "no es posible acceder con un simple nombre de usuario y contraseña".
"Si fuera ese el caso, estaríamos frente a la implementación de una plataforma obsoleta para la gestión de la confidencialidad de los datos, y asumo que no es el caso", indicó.
"Me consta el ‘expertise' del equipo de la AFIP por haber tenido varias reuniones de trabajo vinculadas con temas de seguridad. Sé que es muy bueno", dijo a iProfesional este empresario, para quien las "hipótesis" sobre estas filtraciones "podrían ser infinitas".
Por ejemplo, "desde alguien que le saca una foto a una pantalla, hasta una hoja en la impresora que no fue destruida como corresponde. No es solamente un efecto técnico o de vulnerabilidad al cual podemos estar enfrentándonos", expresó Stranieri.
Errores humanosEduardo Thill fue subsecretario de Tecnologías de Gestión de la jefatura de Gabinete entre 2009 y 2011 y en 2015.
En esa posición tuvo a cargo a los órganos rectores en la Administración Pública Nacional de Tecnologías (ONTI) y Contrataciones Públicas (ONC). También fue responsable de la infraestructura y políticas de firma digital.
Además, de él dependió el ArCert, unidad de respuesta ante incidentes en redes que centraliza y coordina esfuerzos para el manejo de problemas de seguridad que afecten recursos informáticos del Poder Ejecutivo.
En otras palabras, bajo su responsabilidad estaba evitar cualquier ataque o intento de penetración a través de las redes de información.
Para el ex funcionario (en la foto superior), "el sistema de seguridad informático y de redes de la AFIP es uno de los mejores no sólo del país sino de Latinoamérica".
"Dudo seriamente que se lograran extraer datos sensible desde fuera de la organización", aseguró, al tiempo que añadió: "La mayoría de estos casos suceden desde adentro".
"Incluso, conozco situaciones de este tipo que han sido consecuencia de reportes impresos que fueron a parar al tacho de basura y así llegaron a manos de gente no autorizada, al igual que sacar fotografías con celulares a las pantallas de sistemas para hacerse de información", agregó Thill.
Este experto es contundente en su afirmación: "De forma expresa o sin querer, el 90% de los inconvenientes de seguridad son producto de errores humanos".
"Las consecuencias de esos errores, las formas y los motivos se pueden esclarecer con las correspondientes auditorias de sistemas, de datos de la red y de los controles de acceso tanto al sistema como a la organización", añadió.
Tras advertir que ninguna plataforma (ni nada) es 100% segura, explicó que "siempre lo que se intenta es definir la arquitectura y sus procesos, para que el acceso a los datos sea harto dificultoso".
¿Qué sucede con la información encriptada?, preguntó iProfesional.
Thill indicó que si bien puede ser desencriptada, lo que entra en juego en estos casos es el tiempo y los recursos para ese proceso.
"Si lleva años y requiere de una gran cantidad de recursos económicos y humanos, la ecuación de costo beneficio no da para que tenga un efecto de proporciones", afirmó el ex funcionario.
El factor externoLa otra posible vía de filtración es la externa.
Es decir, un ataque o intrusión desde afuera de la AFIP aprovechando una vulnerabilidad del sistema, o bien a través de mecanismos de estas estafas virtuales o ingeniería social.
Hay varios ejemplos de este tipo, como lo acontecido con la cuenta de la ministra de Seguridad, Patricia Bullrich, en Twitter.
Desde las oficinas locales de una multinacional de seguridad informática, un alto ejecutivo de esta compañía, que pidió no ser mencionado, señaló que no se han registrado versiones sobre "agujeros" en la AFIP.
Ni siquiera en la Internet profunda, donde la delincuencia informática comparte a diario mucha información concreta sobre vulnerabilidades en sistemas de empresas y organismos.
No obstante, recomendó no descartar ninguna pista, como por ejemplo un ataque a los servidores donde se alojaban los datos de los contribuyentes beneficiados por el blanqueo.
Tampoco debe dejarse de lado la posibilidad de que un intruso haya tomado parte del control de una computadora o de una red interna del organismo.
¿Cómo? A través de un código malicioso introducido mediante un correo electrónico o por una memoria USB, mecanismos habituales al que echan mano los delincuentes informáticos.
Este ejecutivo le asignó altas probabilidades a que la filtración haya sido producto del trabajo de "alguien de adentro de la AFIP" que haya copiado y extraído esa información sensible.
En ese caso, la clave pasa por saber si el organismo recaudador tiene implementado un sistema de prevención de pérdida de datos (DLP, sigla en inglés).
Estas plataformas, que no son soluciones económicas de instalar o mantener, como puede ser un antivirus o un cortafuego ("firewall"), permiten combatir la fuga de información dentro de una organización.
Investigación forense¿Cuáles son las medidas que deben implementarse en caso de que se trate de un fraude interno, como el que se habría cometido en la AFIP?
Pablo Rodríguez Romeo, perito informático forense y socio del Estudio CySI, dio su respuesta a iProfesional: "Si bien los delincuentes que perpetraron el ataque o la intromisión al sistema tratan de no dejar rastros, sus huellas no son tan fáciles de borrar".
Hay procedimientos que permiten que los profesionales de la informática y la investigación puedan echar luz sobre estos oscuros hechos, reconstruyendo la actividad del dispositivo utilizado para consumarlo.
"En una carrera contra el tiempo, la intervención de peritos informáticos se vuelve crucial para llevar adelante el análisis correspondiente, obtener y resguardar la evidencia digital e implementar procedimientos que eviten la nulidad de la prueba", afirmó Rodríguez Romeo.
Para comenzar, se seleccionan los equipos a investigar. Esto surge de una auditoría o bien por recomendación de la misma organización atacada.
Se trabaja con aquellos que podrían estar involucrados, identificando la correlación de hechos y equipos.
Luego, se procede a preservar la prueba, la cual es posible que se realice a partir de una copia forense.
"Nunca se trabaja con el equipo o el medio original, porque se corre el riesgo de dañarlo y/o contaminarlo", detalló el especialista.
"La copia forense permite recuperar toda la información que se encuentra en los medios de almacenamiento y reconstruir los pasos de la persona que accedió al equipo informático", completó.
También es muy común la utilización de softwares de investigación que posibilitan el análisis y el procesamiento de gran cantidad de información y rapidez.
Luego de las afirmaciones de Abad, en el sentido de que pueden surgir nuevas listas con nombres y montos de contribuyentes que adhirieron al blanqueo, la preocupación también se instaló en Casa Rosada.
Por lo pronto, el objetivo más urgente es hallar el origen de la filtración y ver si hay forma de evitar que lo que hasta ahora fue la divulgación de datos de personas allegadas a Macri, pueda repetirse pero a escala masiva.