El 3 de septiembre de 2019, el dólar en el Banco Nación se conseguía a $59,95 para la compra y a $53,05 para la venta. Pero Ariel Ortmann logró comprar por $5,995 y vender a $530,50 y obtener, al final del día, una ganancia de US$11.800.
La estrategia de Ortmann fue tan simple -y a la vez tan compleja- como correr la coma en la aplicación del banco. Ortmann, un hacker avezado, logró modificar la cotización luego de detectar vulnerabilidades en los sistemas informáticos del Banco Nación.
Primero, Ariel advirtió a las autoridades del Banco Nación por mail. Sin tener respuesta, el 23 de octubre, se presentó en la sede central con toda la evidencia que tenía y el dinero que había hecho. Lo hizo para garantizar la transparencia y dejar en claro que lo único que le interesaba era advertir sobre la facilidad para burlar el sistema de seguridad.
Una semana después, una representante legal del banco denunció a Ortmann. Recién un año más tarde, en diciembre de 2020 fue sobreseído. En su fallo, el juez federal Marcelo Martínez de Giorgi escribió que la intención de este hacker ético “no estaba dirigida a causar un perjuicio patrimonial, sino a probar las debilidades del sistema informático”.
De la colaboración a la causa penal
“Hoy, cuando la sociedad civil colabora con la ciberseguridad del Estado, recibe una causa penal”, sintetiza Agustín Frizzera director de Democracia en Red.
Esta organización se unió con Fundación Vía Libre y el Observatorio de Derecho Informático Argentino (O.D.I.A) para crear el proyecto Datos en Fuga. El objetivo es que los “hackers éticos”que descubran vulnerabilidades en el sistema de seguridad del Estado, tal y como lo hizo Ariel, lo puedan denunciar en una plataforma de forma segura y anónima.
También, el proyecto busca concientizar sobre el valor de los datos y la necesidad urgente de que el Estado los proteja porque hoy están “en fuga”.
“Creemos que hay dos problemas. Primero, no hay inversión suficiente en ciberseguridad por parte del Estado. El segundo problema es que, si vos no tenés dinero para invertir, podés recibir ayuda de la sociedad civil. Pero hoy eso no pasa. Esas denuncias deberían estar canalizadas para que el Estado las pueda aprovechar”, explica Frizzera.
Otra experiencia: una alerta sobre resultados electorales
En julio de 2015, días antes de las elecciones generales a jefe de Gobierno en la Ciudad de Buenos Aires, Joaquín Sorianello ingresó al sistema informático de la empresa Grupo MSA responsable del software de votación por boleta electrónica.
Sorianello probó que, al igual que lo había hecho él, podría ingresarse al sistema y falsear los resultados de las elecciones. Con esta información, se presentó ante MSA para advertirles. Días después, la Justicia allanó su casa, se llevó sus equipos y le abrió un proceso penal que se cerró, al igual que en el caso de Ortmann, un año después con su sobreseimiento.
“Hoy tenemos creado un espiral del silencio. Quien sabe que hay una vulnerabilidad no dice nada porque saben que lo encausan entonces hay una ceguera. Es la felicidad de la ignorancia. Y mientras filtraciones hay todo el tiempo”.
Lo que dice Frizzera se sostiene con datos. Entre abril de 2020 y marzo de 2021, la Unidad Fiscal Especializada en Ciberdelincuencia registró 14.583 reportes de casos asociados a la cibercriminalidad. Esto corresponde a un 465% de aumento de casos con respecto al año anterior.
En lo que va del año, el Senado fue hackeado dos veces. En octubre de 2021, un hilo de Twitter publicó los datos de 44 DNI de figuras públicas que se obtuvieron gracias a un ataque informático al Renaper. Es probable que el hacker que hizo esa maniobra se haya hecho de la totalidad de la base de datos con información de 47 millones de argentinos.
“Si bien la dirección nacional de ciberseguridad en los últimos años ha logrado avances significativos, la ausencia de una coordinación más acabada entre todas las dependencias nos arroja a un escenario alarmante. Es un sistema vetusto”, explica a TN el abogado especialista en derecho informático y miembro de O.D.I.A, Tomás Pomar.
Falta personal idóneo
Actualmente, en la Argentina rige la ley 25.326 de protección de datos personales. Se promulgó en el 2000, seis años antes de que Facebook se vuelva público y 12 años antes de que Instagram lanzara su versión Android.
Pomar señala que el Estado nunca podrá fortalecerse si no contrata personal idóneo en ciberseguridad. “Las reglamentaciones en Empleo Público hacen virtualmente imposible que la Administración Pública pueda si quiera intentar competir por los recursos humanos calificados contra el sector privado”.
La plataforma de Datos en Fuga estará disponible a partir de septiembre, será totalmente anónima y encriptada para resguardar la seguridad de los denunciantes. Cuando se reúnan estas alertas de vulnerabilidades, Datos en Fuga le acercará los informes a la Dirección Nacional de Ciberseguridad. Quedará luego en manos del Estado definir qué hacer.
