A los abogados les llamó la atención. El intercambio con sus contrapartes de Guyer & Regules siempre seguía los mecanismos formales con correos electrónicos institucionales, respondidos con celeridad. Pero en ese momento los mails demoraban y llegaban desde casillas personales. Y entonces, antes de que fuera público y de que algunos clientes lo supieran, en los principales estudios jurídicos uruguayos comprendieron que uno de sus competidores había sido hackeado.
, regenerado3
Las instrucciones de los socios a sus equipos fueron claras: había que colaborar con Guyer & Regules. Tenían por lo menos dos motivos. Primero, debían sacar adelante los negocios en los que participaba ese estudio como contraparte. Con el correr de los días, quedó claro que en Guyer & Regules no podían acceder a sus propios documentos —como ser contratos— y necesitaban copias. El segundo motor de esa ayuda a la competencia era la certeza de que cualquiera de ellos puede ser el siguiente.
En el ambiente de las consultoras, el caso de Guyer & Regules generó preocupación, aunque no sorpresa: los ataques informáticos no son algo común, pero tampoco inusuales, si bien pocas veces trascienden. Para los hackers, Uruguay está en el radar desde hace tiempo, aseguró un ejecutivo del sector.
Según ese informe internacional, los ataques informáticos están aumentando en número, en escala y en costos que pueden ser “devastadores para la operación del negocio y la reputación” de las empresas. El porcentaje de los casos reportados que implicó costos de US$ 1 millón o más en los últimos tres años aumentó de 27% en la encuesta de 2022 a 36% en la más reciente. Sectores como los de la salud, las telecomunicaciones y los servicios financieros fueron los que sufrieron los ataques más dañinos por su costo.
A escala global, solo la mitad de los ejecutivos se declaran satisfechos con sus sistemas de protección frente a la ciberdelincuencia, a la vez que el 79% aseguró que sus empresas incrementarán el presupuesto en seguridad informática en 2024. Aunque esa encuesta no abarcó a Uruguay —pero sí a otros países de la región—, en el sector local de la consultoría se sienten identificados con los resultados que arrojó.
El pago.
Nacido de la amistad y la sociedad de Max Guyer y Dardo Regules a comienzos del siglo pasado, Guyer & Regules es hoy uno de los estudios jurídicos más grandes y reputados del país. Con una variada área de práctica profesional, en su cartera de clientes figuran algunos de los mayores bancos del país y también del exterior, empresas graneleras, industrias de distintas ramas, automotrices, constructoras y firmas del sector retail, entre muchas otras.
El hackeo a Guyer fue informado el 31 de agosto en la red X (ex-Twitter) por el analista en seguridad digital Mauro Eldtritch. Se trató de un ataque del ransomware Lockbit, infiltración y bloqueo de documentos del sistema informático de la organización que, para poder recuperarlos, debía pagar US$ 300.000 o harían pública toda la información. Los piratas informáticos aseguraron en un mensaje que habían capturado “poco menos de un terabyte” con “datos de muchos clientes, incluidos documentos legales relacionados con clientes bancarios, correspondencia interna de empleados de Guyer & Regules y algo mucho más interesante”. La publicación de ese grupo de ciberdelincuentes mostró fotos de pasaportes, recibos de sueldos de terceras empresas y acuerdos de confidencialidad con clientes, informó El Observador.
El bufete divulgó un comunicado en el que explicó la situación. “Hasta el día de hoy no se contaba con ninguna evidencia de sustracción de información. Confirmado el hecho, continuamos trabajando intensamente para determinar su alcance y seguimos brindando servicios a nuestros clientes con las medidas precautorias y restricciones pertinentes”, señaló Guyer & Regules.
Agregó que, “ante la detección de un ciberataque en días pasados, se aplicaron todas las medidas necesarias, desarrollando las investigaciones pertinentes a nivel forense con el apoyo y el asesoramiento de expertos de primer nivel en la materia, y se presentaron las denuncias correspondientes”.
Dos semanas después, el experto en ciberseguridad Enrique Amestoy informó en su cuenta en X que Lockbit había eliminado de su sitio las filtraciones con las que amenazaba a Guyer & Regules. Telenoche, de Canal 4, aseguró que “pagaron por información hackeada”, pero “no se sabe si fue el estudio o un tercero”.
En el sector también manejan la información de que el rescate fue pagado. “Nadie lo va a admitir, pero en su lugar todos lo hubiésemos pagado”, resumió el socio de un estudio.
Búsqueda procuró confirmar esa información y otros detalles del caso, pero el bufete no estuvo dispuesto a responder las consultas.
“Top priority”.
Para algunos estudios o consultoras que tienen como clientes a empresas multinacionales, hablar públicamente sobre el manejo informático les está impedido por contrato, como garantía de resguardo de la información que los involucra. Es un tema “hipersensible”, resumió un profesional del rubro.
En el área de consultoría legal y contable “nadie está vacunado” contra los ciberdelitos, afirmó una fuente. En su compañía, agregó, la aplicación de protocolos internos y la capacitación son un “trabajo permanente”, si bien opinó que en el mercado “no hay conciencia tan clara” de la dimensión de este tipo de riesgos. Postuló que debería ser un “top priority” ante una modalidad delictiva que, presagió, irá en aumento a escala global y probablemente también en Uruguay.
El hecho de que el hackeo a Guyer & Regules haya trascendido públicamente “levanta las alertas”, comentó uno de los consultados. “Si les pasó a ellos, que son una firma grande y con mucha reputación, ¿por qué no nos puede pasar a nosotros?”. Es, admitió, una pregunta que los clientes también pueden formularse acerca de los bufetes y las consultoras locales.
“Estábamos muy paranoicos”, tiempo atrás, ante la posibilidad de que los sistemas fueran atacados por delincuentes informáticos, contó un miembro de otra firma de consultoría. Con “preocupación y mucha atención” se actuó “huyendo hacia adelante, buscando blindarnos desde el punto de vista tecnológico”, apuntó.
El caso de Guyer & Regules tuvo “mucha repercusión a nivel local e internacional”, reconoció el ejecutivo de una empresa que presta servicios de consultoría. “Todos pusimos las barbas en remojo, hasta el más chico”, con distintas acciones, desde controlar el efectivo cumplimiento de los protocolos internos hasta insistir con las capacitaciones al personal en ciberseguridad, señaló. Pero admitió: “Nunca estás a salvo ni libre de que pueda pasar” un hackeo. “Ahora estamos bastante más alertas”, acotó.
El grupo “más activo”.
Durante los días en que actuaron los hackers, en Guyer & Regules hubo empleados del bufete que “pasaron noches sin dormir” para tratar de seguir adelante con la operativa habitual, dijo una fuente. “Estaban muertos”, resumió el socio de un estudio que interactuó con sus colegas en esas fechas. Es que cuando el caso tomó estado público los principales estudios uruguayos ya estaban al tanto del drama que pasaban en ese bufete.
En paralelo a lidiar con el pedido de “rescate” de su información, Guyer trabajó en la seguridad interna. A los empleados se les pidió que entregaran sus computadoras, las del estudio y también las personales, en caso de que las hubiesen usado para trabajar. El equipo técnico revisó los dispositivos y eliminó documentos de la empresa en aquellos casos que lo consideró necesario, según los informantes.
De acuerdo con la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento (Agesic), en 2022 hubo 4.169 ciberataques en Uruguay, unos 200 más que en 2021. El aumento estuvo acompañado de un incremento en la severidad de los casos.
El Parlamento local todavía no llegó a un acuerdo sobre la tipificación de los delitos relacionados con la actividad.
Con 907 operaciones, Lockbit y sus “afiliados” (individuos o grupos que compran acceso a su herramienta) fue en 2022 el grupo dedicado al ransomware más “activo” a escala global de acuerdo al número de víctimas que declara tener, según un informe de la Agencia de Ciberdefensa de Estados Unidos publicado en julio.
Eldtritch estimó que, dado que el ataque a Guyer & Regules por parte de Lockbit o sus afiliados es el segundo conocido en Uruguay, es probable que “esta historia recién comience” y auguró que habrá futuros episodios.
Información Nacional
2023-10-25T23:42:00
2023-10-25T23:42:00
