¿El hacker resentido? Un ex funcionario informático acusado de sabotear la administración de puertos tras ser obligado a jubilarse

Un ex funcionario irá a juicio acusado de sabotaje informático: según se sospecha dejó dos días sin sistema a la Administración General de Puertos (AGP), lugar en el que había trabajado durante 48 años hasta que unos meses antes lo obligaron a jubilarse. Jaqueado en la indagatoria por la acusación, el sospechoso dijo que no tenía nada que ver: “Soy inocente, no soy un hacker. Me pasé gran parte de mi vida protegiendo los datos de la empresa”. Es más: dijo que le hicieron “una cama” para acusarlo. Quedó procesado igual. El hackeo tuvo un error y dejó al descubierto por unos minutos la dirección de IP desde donde se había puesto en peligro el sistema: era su casa, revelaron a Infobae fuentes judiciales.

Todo ocurrió entre el domingo 6 junio de 2021 y duró hasta el día siguiente. La causa comenzó con la denuncia de José Luis Cordero, entonces apoderado de la Administración General de Puertos, el organismo federal que concentra la política portuaria y brindamos asistencia técnica y logística para obras de infraestructura en toda la Argentina. Según la presentación que llegó a Comodoro Py, habían sido víctimas de un sabotaje informático a sus servidores. El atacante había borrado la totalidad de los usuarios registrados.

La maniobra fue descubierta cuando el personal de del Área de Sistemas, Tecnología y Organización de la AGP realizaba un control diario sobre la infraestructura de servidores y sistemas de la empresa. Pero no podían conectarse con el servicio VPN a la red. Era domingo. Al ir hasta la sede de la empresa, la sospecha se confirmó: no podían loguearse y ni entrar por el correo. El atacante había modificado la contraseña del usuario administrador de la plataforma y era imposible acceder.

Después de varios intentos, lograron restaurar el backup de los días previos y los usuarios. Pero a raíz del ataque, los usuarios recuperados habían perdido las licencias para operar el correo electrónico, así que hubo que bloquear contraseñas y asignar nuevas licencias a los casi 600 usuarios. Recién se solucionó el lunes 7. Pero por unos días no tuvieron acceso a la plataforma ERP ( Enterprise Resource Planning) de la AGP, en la que se encontraba todo lo concerniente a contabilidad, finanzas, clientes, compras y ventas; y también se perdió el acceso a la administración logística de las operaciones del Puerto de Buenos Aires que se encarga de coordinar la llegada de los buques. Todo ello también afectó a la Aduana, a las empresas marítimas, y a las terminales concesionarias, entre otros.

“Todo ello redundó en un verdadero perjuicio a un servicio público, toda vez que dicha administración ejerce sus funciones sobre el Puerto de Buenos Aires”, se sostuvo. De acuerdo a la presentación de la AGP, los costos económicos que habría significado el restablecimiento del sistema informático y la recuperación de los usuarios con posterioridad al ataque implicaron unas 940 horas de trabajo de los empleados, lo que implicó un monto total de $2.386.960,63. A su vez, aportó la cotización que la Administración General de Puertos S.E. solicitó a la empresa para restablecer los mails por más de 4,2 millones de pesos.

¿De dónde había venido el ataque? Desde la Gerencia de Sistemas se analizaron los logs de los servidores y se determinó que el atacante se habría conectado el 6 de junio de 2021 a las 22:14 horas. Aparecían varias direcciones en Ontario, Canadá. ¿Qué empleado entraría desde ese país?, razonaron.

Gracias a distintos servicios para rastrear Ips, lograron corroborar que la IP que ingresó a los servidores al momento del ataque había utilizado una VPN -’virtual private network’ por sus siglas en inglés o red privada virtual-, lo que significaba que la IP visible no se correspondía con la del usuario sino la de la VPN. Buscaron entonces esa IP en Internet y pertenecía una empresa llamada “Windscribe”, que se dedicaba a brindar servicios de VPN a usuarios tanto de manera gratuita como paga.

Pero en el mientras tanto se dieron cuenta de que solo por un momento el atacante evidentemente perdió la protección de la VPN. Quizás porque había usado el servicio gratuito de la empresa. Y fue ahí donde quedó expuesta su verdadera IP. Era un cliente de Fibertel: Jorge Alberto Arce, que vivía en un departamento de Flores con su esposa.

Arce había trabajado en la Administración General de Puertos, en relación de dependencia desde mayo de 1973 hasta marzo del año 2021. El 18 de marzo del 2020, dos días antes de que Argentina declarara la pandemia, había sido designado Subgerente de la Gerencia de Sistemas/ Tecnologías y Organización. Según su legajo, su renuncia había llegado luego de que la empresa estatal lo intimara a iniciar el proceso de jubilación. Allí se remarcaba que, pese a que reunía los requisitos para obtener el retiro, continuaba cumpliendo funciones.

La versión del acusado

“Estoy muy preocupado desde el día del allanamiento”, dijo apenas arrancó su declaración indagatoria, acompañado por el defensor oficial Héctor Silva. “Quiero negar todo vínculo con aquella falla en el sistema informático. Yo trabajé en la A.G.P. durante 48 años. Es una empresa familiar. Mi padre también trabajó allí. Entré en el cargo más inferior y tuve la oportunidad de jubilarme en marzo del año 2021 como Subgerente. Yo en ningún momento me conecté ni tuve acceso a la información que se me imputa. Me pasé gran parte de mi vida protegiendo los datos de la empresa. Estuve siempre de ese lado del mostrador”.

“Lamento profundamente lo sucedido porque es grave perder datos, pero yo soy inocente -resaltó-. Me profesionalicé para defender la empresa, no para atacar. Yo no soy un hackeador”.

En su defensa, Arce denunció: “Yo creo que de alguna manera han suplantado mi identidad. De alguna manera que desconozco porque yo no sé cómo atacar. Pero de alguna forma se ha clonado la IP de mi casa para ingresar al sistema de la A.G.P y así tapar su acto delictivo”. Hasta afirmó que “utilizar ese programa de acceso remoto no sirve para nada” y si él lo hubiera utilizado “hablaría muy mal de la función que desempeñé en la empresa”.

“Yo jamás he cometido un delito. Es la primera vez que me está pasando algo así”, insistió. Cuando le preguntaron cómo podría haberse llevado adelante esa maniobra que denunciaba, repitió: “Yo no soy técnico en hackeo”. No obstante, señaló: “Si yo no fui, alguien cometió el delito, porque evidentemente el sistema se rompió y sucedieron los hechos. Desconozco si existe alguna herramienta, seguramente debe haber porque hoy en día, en el mundo cibernético se puede hacer cualquier cosa”.

Según subrayó, desde que se jubiló no tuvo más acceso al sistema ni clave para ingresar. Incluso, dijo, devolvió la computadora, que le habían dado. “Como trabajé en seguridad informática, la notebook que me dieron de la empresa tenía instalado varios VPN, pero las utilizaba de forma interna en la AGP, para ver si era posible que alguien rompa las reglas de navegación. En el resto de las computadoras que tenía en mi domicilio jamás habla ingresado al sistema de la AGP.”

Procesamiento y a juicio

Más allá de las explicaciones, el juez Ariel Lijo y la Cámara Federal decretaron el procesamiento de Arce. Los fallos, a los que accedió Infobae, señalaron que los testimonios, los peritajes informáticos y las pruebas recolectadas apuntaban a Arce.

“La posibilidad técnica de que un tercero -eventualmente- haya podido conectarse de manera remota a la computadora del recurrente no modifica el escenario incriminatorio descrito en la pieza en discusión. Primero, porque la hipótesis de acusación desarrolla los motivos por los cuales ha de concluirse que fue el propio Arce -y no un tercero- quien desplegó ese ataque, independientemente de la discusión teórica propuesta por la defensa”, dijo la Cámara Federal. Y se añadió: “debe recordarse también que Arce fue intimado a jubilarse, y que al poco tiempo de que dejara su puesto ocurrió este ataque, el que como se vio, recayó sobre un sector inherente al que había dejado a raíz de aquella intimación”.

El caso fue enviado a juicio. Interviene el Tribunal Oral Federal 5. “Se halla acreditado que Arce actuó con claro conocimiento del significado y la implicancia de sus acciones, toda vez que habiéndose desempeñado en la firma afectada, claramente conocía el modo en que éstas podían afectar el funcionamiento de la empresa y el puerto. Por último, habré de decir que no se han advertido causas de justificación y que no se encuentra en duda la capacidad de Jorge Alberto Arce para ser declarado culpable”, sostuvo la elevación a juicio de la fiscalía.

La querella de la AGP también pidió que enfrente el banquillo. “Podemos afirmar sin atisbo de duda alguna que se trata de una persona con conocimiento específico e idóneo en la materia y, particularmente, en el sistema informático que luego resultó atacado, cuyo acceso era sumamente restringido. El tiempo de trabajo dentro de la empresa, asf como los cargos desempeñados (adviértase que estuvo dentro de la cabeza de la gerencia de sistemas), permite inferir sin demasiado esfuerzo que no se trataba de alguien improvisado. O que pudiera desconocer la forma de ejecutar un ataque como el impetrado”.

“Casualmente, la misma I.P. que según Telecom Argentina S.A. se encuentra bajo la titularidad de Jorge Alberto Arce y que fue utilizada en los días y horarios donde AGP S.E. sufrió el ataque informático”, afirmaron en el escrito al que accedió Infobae. Para la dirección de puertos, “las afirmaciones del imputado resultan aún más inverosímiles a la luz de sus antecedentes laborales. Se trata de una persona que trabajo 48 años dentro de AGP S.E., y que por su carrera profesional y conocimientos técnicos llegar a ser Subgerente de la Gerencia de Sistemas dela entidad”. Incluso se resaltó que el ex funcionario mintió en su indagatoria porque en las computadoras de su casa se encontraron archivos que demostrarían que había ingresado al sistema. “Son muchas coincidencias”.