Reabrieron la investigación por el hackeo al PAMI: encontraron en Córdoba un comprador de la base de datos robada

La Sala IV de la Cámara Federal de Casación Penal ordenó la reapertura de la causa que investiga el ciberataque a las bases de datos del PAMI en 2023. El expediente se cerró dos veces ante la falta de resultados en las averiguaciones. Ahora encontraron en Córdoba un presunto comprador de la información robada y, además, la gestión actual de la obra social sospecha que hubo empleados o funcionarios infieles durante el mandato anterior, cuando el organismo estaba a cargo de Luana Volnovich.

El 2 de agosto de aquel año los sistemas informáticos del Instituto Nacional de Servicios Sociales para Jubilados y Pensionados fueron afectados por un virus tipo “ransomware”. Al encender las computadoras alrededor de las 6, apareció un mensaje extorsivo que indicaba que la red estaba comprometida y que la información podría haber sido robada, vendida o divulgada.

La firma del mensaje correspondía a la organización denominada “Rhysida”, que se atribuyó el ciberataque y dejó dos direcciones de correo electrónico y un enlace a una página de la dark web. El hackeo provocó la interrupción de la prestación del servicio y la atención a los afiliados a nivel nacional.

En el caso tomó intervención el fiscal Javier Arzubi Calvo, titular de la UFI-PAMI. En colaboración, la fiscalía especializada en Ciberdelincuencia (UFECI) emitió un informe en el que confirmó que la información sustraída por “Rhysida” se ofreció en la dark web a la venta por un período de siete días, a un costo de 25 Bitcoins, casi tres millones de dólares.

Robaron información sensible de afiliados, sus carnets digitales, datos de profesionales médicos prestadores, usuarios y claves de acceso a los sistemas de gestión y atención, como el de las recetas electrónicas.

A partir de su relevamiento interno, el PAMI informó a la Justicia que era “prácticamente imposible determinar el origen del ataque cibernético”. También advirtieron que el organismo no cuenta con un protocolo de respuestas a incidentes de este tipo que previera el equilibrio entre el tiempo de recuperación de los sistemas y la preservación de evidencia digital.

Las tareas de inteligencia de la División Delitos Tecnológicos de la Policía Federal Argentina y los informes de la Agencia de Acceso a la Información Pública tampoco arrojaron resultados positivos para determinar quiénes son los hackers.

Por su parte, la División Investigaciones de Ciberdelitos de la Prefectura Naval Argentina también constató la existencia de información presuntamente relacionada con el PAMI en la red TOR, un navegador de la dark web.

A falta de resultados luego de cuatro meses de investigación, el Ministerio Público Fiscal solicitó el archivo de la causa, al considerar que no quedaban medidas por realizar ni había herramientas para individualizar a los responsables.

El pedido fue concedido por el Juzgado Federal N° 9 y ratificado por la Sala I de la Cámara Federal porteña. En todas las instancias se dio por corroborado que la restauración del sistema informático del PAMI sin preservar previamente la evidencia digital dificultó el análisis forense.

El giro en la causa

En julio de 2024, el director del PAMI Esteban Leguizamo pidió la reapertura de la investigación y la constitución del organismo como querellante.

En esta nueva etapa, la fiscalía solicitó información a Chile sobre posibles ataques similares de Rhysida a su Ejército, obteniendo una respuesta negativa. También se consultó a Interpol, que contestó no poseer “información útil relacionada para identificar a los actores de la amenaza detrás del grupo de ransomware Rhysida”, según consta en la causa.

En un nuevo análisis, la Prefectura volvió a concluir que, por la falta de un diagrama de red y la preservación de máquinas afectadas, no se podía identificar a los causantes ni la modalidad utilizada por los hackers.

Con estos resultados, el fiscal Arzubi Calvo pidió por segunda vez el cierre de la causa, lo que concedieron los jueces.

La querella del PAMI, no conforme, interpuso un recurso ante la Cámara Federal de Casación Penal, esta vez con nueva información: la pista de Córdoba.

Es que el Juzgado Federal N° 1 de esa provincia imputó en los últimos días a un cordobés llamado Tiziano Palacios Arriondo, quien a través de un canal de Telegram habría adquirido con ánimo de lucro una o varias bases de datos robadas al PAMI.

Las fechas de sustracción que constan en la causa de Córdoba coinciden con las del ciberataque de 2023. Según la acusación, que permanece en desarrollo, Palacios Arriondo habría comprado “por una suma de dinero no establecida aún” la información necesaria para “acceder ilegalmente al sistema de recetas electrónicas de la obra social”.

Como agregado, el PAMI argumentó que faltaba dar intervención a la Oficina Europea de Policía (Europol) y avanzar con la solicitud a Interpol para desencriptar información clave.

Además, el organismo pidió que se investigara el accionar de los funcionarios públicos que estaban a cargo de la seguridad informática al momento del ciberataque. También a aquellos empleados que podrían haber detectado o neutralizado el hackeo a tiempo.

Los argumentos de Casación

En el fallo firmado el pasado viernes, el juez Gustavo M. Hornos votó en rechazó al pedido del PAMI, dado que los organismos técnicos especializados ratificaron la imposibilidad de encontrar a los responsables o avanzar en el esclarecimiento.

Reiteró que la Interpol había declarado no tener información útil para identificar a los atacantes y desestimó la utilidad de la intervención de Europol y la investigación a funcionarios sin medidas de prueba concretas.

Sobre la pista de Córdoba, consideró que la Justicia no le atribuye a Palacios Arriondo una participación en el ciberataque “primigenio”, sino que lo señalan por un “eventual hecho posterior y derivado”.

En contraste, el juez Javier Carbajo votó a favor de la querella. Consideró que el archivo fue prematuro y que las sospechas sobre el comprador cordobés debían “tomarse en consideración” para “ahondar en la presente investigación”.

En sus fundamentos, el magistrado destacó que no se había dado una respuesta razonable a la solicitud de consultar a Europol, a pesar de su rol en la cooperación policial transnacional frente a ciberdelitos.

Asimismo, subrayó que la oferta de Interpol de “desencriptar información” -aunque su resultado sea incierto- podría arrojar luz sobre los instaladores del software malicioso. Para el juez Carbajo, la falta de una explicación adecuada sobre la publicación de documentación robada en la web y la no identificación de los autores, junto con la posible responsabilidad de los funcionarios del instituto, evidenciaba un esfuerzo insuficiente en la investigación.

Finalmente, el juez Mariano Hernán Borinsky adhirió a la postura del juez Carbajo y sostuvo que la causa de Palacios Arriondo “podría arrojar información de interés para la causa” si la pesquisa avanzaba en esa línea.