Quién es el hacker cordobés acusado de comprar la base de datos del PAMI y montar un negocio de recetas truchas

Tiziano Palacios Arriondo es un joven hacker oriundo de la provincia de Córdoba que está detenido con prisión preventiva por la venta ilegal de recetas médicas. Lo acusan de haberlas falsificado con información que compró en la dark web a quienes atacaron y robaron las bases de datos del PAMI a mediados de 2023. Ese ciberataque nunca fue esclarecido y la causa se archivó dos veces en la Justicia Federal porteña.

Ahora, con el hallazgo del presunto comprador, intentarán por tercera vez llegar a los piratas informáticos detrás del grupo Rhysida, de quienes el chico podría tener información valiosa.

Palacios Arriondo, de 21 años, es fanático de Duki. Mezclaba sus gustos musicales con sus habilidades digitales: en Telegram era el usuario @Duk0ssj y su canal se llamaba @RefesDuko. Cuando empezó a tener éxito en su emprendimiento supuestamente ilícito lo cambió a @RefesPAMI.

A principios de este mes, el joven hacker fue procesado por el Juzgado Federal N° 1 de Córdoba, a pedido del fiscal Maximiliano Hairabedian. Está preso en la cárcel de Bouwer, donde esperará a ser juzgado por una larga lista de delitos: encubrimiento agravado de daño informático, falsificación de recetas médicas, defraudación y facilitación de estupefacientes a título oneroso.

Según la acusación, Palacios Arriondo compró las bases de datos del PAMI entre fines de julio y los primeros días de agosto de 2023. Exactamente en ese período fue cuando se produjo el ataque a los sistemas informáticos del Instituto Nacional de Servicios Sociales para Jubilados y Pensionados con un virus tipo “ransomware”.

La organización “Rhysida”, que se atribuyó el hackeo, ofreció a la venta el paquete de las bases de datos del PAMI en la dark web a cambio de 25 Bitcoins, casi tres millones de dólares. Estuvieron publicadas al menos una semana, según constató la fiscalía especializada en Ciberdelincuencia (UFECI).

Robaron información sensible de afiliados, sus carnets digitales, datos de profesionales médicos prestadores, usuarios y claves de acceso a los sistemas de gestión y atención, como el de las recetas electrónicas.

Con estos archivos confidenciales, el hacker cordobés se habría dedicado a vender recetas y a facilitar la provisión de psicotrópicos: Xanax, Valium, Alplax, Clonazepam, Lorazepam, Diazepam, Sertralina, Zolpidem, Sildenafil, Tramadol, Codeína, Pregabalina, Quetiapina, Aseptobron y Modafinilo son solo algunas de las drogas que prescribió, según pudo saber Infobae de fuentes judiciales.

Las pruebas apuntan a que lo hacía simulando una receta entre un médico y un paciente que elegía de forma aleatoria. Compartía con sus clientes el carnet y datos del jubilado, y recomendaba “hacerse pasar por familiar o cuidador” para el retiro en la farmacia.

Los compradores pagaban en criptomonedas o transferencia bancaria. El hacker les pasaba el CBU de su mamá, que es enfermera en un hospital provincial y empleada de una farmacia. Una vez recibidos, los fondos eran redirigidos a cuentas de una billetera virtual que administraba el propio Palacios Arriondo.

Según consta en la causa, los padres del chico no eran ajenos a su actividad. Aunque no les cobró, le falsificó recetas a ambos para que pudieran retirar drogas varias. Esto hizo que estuvieran imputados por defraudación agravada por ser cometida en perjuicio de una administración pública. Sin embargo, la Justicia sobreseyó a los progenitores por la insignificancia del monto, que no llegaba a los 10.000 pesos.

¿Qué sabe @Duk0ssj de Rhysida?

Cuando el fiscal Hairabedian citó a indagatoria a Palacios Arriondo, este se limitó a negar todos los hechos, sin responder preguntas.

Aunque en esta causa la investigación se limitó a la venta de recetas, el Juzgado tiene en su poder dos celulares y una computadora del presunto ciberdelincuente, ambos elementos secuestrados cuando allanaron su domicilio. Allí podría haber información valiosa que conduzca hacia Rhysida, entienden las autoridades del PAMI.

Como querellante en el expediente que tramita en el Juzgado Federal N° 9 de Comodoro Py 2002, el organismo reclamó ante la Cámara Federal de Casación Penal la reapertura de la causa en la que se investigó -dos veces, sin éxito- quiénes son los autores del hackeo masivo.

En línea con el argumento de que la pista de Palacios Arriondo merecía ser perseguida, los jueces de la Sala IV del máximo tribunal penal del país ordenaron retomar las averiguaciones.

Los antecedentes de la instrucción no son alentadores. Las divisiones especializadas de la Policía Federal Argentina, Prefectura Naval y otros organismos dijeron que es “prácticamente imposible determinar el origen del ataque cibernético”.

En todos los casos se llegó a la misma conclusión: la restauración del sistema informático del PAMI sin preservar previamente la evidencia digital dificultó el análisis forense.

También se hicieron consultas a Interpol y el Gobierno de Chile -sufrió un ataque de Rhysida a las bases de datos de Ejército-, pero ninguno pudo aportar datos relevantes.

El PAMI, cuyo director es Esteban Leguizamo, sospecha además que hubo empleados o funcionarios infieles durante la gestión anterior, cuando el organismo estaba a cargo de Luana Volnovich. Pidieron a la Justicia que también se profundice sobre este punto.

Como agregado, la obra social argumentó que faltaba dar intervención a la Oficina Europea de Policía (Europol) y avanzar con la solicitud a Interpol para desencriptar información clave.