La entrevista en tres definiciones:

"Falta sensibilizar a las autoridades de la justicia que participan en el diseño de políticas del sector para que las decisiones en materia de ciberseguridad se tomen más seriamente."

"Los incidentes de ciberseguridad que experimentó la justicia recientemente demostraron que no había planes de este tipo, o de haberlos, no vimos que fueran puestos en práctica."

"Otros poderes judiciales deben poder aprender de esta experiencias, se necesitan planes robustos y de largo plazo, pero hay que empezar por decidir que este también es un tema importante para garantizar el funcionamiento adecuado de la justicia."

Que la justicia sea blanco de los ataque informáticos no es una novedad para nadie. Se trata de un servicio crítico para el Estado que, desde hace años, se sirve de las tecnologías de la información y la comunicación para funcionar, por lo que es casi connatural a la digitalización que un mayor grado de exposición haga de la justicia un blanco continuo de ataques informáticos.

Sin embargo, resulta preocupante que solo en 2022 se reportaron en la Argentina dos ocasiones en que los poderes judiciales provinciales (Córdoba y Chaco) experimentaron ataques a sus sistemas de información y gestión de expedientes de tal gravedad, que ocasionaron la suspensión temporal del servicio de administración de justicia. Y otros dos casos (San Juan y CABA) en donde los poderes judiciales experimentaron ataques que dejaron expuesta información administrativa o judicial sensible.

De lejos, el caso más notorio fue el de Córdoba, donde el secuestro digital de la información judicial (por Ransomware) paralizó por más de una semana el funcionamiento del servicio de la justicia sin que hubiese sido posible tramitar causas, pero tampoco emitir constancias, librar oficios ni órdenes de pago a terceros (peritos, entre otros). Se trató de un “apagón” judicial que afectó al menos a 8 mil personas, incluyendo a litigantes que vieron dificultado el ejercicio de su derecho al trabajo.

Ahora bien, ¿qué lecciones trae consigo cada uno de estos eventos y por qué, el hecho de que un servicio público tan sensible para el reclamo y restablecimiento de derechos se vea interrumpido por incidentes de cibserseguridad, debe motivar a la adopción de mejores políticas en ese sentido? Para profundizar en las lecciones y alertas que dejan cada uno de estos casos, consultamos en entrevista a la experta en ciberseguridad Marcela Pallero quien insiste en la importancia de tomar más en serio la ciberseguridad en sectores críticos, como el de la justicia.

-En tu experiencia, siguiendo diversos incidentes de ciberseguridad en el Estado argentino, ¿qué hace tan especial este tipo de eventos y cómo explicar la frecuencia de incidentes que recientemente han afectado a la justicia argentina?

Son casos gravísimos los incidentes que, por su definición, son eventos que no se esperan y que pueden dañar la integridad, la disponibilidad o la confidencialidad de la información o de los servicios que causan un daño, o cuando el daño es inminente. Ahora bien, incidentes en la justicia hubo siempre, el phishing es un tipo de incidente, así que desde que hay correo electrónico existen ataques que buscan afectar la confidencialidad, disponibilidad, integridad o autenticidad de la información y los sistemas. Lo que no habíamos visto hasta ahora es que los impactos sean tan grande y continuados, en particular del Ransomware que es un conjunto de acciones o actividades maliciosas que afectan a una organización de manera sostenida en el tiempo, mientras son atacados y luego, cuando publican información sensible de clientes o de las propias organizaciones.

Ya cuando el incidente es tal que impide trabajar es muy difícil ocultarlo, y si no lo puedes ocultar siendo el Poder Judicial quiere decir que el nivel de afectación es grave, como en el caso del Chaco y de Córdoba. Lo cierto es que todas las organizaciones están en riesgo, y por eso se deberían tomar ciertas medidas para gestionar mejor la propia ciberseguridad.

Ahora, la justicia es un servicio fundamental del Estado y la sociedad, aun cuando no es el único sector que sufre este tipo de afectaciones. Cuando se afecta a los sistemas de información de la justicia hablamos de retrasar una posible excarcelación, o un pago de un reclamo en algún tipo de causa. La infinidad de derechos que se pueden ver afectados es crucial, más allá de los aspectos técnicos, de buenas prácticas, de gobernanza o de gobierno en materia de ciberseguridad que debería haberlas en una organización tan compleja como el sector justicia.

-En tu opinión, ¿qué crees que contribuyó a que se presentaran estos incidentes en la justicia a nivel provincial?

Pueden fallar muchas cosas, pero sin duda la pandemia mostró lo difícil que es proveer la seguridad informática suficiente para un servicio complejo como lo es la justicia. En la pandemia, para habilitar el trabajo de la justicia virtual en la casa de las funcionarias y funcionarios, se sumaron nuevas plataformas, las redes de las personas, sus dispositivos, se amplia lo que se llama ‘superficie de exposición’, que son todos los posibles puntos que pueden ser atacados.

Cada dispositivo, o cada sistema que no está actualizado o que es muy viejo u obsoleto, es una puerta de entrada a un ataque, lo que puede dar lugar a fallas que pueden ser de origen técnico. Pero también hay fallas que pueden contribuir a que las cosas salgan mal, como pueden ser las de gestión administrativa de la seguridad, como tener los usuarios sin los permisos mínimos para realizar su trabajo, o la falta de la toma de decisiones. Que van desde actualizar los sistemas de una organización, hasta decidir implementar un plan de respuesta ante incidentes de ciberseguridad.

Falta sensibilizar a las autoridades de la justicia que participan en el diseño de políticas del sector para que las decisiones en materia de ciberseguridad se tomen más responsablemente. Hace falta que se entiendan los procesos del negocio, las tecnologías en juego y los hábitos de las personas en materia de seguridad. La seguridad no es un producto, es un proceso que no se adquiere con la compra de software caro, sino con la implementación repetida de buenas prácticas en la materia y una gestión sostenida en el tiempo. También se requiere de más y mejor tecnología, pero no lo es todo.

-En tu experiencia y con la información pública sobre cómo se gestionaron los incidentes de ciberseguridad conocidos, ¿crees que la manera en cómo se respondió a cada caso fue la adecuada?

En materia de seguridad de la información uno de los procesos clave es la respuesta ante incidentes. Eso implica hacer un estudio completo de los posibles incidentes y cómo pueden afectar a la organización, no solo del incidente técnico en sí mismo, trabajar con escenarios para prevenirlos o estar preparado de la mejor manera.

En términos de buenas prácticas hay que conocer los procesos clave, o sea, cuáles son los procesos, los activos y los servicios críticos para esa organización y después ver cómo afectaría un Ransomware (tal y como sucedió en el Chaco y Córdoba) para así tomar todas las medidas necesarias para mitigar esos riesgos. Ese análisis debe conducir a su minimización mediante un plan de respuesta ante incidentes. En ese plan se busca anticipar las medidas de contención, de comunicación y prevención a futuro.

Los incidentes de ciberseguridad que experimentó la justicia recientemente demostraron que no había planes de este tipo, o de haberlos, no vimos que fueran puestos en práctica. Vimos que se activaron ‘planes de crisis’, o que se pusieron a trabajar cuando no quedó otra opción, pero nada más.

En todo caso, fue interesante ver que en el poder judicial de San Juan, según se mencionó por el cubrimiento de prensa, que se había desplegado un plan de gestión ante incidentes graves, lo que demuestra un mejor nivel de madurez. Lo mismo en el caso de CABA, donde se decidió actuar para remediar la vulnerabilidad en un formulario de la Mesa Virtual de Entradas ante la notificación que terceros hicieron de esa vulnerabilidad. Lamentablemente con los datos filtrados no puede hacerse nada. Una vez que fueron filtrados, se pierde el control de la información y ya no pueden eliminarse.

Pese a esto, resulta relevante saber, gracias a la cobertura de prensa en cada caso, que cada incidente activó el inicio de medidas de investigación administrativa (para determinar responsabilidades internas) y medidas de investigación ante la justicia penal, lo que es importante y necesario. Cosa que no sucede en el ámbito empresarial o de gobierno, o no se conoce.

Ahora bien, sobre cómo se comunicaron en cada caso los incidentes que sufrieron los poderes judiciales provinciales, algo que destaco es la ausencia de personas expertas en los medios explicando de manera transparente y clara a la ciudadanía el alcance de cada incidente y el nivel de afectación. No hace falta que abunden en detalles técnicos en los medios, pero sí hace falta que la transparencia ante un incidente vaya más allá por informar lo evidente.

Para mejorar el conocimiento de la comunidad, es importante saber qué sistemas se vieron afectados, o qué información fue afectada para prevenir el mismo ataque a otras organizaciones.

-Sin duda hace falta fortalecer la cultura de la seguridad de la información en la justicia ¿por dónde empezar para que la respuesta a incidentes de este tipo mejore a futuro?

El primer paso es adquirir conciencia sobre la relevancia de la seguridad, sobre lo grave que es no tenerla o solo apreciarla cuando hay incidentes que afectan el servicio la justicia. También, hay muchas personas preocupadas, pero sin capacidad de decisión, y eso tiene que cambiar.

Luego, se necesita un plan de crecimiento en seguridad que no puede ir de 0 a 100, sino que de manera paulatina debe involucrar áreas, procesos y personas en la adopción de buenas prácticas que van desde tener una contraseña segura especialmente en sistemas de información críticos, como los de gestión de expedientes; hasta incorporar una área de seguridad de la información que no dependa del área de tecnologías del poder judicial (tal y como lo advierte la decisión administrativa 641 de 2021), porque a veces los intereses de ambas áreas pueden llegar a ser contrapuestos (impactando en la identificación de riesgos de ciberseguridad al interior de la organización).

Un aspecto crítico tiene que ver con adquirir capacidades en seguridad de la información. El poder judicial debería contar con los perfiles de seguridad necesarios para hacer frente a la seguridad de una organización compleja no solo por la información que maneja, sino por cómo se administra a nivel provincial y donde la coordinación entre perfiles técnicos y los perfiles jurídicos a todo nivel es clave.

A modo de cierre, creo que el trabajo de concientización es uno de los componentes más importantes, debemos aprender la lección sin que debamos esperar a más incidentes tanto o más graves como el que experimentó el poder judicial en Córdoba.

Si esto no se aborda hoy, mañana será peor. Otros poderes judiciales deben poder aprender de esta experiencia, se necesitan planes robustos y de largo plazo, pero hay que empezar por decidir que este también es un tema importante capaz de impactar en la garantía y funcionamiento adecuado de la justicia.

#Bio

Marcela Pallero (@Marce_I_P) es ingeniera en sistemas de información por la Universidad Tecnológica Nacional, especialista en criptografía y seguridad teleinformática por la Escuela Superior Técnica del Ejército, y profesora. Marcela trabajó en delitos informáticos en la Policía Federal Argentina, en el equipo de respuesta a incidentes de seguridad de gobierno, ArCERT Equipo de Respuesta ante incidentes, y como Analista en el Banco Central de la República Argentina en la Gerencia de Seguridad de la Información. En la actualidad es Directora del Programa Seguridad en TIC de la Fundación Sadosky.