Apellido y Nombre: Conti, Santiago

En base a un poco de investigación encontré 4 leyes en Argentina que hablan en

menor o mayor medida sobre delitos informáticos. Es evidente que Argentina es
bastante débil en cuanto a la legislación sobre éste tema. Quizás porque no han
habido casos tan graves como para legislar seriamente o porque a las autoridades
no les interesa o no ven la importancia. No es el caso de EEUU que sufren ataques
informáticos en todos los niveles y por ende tienen legislación acorde a esa
dinámica y las adecuadas herramientas para hacer frente.

La más importante es la Ley 26388 “ Delitos Informáticos”. En cuanto a que

reconoce por ley la problemática del delito informático. La ley es relativamente
nueva (2008) y sin dudas hay muchos aspectos que deben ser mejorados. Pero es
bueno que se haya comenzado.
En Argentina, hace no mucho tiempo hubo un ataque informático, principalmente a
la policía federal llamado por los mismos hackers como “La gorra leaks”, donde se
divulgó información sensible y confidencial de la fuerza.
Para una fuerza como la policía es un ataque gravísimo, ya que compromete al
personal y además se pierde confianza en la institución.
¿Cómo van a cuidar a los ciudadanos si les hackeron y divulgan información
confidencial? me pregunto.
Es posible que muchos años la ciudadanía desconfíe de la fuerza.

Es justamente donde la seguridad de la información toma un papel primordial.

Algunas notas de diarios, sobre el caso:

https://www.infobae.com/sociedad/policiales/2019/08/16/la-gorra-leaks-que-hay-en-l
os-archivos-secretos-de-la-policia-filtrados-por-hackers/

https://www.minutouno.com/notas/1554437-la-gorra-leaks-filtran-informacion-sensibl
e-del-ministerio-seguridad

https://tn.com.ar/policiales/lagorraleaks-20-asi-difunden-los-archivos-robados-la-fede
ral-en-la-deep-web_987164

En cuanto a lo que éste grupo de hackers realizó y analizando la ley 26388,

encuentro que los artículos de la ley por los cuales podrían ser juzgados son:

ARTICULO 5º ​— Incorpórase como artículo 153 bis del Código Penal, el siguiente:

Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si
no resultare un delito más severamente penado, el que a sabiendas accediere por
cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o
dato informático de acceso restringido.

La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese
en perjuicio de un sistema o dato informático de un organismo público
estatal o de un proveedor de servicios públicos o de servicios financieros.
 ARTICULO 6º ​— Sustitúyese el artículo 155 del Código Penal, por el siguiente:

Artículo 155: Será reprimido con multa de pesos un mil quinientos ($ 1.500) a pesos
cien mil ($ 100.000), ​el que hallándose en posesión de una correspondencia,
una comunicación electrónica, un pliego cerrado, un despacho telegráfico,
telefónico o de otra naturaleza, no destinados a la publicidad, los hiciere
publicar indebidamente, si el hecho causare o pudiere causar perjuicios a
terceros.

Está exento de responsabilidad penal el que hubiere obrado con el propósito

inequívoco de proteger un interés público.

En el artículo 5, entiendo que habla del acceso sin autorización de parte de los
hackers a las bases de datos, sobre todo agravado por ser un ente estatal y en el
artículo 6 sobre la divulgación de los mismos.

Está bastante claro que desde la institución no se trabajó correctamente en proteger

los activos de información.
No digo que el hackeo haya sido sencillo, pero se extrajo muchísima información.
Se habla de aproximadamente 700GB, de documentos confidenciales.

Como esta no estaría enmarcado dentro de lo que sería un DRP (ya que no hubo
un ataque al hardware o no se detuvieron procesos), lo que hubo fue un robo de
información sensible, mediante un ataque externo.

En tal caso, es probable que la Policía contara con procedimientos o planes para
ciertas cosas, un DRP digamos. pero no contarán con un CIRP (Cyber Incident
Response Plan) para ver cómo actuar en estos casos ni sistemas de detección de
instrusos (salvo que haya sido un personal de la misma fuerza)

Una de las soluciones que podrían haber implementado es la encriptación de los

documentos utilizando algún software, accesos muy limitados a la información
confidencial (en cuanto a quién puede ver los documentos dentro de la fuerza).

Sin dudas, un plan de CIRP (Cyber Incident Response Plan) actualizado, y con el
personal de seguridad informática capacitado y listo para actuar, con las
definiciones de las estrategias de cómo proceder ante ataques a servicios y
sistemas, en el momento y posterior al ataque.

A modo más general, deberían revisarse todos los accesos, permisos, bases de
datos con el fin de establecer el grado de vulnerabilidad en todos los niveles.
Una buena practica seria hacer pentesting sobre los sistemas de forma regular,
revisar los puertos de acceso, los permisos a internet, etc. con la idea de encontrar
vulnerabilidades en todos los niveles.

Sabiendo como se encuentra la infraestructura IT y los permisos se puede lograr un

mejor trabajo en cuanto a seguridad.
Ningún sistema es 100% seguro pero al menos se revisarán las debilidades que
permitieron este ataque.

También sería correcto, realizar un BIA ya que en definitiva una de las mayores
pérdidas fue la confianza y la reputación, también se ha perdido en cuanto a la
ventaja que tiene la policía de acuerdo a las investigaciones, al salir a la luz todo
esto se pierde el factor sorpresa.

Sin dudas, es un problema un ataque a una empresa o persona privada.

pero lo es más en casos como estos, donde la información capturada es
extremadamente sensible y en algunos casos tienen que ver con delitos de otras
personas (investigaciones).