Por Pedro Cacivio (*)
- RESPUESTA INICIAL INFORMATICA- Aislamiento inmediato de las redes afectadas para evitar la propagación del ransomware.- Identificación y aislamiento de los equipos infectados.- Activación inmediata del equipo de respuesta ante incidentes informáticos.- Clonación de los discos afectados de los servidores y Bases de Datos. – Uso de herramientas forenses especializadas para detectar el alcance (Najash 2.1 Herramientas desarrolladas por Instel & Seguridad).- Revisión exhaustiva de archivos modificados y procesos sospechosos utilizando herramientas automatizadas (PowerShell y scripts especializados).- Preservar evidencia digital: Realizar imágenes forenses con sus HASH correspondientes del sistema, con herramientas adecuadas, asegurando su integridad.
Comunicación inmediata a Ciber Crimen, para que la denuncia correspondiente quede asentada.- En caso de contar con un plan de contingencia, este deberá ser puesto en marcha únicamente bajo la autorización del perito asignado. Previo a ello, será necesario realizar un análisis del impacto y determinar si las condiciones del ambiente permiten su implementación segura. Se deberán tomar todas las medidas necesarias para evitar que la infección persista o resurja en el nuevo entorno.
Tanto los sistemas de backup como los equipos que se incorporen al nuevo entorno deben haber sido previamente clonados, generando sus hashes correspondientes, con el fin de garantizar que estén libres de infecciones y evitar que estas se propaguen al nuevo ambiente.
En ECOM Chaco contamos con peritos especializados en ciberseguridad y análisis forense informático, quienes brindarán soporte técnico durante todo el procedimiento. Además, disponemos del desarrollo de herramientas Forense especializadas para cada caso, por medio de la empresa INSTEL & Seguridad así como protocolos específicos para prevenir y detectar posibles reinfecciones.
- GESTIÓN DE CRISIS POLÍTICA- Reunión urgente del comité de crisis (Gobernador, ministros, responsables de seguridad informática, policía de delitos informáticos y empresa especializada en ciberseguridad).- Comunicación transparente al Poder Ejecutivo sobre la magnitud del incidente, posibles impactos, y medidas inmediatas adoptadas.
Evaluar la posibilidad de solicitar apoyo externo especializado.- Establecer comunicación directa con sus distintos organismos (Ministerios e Intendencias), para alertar y prevenir, ataques similares.
- ACCIONES JUDICIALES- Radicar inmediatamente una denuncia penal ante la Fiscalía especializada en delitos informáticos, conforme a Ley 26.388 (Delitos Informáticos).- Documentar y preservar todas las pruebas digitales conforme a buenas prácticas forenses internacionales (ISO 27037).
En casos relacionados con virus asociados a pornografía infantil, se deberá solicitar asistencia técnica a la Justicia Federal, ya que la mayoría de estas investigaciones están vinculadas con INTERPOL, debido a la gravedad que revisten estos delitos, generalmente de alcance internacional y alto impacto social. Cabe destacar que en este tipo de investigaciones se procede frecuentemente a decomisar todos los equipos informáticos y registros del servidor involucrados. Es habitual que este tipo de virus se relacione con material que involucra trata de personas o explotación infantil. Por ello, se emplean técnicas avanzadas para analizar metadatos, imágenes y registros, llevando a cabo allanamientos en las instituciones desde donde se realizaron las descargas o se almacenaron los contenidos, con la consiguiente incautación de equipos y datos relevantes.
– Gestionar ante el juez o fiscal medidas cautelares para preservar la confidencialidad y no difusión de datos sensibles según Ley 25.326.
- RESPONSABILIDADES EMPRESARIALES (Dependencias y Ministerios)– Notificar de inmediato a las autoridades superiores de cada dependencia.- Activar protocolos internos de continuidad de negocios y contingencia.- Debe existir un plan documentado de gestión de crisis y continuidad de negocio previamente aprobado, cuyo incumplimiento implica responsabilidades administrativas por negligencia o incumplimiento de los deberes del funcionario público.- Evaluar impacto económico inmediato y a mediano plazo.- Tomar medidas para proteger a los contribuyentes y ciudadanos, como bloqueo preventivo de accesos a portales o servicios web comprometidos.- Implementar comunicaciones internas claras sobre procedimientos y avances.- Restablecer sistemas críticos utilizando copias de seguridad limpias previamente validadas.
Auditar la infraestructura tecnológica para evaluar vulnerabilidades críticas, adoptando medidas correctivas urgentes.- Control de la Auditoría Informática por medio de Pentest.
- GESTIÓN DE COMUNICACIÓN Y PRENSA
La comunicación es fundamental, no solo para alertar y prevenir a otras instituciones sobre posibles ataques similares, sino también para transmitir claramente a la ciudadanía que el Estado está actuando responsablemente frente al incidente. Esta responsabilidad incluye informar de manera transparente y precisa sobre la naturaleza, alcance y gravedad del ataque sufrido, así como sobre las medidas adoptadas para solucionarlo, mitigar posibles daños y garantizar la protección de los datos afectados.
Dicha tarea debe ser asumida por los directivos o funcionarios responsables, quienes deberán comunicar de manera oportuna, veraz y efectiva todas las acciones implementadas, para reforzar la confianza pública y demostrar que la institución está a la altura de las circunstancias.
Nombrar un vocero oficial con experiencia técnica e institucional para informar a la prensa. Comunicar de forma clara, precisa y transparente sin revelar detalles técnicos sensibles.
Elaborar un comunicado oficial informando sobre la situación general y medidas tomadas.
Dar recomendaciones claras a la ciudadanía sobre cómo proteger sus datos personales y qué hacer en caso de sospecha de exposición.
Mantener la transparencia comunicativa para controlar rumores, especulaciones o información errónea, que comprometan políticamente a la institución.
- ASPECTOS TÉCNICOS FUNDAMENTALES POST INCIDENTE- Realizar análisis exhaustivo para determinar el vector de ataque, incluyendo análisis de phishing, accesos remotos no autorizados, o explotación de vulnerabilidades, técnicas de instrucción avanzadas “man in the middle, uso de IA para ataques secuenciales.
Implementar o fortalecer sistemas de monitorización (IDS/IPS). Así como también la seguridad física, con sistemas de cámaras y monitoreo en lugares críticos.
El uso de equipos licenciados, o sofware libre acorde a las circunstancias, sacando cualquier equipo obsoleto en sus sistemas, y actualizando parches de seguridad.- Mejorar medidas preventivas como Antivirus de última generación (EDR), sistemas EDR, Zero Trust Network Access (ZTNA) y cifrado avanzado de datos sensibles.- Implementación de correctas políticas y reglas ACLs, a cargo del experto en seguridad informática. Estas deben ser corregidas cuando se incorporen nuevos equipos o tecnología.
Capacitar al personal técnico en respuesta a incidentes, gestión de crisis cibernética, y medidas preventivas avanzadas.
Capacitar a los usuarios en la importancia de respetar las políticas de seguridad así como la responsabilidad de los mismos ante un incidente.
Integrar Inteligencia Artificial en herramientas de monitoreo para detección temprana de patrones de ataque avanzados.
- MARCO LEGAL Ley 25.326 – Ley de Protección de Datos Personales- Los funcionarios públicos y responsables de instituciones deben asegurar la confidencialidad, integridad y seguridad de los datos personales almacenados o procesados en los sistemas informáticos que administran.
Es su deber informar inmediatamente cualquier incidente de seguridad que comprometa datos personales a la Agencia de Acceso a la Información Pública, conforme a lo establecido en el artículo 9 y 10 de dicha ley.- Deben implementar políticas adecuadas de seguridad y auditoría regular sobre la gestión y protección de los datos, siendo responsables penal y administrativamente en caso de negligencia.
Responsabilidades según la Ley 26.388 (Delitos Informáticos)
Frente a un ataque informático, es obligación inmediata de la autoridad realizar una denuncia penal en fiscalías especializadas (artículos 183 bis, 183, 153 bis y 155 del Código Penal Argentino reformados por Ley 26.388).
Es responsabilidad preservar adecuadamente la evidencia digital y ponerla a disposición inmediata de las autoridades judiciales pertinentes, bajo protocolos estandarizados de cadena de custodia.
CONCLUSIÓN
La respuesta integral ante ransomware no solo implica restaurar el servicio afectado, sino actuar de manera coordinada en ámbitos técnicos, legales, políticos, empresariales y comunicacionales para minimizar el impacto económico, social y político, garantizando la seguridad y privacidad de los ciudadanos y fortaleciendo la capacidad institucional frente a futuras amenazas.
El incumplimiento de las responsabilidades mencionadas anteriormente podría tener las siguientes consecuencias:
Jurídicas: Responsabilidad penal según Ley 26.388 (Delitos Informáticos), potencial responsabilidad civil por daños derivados del mal manejo de información sensible según Ley 25.326.
Administrativas: Sumarios administrativos, sanciones disciplinarias internas o separación del cargo en caso de negligencia o mala praxis.
Políticas: Alto costo político derivado de la falta de preparación, fallas en la prevención o en la gestión del incidente, con pérdida de credibilidad pública y cuestionamientos sobre la capacidad del organismo.
Cada funcionario involucrado debe actuar con máxima responsabilidad, transparencia, rapidez y eficacia, asegurando siempre que las decisiones y acciones se encuadren claramente dentro del marco legal vigente. Es esencial documentar cada paso para reducir riesgos legales, proteger al organismo y responder adecuadamente ante la sociedad.
(*) Perito informático de la Nación, analista en sistemas.
