A medida que pasan los días, la investigación sobre los hechos que desencadenaron la masiva filtración de correos electrónicos hackeados de los servidores del Estado Mayor Conjunto (EMCO), que fueron publicados en Twitter y reenviados por plataformas de mensajería como WhatsApp y Telegram, se ha ido reconstruyendo. Según información recabada por La Segunda a través de cuatro fuentes conocedoras de la indagatoria, el hackeo que sufrió el organismo castrense dependiente de la ministra de Defensa Maya Fernández, se extendió por 10 días y fue en las primeras dos semanas de mayo de 2022. Hasta ahora, el Presidente Gabriel Boric, la ministra del Interior Carolina Tohá y el subsecretario del Interior Manuel Monsalve han insistido en la versión que entregó Fernández: el Ejecutivo fue avisado en mayo sólo de vulneraciones informáticas y no de un hackeo de información, y que se enteró de esto último el pasado 19 de septiembre.

Acá, al menos tres cabos sueltos en la investigación que recién se inicia.

1.- LA FALTA DE

ALERTA AL CSIRT

El CSIRT (Centro de Respuesta ante Incidentes de Seguridad Informática) es el ente estatal encargado de velar por la seguridad informática de los distintos organismos públicos y también en el sector privado cuando se trata de empresas del sector estratégico o cuando se haya establecido un convenio de colaboración público-privado. Fue en el segundo mandato de Sebastián Piñera, recuerda una fuente, cuando se puso a disposición de todas las instituciones estatales dicha instancia, que depende del Ministerio del Interior.

En un decreto presidencial con fecha 8 de octubre del 2018, se establecen las funciones de la CSIRT y la obligación de todos los funcionarios públicos de avisar (no es algo discrecional) cuando se detecta una vulneración informática o se está ante un ataque.

En el punto “Reporte obligatorio de incidentes de ciberseguridad”, el decreto establece: “Los órganos de la administración del Estado deberán reportar la totalidad de los incidentes de ciberseguridad que se presenten, tan pronto tomen conocimiento de los mismos, al centro de coordinación de entidades estatales del Gobierno, el que cuenta con los mecanismos necesarios para efectuar reportes de incidentes de ciberseguridad, para adoptar las medidas de respuesta y mitigación que sean necesarias”.

Para ello, su funcionamiento es continuado, es decir, 24/7 y existen canales formales vía web, correo electrónico y teléfonos para reportar incidentes. De acuerdo al documento, la CSIRT debería tener en sus alertas el aviso de la ministra Maya Fernández, respecto a la vulnerabilidad que los estaba afectando en mayo, así como también del renunciado general Guillermo Paiva, Jefe del Estado Mayor Conjunto (EMCO).

Una alta fuente del Ministerio de Defensa reconoció a La Segunda, la semana pasada, que Fernández fue alertada de manera “verbal” y no por “escrito” sobre las vulnerabilidades informáticas de EMCO. Otra fuente lo confirmó ayer agregando que fue en un pasillo. Tanto así, que la ministra Fernández instruyó medidas y destino recursos en ese momento. Tal como lo reconoció el propio Paiva en entrevista con este diario: “Se tomaron medidas, se buscó financiamiento y se obtuvo para aplicar dichas medidas de resguardo”.

La versión oficial del gobierno indica que en ese momento el hackeo ya se había producido y tanto Fernández como la jefa de gabinete, Carolina Tohá, afirmaron que nunca se entregó la información de lo que realmente estaba pasando: el hackeo masivo que la institución castrense había sufrido. “La filtración no estaba comunicada ni al Ministerio (Defensa) ni a ninguna autoridad fuera del Estado Mayor. Lo que estaba avisado era que había vulnerabilidades en la seguridad. En virtud de aquello el ministerio tomó medidas y se entregaron apoyos para que hubiera refuerzos a la seguridad informática”, dijo Tohá a Chilevisión Noticias y en el programa Tolerancia Cero de CNN.

Paiva, por su parte, puso un ingrediente de misterio en torno a qué fue lo que exactamente le dijo a Fernández sobre el tema. Entrevistado por este diario el viernes pasado, se limitó a decir que no iba a responder “por ahora”.

La incógnita ahora es saber si la ministra Fernández cumplió con el instructivo presidencial, que es taxativo en el punto de dar aviso al CSIRT en caso de estar en presencia de un incidente.

La Segunda consultó oficialmente al Gobierno y desde el Ministerio del Interior (en coordinación con Defensa) dijeron lo siguiente respecto a la pregunta del sobre el CSIRT. “No, ella ni alertó ni la alertaron porque ella se enteró efectivamente cuando se enteró. A ella le dijeron una cosa distinta. Le dijeron que había eventualmente una posibilidad de que el sistema estuviera vulnerable”.

Según altas fuentes de Gobierno y del Ejército, la divulgación de información que compromete la seguridad nacional fue detectada en la mañana del 19 de septiembre -mientras las autoridades encabezadas por el Presidente Gabriel Boric participaban de la Parada Militar- a través de una cuenta de Twitter, que publicó un enlace donde se podía descargar el material hackeado.

Con el correr de las horas, dicha cuenta se identificaría con el grupo centroamericano de hackers Guacamaya. Respecto a la publicación, que contenía los casi 400 mil correos hackeados ese día, fueron notificados los ministerios de Defensa e Interior y la Agencia Nacional de Informaciones (ANI).

Lo que se sabe de dos fuentes del sector, hasta ahora, es que en los e-mails no existen videos ni fotografías, y comprenden al menos 5 años: entre el 2017 y el 2022. El ataque a los servidores de EMCO que terminó con los e-mails repartidos por la web y publicados por distintos medios de comunicación, se extendió por 10 días en las dos primeras semanas de mayo de este año.

De acuerdo a un reportaje de Ciper, los archivos contienen información que fue rotulada como “reservada”, “secreta” y “ultra secreta”, de un sinnúmero de temas sensibles de seguridad nacional como el sistema de monitoreo de comunicaciones satelitales en las fronteras, los programas que almacenan bases de datos de inteligencia, ciberseguridad y otra serie de materias. “Estrategia de ciberseguridad implementada por las Fuerzas Armadas desde hace al menos una década: softwares, proveedores, funcionamiento de los sistemas, descripción de los equipos y la identificación de los oficiales encargados de los programas”, afirma Ciper.

En el sitio web del CSIRT, como en otros casos de posibles amenazas de propagación de virus o ataques, como el que sufrió el Poder Judicial esta semana, no hay registros de lo sucedido en el EMCO. Tampoco en sus redes sociales.

2.- LOS CORTAFUEGOS

DEL GOBIERNO

A pesar de que las primeras noticias del hackeo al EMCO se supieron el lunes 19 septiembre, mientras se realizaba la Parada Militar, no se sabe con exactitud la hora en que las autoridades fueron informadas sobre la publicación de los contenidos. La información entregada oficialmente por el gobierno es que una vez que la titular de Defensa aterrizó en EE.UU. junto al Presidente Boric, se enteró de la gravedad de lo ocurrido (la mañana del martes 20) y, por instrucciones del Mandatario, regresó a Chile el miércoles 21 en la noche en un vuelo comercial.

De acuerdo a esta versión, una alta fuente de La Moneda sostiene que Boric recibió un mensaje vía WhatsApp de la ministra Tohá, quien le dijo que tenía que conversar con él y le indicó que debía ser por vía telefónica.

La información que manejó Presidencia mientras Boric estaba en la ONU, fue la siguiente: hubo advertencias de que podía haber fallas de seguridad y se decidió reforzar el área en mayo. No hubo hasta ahora en septiembre, aseguran, claridad respecto a la magnitud de lo que estaba pasando. Y como podía tratarse de información sensible que podía comprometer a Chile, se decidió el viaje de Fernández.

Mientras estaba en EE.UU. la secretaria de Estado dispuso que se creara un comité de crisis en Santiago encabezado por el subsecretario de Defensa, Gabriel Gaspar, quien la mantuvo informada al detalle de la situación.

Una de las gestiones de Gaspar fue comunicarse con los presidentes de las comisiones de Defensa del Senado y de la Cámara, con quienes acordó la citación y su participación ayer en sesiones que fueron secretas. Finalmente, Fernández llegaría a Santiago a primera hora del jueves 22. Pasadas las 9 de la mañana de ese día, señaló otra fuente del Ministerio de Defensa, se reunió en su oficina con Gaspar.

El miércoles 21, a primera hora, el Ministerio de Defensa había emitido un comunicado anunciando el regreso de Fernández a Chile y a la vez informando que “el Gobierno ha ordenado un sumario administrativo para determinar las responsabilidades correspondientes. Adicionalmente, los antecedentes han sido puestos a disposición de la justicia militar para dar pie a la investigación penal”.

El jueves 22, con Fernández en Chile, envía un nuevo comunicado de prensa donde se anuncia “que el Gobierno ha aceptado la renuncia del general de División Guillermo Paiva, jefe del Estado Mayor Conjunto”.

Junto a ello ratifica sumario y la presentación de antecedentes (una denuncia) a la Justicia Militar, además de pedir al CDE que represente al Ministerio “en las investigaciones que correspondan”. No hubo ese día versión de la ministra, sino que solo el comunicado y un video donde aparecía ella, reiterando lo mismo que se había dicho en el documento que se distribuyó a la prensa.

3.- LAS RESPONSABILIDADES DEL GOBIERNO

Cuando se conoció la información de que el Gobierno sabía sobre las vulnerabilidades del sistema desde mayo, desde el Ejecutivo trascendió a varios medios de comunicación que las alertas se venían advirtiendo desde la administración anterior. Lo que es cierto, pues en Defensa en ese tiempo fueron informados y el CSIRT hizo lo propio en julio de 2021, confirmó una fuente de la investigación, que explicó a este diario que se analiza desde que Alberto Espina se desempeñó como Ministro de Defensa, quien ahora es consejero del Consejo de Defensa del Estado.

Pero dos ex personeros del gobierno anterior explican que la fuga de información se produjo este año, en este gobierno, y que entre 2018 y 2021 no hubo hackeos, a pesar de que es habitual que haya ataques de esta naturaleza. Incluso, se afirma que fue el subsecretario de Defensa de Piñera, Cristián de la Maza, quien inició el “Proyecto Marciano” (sistema de ciberseguridad coordinado por el EMCO), pues antes no existía ese tipo de protección conjunta; cada rama de la Defensa tenía por separado (y siguen teniendo) sus propios protocolos de seguridad. El “Proyecto “Marciano” empezó a estar operativo en 2020 y se asegura que protege toda la información del EMCO, no solo los correos electrónicos.

Una ex autoridad política del sector Defensa pone en duda la versión oficial que señala que Paiva no informó todo lo que debía. Cree que sí lo hizo. Sostiene que en esto ha existido desconocimiento de la actual administración al argumentar que “solo hubo un informe verbal”. Explica que este nivel de información de Inteligencia nunca se deja por escrito, solo se hace verbalmente y de persona a persona. “No hay que olvidar que se trata de un oficial que fue jefe de Inteligencia del Ejército, por lo que sabe tratar la información”, explica.

Guillermo Paiva.