“La filtración de la Municipalidad de San Pedro estaría ligada al incidente, ya que hay credenciales de Papel Prensa que se expusieron en ese evento. En 2022 detectamos otras filtraciones donde también había claves de la empresa. Este año, detectamos algunas más. La actividad se incrementó a partir de la filtración de San Pedro”, dijo Mauro Eldritch un especialista que regresó esta semana de un congreso de hackers organizado en Las Vegas.

Eldritch es Director de Birmingham Cyber Arms y junto a Emmanuel Dibattista quien se desempeña en esa empresa como Analista de Seguridad, fueron consultados por La Opinión por la experiencia con la que cuentan a través de innumerables intervenciones en casos con alta repercusión mediática.

El ataque a los sistemas informáticos de Papel Prensa que fuera dado a conocer por este medio el último fin de semana de julio fue denunciado a la Comisión Nacional de Valores varios días después de ocurrido y de que el grupo Akira se atribuyera la autoría del mensaje.

“Hay algunos datos interesantes, como que suelen comprar accesos a las empresa a empleados infieles o a vendedores del mercado negro”, algo así como “vender la llave para que entren a robar”, explican a la hora de decodificar lo que para el ciudadano común constituye sólo una intriga cuando en realidad tiene una gravedad que amenaza y desafía de manera constante a quienes manejan bases de datos vulnerables como sucedió a principios de Agosto con el PAMI.

De acuerdo a lo que se ha podido saber, una de las posibilidades que pudo haber desencadenado el ingreso de Akira a la única fabricante de papel para diarios de la Argentina, es el hackeo a la página que dejó a 12.500 datos de contribuyentes municipales a merced de los ciberdelincuentes.

La reconstrucción que logró hacer Eldricht indica una línea de tiempo que se reconstruye de esta manera:

Incidente de Papel Prensa S.A.

2021: Inteligencia de MeFiltraron / Tero (plataforma abierta de DC5411) detecta una filtración de la Municipalidad de San Pedro donde se exponen credenciales de usuarios de los dominios “papelprensa.com.ar” y “papelprensa-sp.com.ar”.

2022: Inteligencia de MeFiltraron / Tero (plataforma abierta de DC5411) detecta la aparición de una filtración donde se exponen credenciales de usuarios de los dominios “papelprensa.com.ar” y “papelprensa-sp.com.ar”.

20 de Junio 2023: Inteligencia de Sheriff (plataforma comercial de Birmingham Cyber Arms LTD) reporta claves filtradas para los dominios “papelprensa.com.ar” y “papelprensa-sp.com.ar”.

31 de Julio 2023: Papel Prensa SA emite un comunicado oficial reconociendo un incidente de seguridad.

7 de Agosto 2023: Akira anuncia a Papel Prensa SA como víctima, listando a la compañía en su Sitio Dedicado de Filtraciones (DLS).

15 de Agosto 2023: Inteligencia de Sheriff (plataforma comercial de Birmingham Cyber Arms LTD) reporta nuevas claves filtradas para los dominios “papelprensa.com.ar” y “papelprensa-sp.com.ar”.

16 de Agosto 2023: Contabilizamos unas 20 credenciales comprometidas de la compañía disponibles en el mercado negro.

De acuerdo a este reporte el incidente aún no ha terminado y de hecho no hay una confirmación oficial de la magnitud del problema.

Hay que recordar que el pasado 7 de Agosto se supo que “El grupo Akira planea la liberación de 120 GB de información confidencial secuestrada a Papel Prensa en los próximos días. Entre los datos sustraídos se encuentra información de la empresa (contratos, acuerdos, documentos internos administrativos y probablemente técnicos) y de sus empleados (legajos y documentación oficial)”.

A más de una semana desde que Papel Prensa sufrió un ciberataque en sus sistemas informáticos que complicó la operatoria comercial, el grupo de ransomware Akira se adjudicó el denominado “secuestro de datos”.

La novedad fue difundida por diversos referentes del mundo Hacker y de ciberseguridad, como el Birmingham Cyber Arms LTD, que lo publicó en su cuenta de Twitter con una imagen que refiere a la atribución de Akira sobre el episodio de la empresa cuya planta está ubicada en San Pedro.

En la imagen, Akira anuncia el hackeo a Papel Prensa, empresa que describe como dedicada a la fabricación de papel de diarios. Refiere que tienen alrededor de 120 GB de información vinculada a contratos, convenios, información personal de los empleados y otros documentos relacionados con los negocios de la compañía.

? New #ransomware incident.?? #Argentina: Papel Prensa S.A. announced by Akira. 120 GB of confidential business and employee information compromised.?️ Stay informed with #DarkFeed for the latest Ransomware #ThreatIntelligence.#Cybercrime #Cybersecurity pic.twitter.com/NSReS00mO6

Akira es un ransomware, un tipo de “virus” que cifra archivos de manera tal que los “secuestra” al hacerlos inaccesibles, que ya atacó a diversas compañías en todo el mundo para luego exigirles millones de dólares a cambio de la restitución de los datos.

Por lo general, las carpetas de archivos afectadas contienen una nota de “rescate” en la que advierten que si no llegan a un acuerdo buscarán vender los datos “secuestrados” o bien los difundirán para que estén al alcance de todos.

La semana pasada, el responsable de Relaciones de Mercado de la empresa, Emiliano Pablo Parduch, cumplió con la obligación normativa de informar a la Comisión Nacional de Valores que “en el transcurso del último fin de semana la infraestructura informática de Papel Prensa fue objeto de una intrusión por medio de un ransomware”.

La empresa Papel Prensa informó a la Comisión Nacional de Valores (CNV) acerca del ciberataque que sufrió en sus sistemas informáticos y que La Opinión publicó desde el fin de semana sin lograr obtener palabra oficial por parte del directorio, tanto de los representantes privados como de los del Estado.

En ese documento, el responsale de Relaciones de Mercado de la empresa, Emiliano Pablo Parduch, cumple con la obligación normativa de informar a la CNV que “en el transcurso del último fin de semana la infraestructura informática de Papel Prensa fue objeto de una intrusión por medio de un ransomware”.

Esto significa que, efectivamente, la firma nacional que produce papel para diarios sufrió un ciberataque del tipo “secuestro de datos” que restringe el acceso al sistema y que podría haber sido cometido por hackers que solicitan algún tipo de “rescate” a cambio de quitar la restricción.

Papel Prensa señala en el texto que la situación “motivó la adopción de diferentes medidas para asegurar su integridad y proteger la operación y funcionamiento de la empresa”. De la misma manera, señalaron que radicaron la denuncia penal correspondiente por el caso.

Con análisis en marcha, Pecuch informa la CNV que “hasta el momento” no detectaron que se hayan “producido daños en archivos de importancia para el funcionamiento” de la compañía en ítems como “contabilidad y registro de acciones escriturales”.

El sábado por la madrugada, alrededor de las 4.00, un ciberataque afectó los sistemas informáticos de la empresa Papel Prensa, cuyo directorio integran Clarín, La Nación y el Estado nacional. Desde entonces, todo es silencio alrededor del tema y ninguna voz oficial brindó información sobre los alcances del hackeo, con excepción de esta nota enviada a la CNV.

Aunque la producción no se vio afectada, todo indica que administración, comercialización, logística y distribución no pudieron funcionar, por lo que la cadena del producto estaba complicada, al punto de que prácticamente no salió carga de la fábrica de San Pedro.

Se habla de un hackeo internacional que incluiría dinero a cambio de devolver el acceso que permita retomar la operatoria habitual. Entre el personal de la planta, que fueron notificados de la situación, lo único que saben es que “la gente de sistemas está tratando de arreglar” la situación para volver a la normalidad.

Papel Prensa se quedó sin el sistema informático de gestion empresarial, correos electrónicos, etc., aunque en las últimas horas algunos e-mails volvieron a enviarse desde algunos sectores y hay quienes entienden que de a poco podrían volve a la normalidad.