140 GB del Jefe de Gabinete: radiografía de una arquitectura rota
El 30 de marzo, Chronus Team publicó 140 GB del Jefe de Gabinete argentino y filtró bases de 17 organismos. No era un APT: era una arquitectura a medio cerrar. Qué stack abierto reduce la próxima brecha.
El 30 de marzo, a las 22:47 ART, un operador nocturno de una mesa de ayuda provincial miraba alertas en su SIEM y se servía otro té. Nada raro. A la misma hora, tres individuos con los nicks adrxx, L0stex y Lizard — cluster "Chronus Team" — empezaban a publicar en un foro ruso 140 GB del Jefe de Gabinete argentino, millones de registros de seguridad social y bases enteras del Banco Central, la Agencia Nacional de Discapacidad y varias policías provinciales. No era un APT sofisticado. Era gente con paciencia entrando por puertas que nadie había cerrado.
La puerta entreabierta
El inventario oficioso duele: al menos 17 entidades vulneradas, 28 filtraciones de datos en paralelo y más de 140 GB solo del Jefe de Gabinete, según los reportes de Criptonoticias y El Estratégico. Entre los afectados, la ANDIS, la Suprema Corte bonaerense, ministerios nacionales de Salud, Educación y Seguridad, y ocho policías provinciales.
Y acá está el detalle incómodo: según el análisis de Segu-Info, Chronus Team no es un grupo APT con exploits cero-day comprados en el mercado negro. Es un cluster hacktivista oportunista que también golpeó al gobierno mexicano en enero y tiene operaciones en Brasil y Venezuela. Entraron con técnicas conocidas. Entraron porque podían.
Para una contadora de San Rafael que está por mandar facturas electrónicas, o para el IT de un municipio del interior que factura menos de $50M al mes, la pregunta es obvia: ¿a mí, cuándo?
Por qué comprar más firewall no alcanza
La reacción corporativa argentina post-incidente es previsible: llamar al bróker para ampliar el ciberseguro, comprar un "next-gen firewall" con IA, mover todo a un SaaS multinacional "para que se ocupen ellos". Las tres cosas fallan por la misma razón: el problema no es el perímetro, es la arquitectura.
Cuando una credencial de producción vive en un .env committeado, en una conversación con un asistente de IA o en un chat interno, el firewall no la ve pasar. Cuando la base de datos de un ministerio corre en un servidor sin replicación lógica, sin hash de integridad en las tablas críticas y sin un restore drill mensual, el seguro te paga la multa, no te devuelve los cuatro millones de registros. Y cuando tu proveedor SaaS te notifica la brecha a las 72 horas por email, ya estás en los titulares.
La reforma de la Ley 25.326 que se debate ahora en el Congreso — los proyectos impulsados por los diputados Yeza y Carro, y el senador Doñate — promete incorporar privacidad por defecto, accountability demostrada y portabilidad de datos, tal como describe Diario Judicial. Son principios. No arquitectura. Los principios sin arquitectura son un formulario más para firmar.
La salida empieza por lo que podés auditar
La tecnología abierta no es una bandera ideológica. Es una propiedad operativa concreta: código auditable, logs inspeccionables, datos exportables. Una pila defensiva razonable para una pyme o un organismo provincial argentino en 2026 se arma con piezas que no hay que inventar:
- PostgreSQL 17 con replicación síncrona y pgBackRest para backups incrementales cifrados con restore drill automatizable.
- Keycloak para identidad federada con MFA obligatorio y rotación corta de sesiones.
- Wazuh como SIEM abierto, con reglas que alerten exfiltración anómala por volumen de tráfico saliente, no solo por firmas.
- HashiCorp Vault — o su fork libre OpenBao — para que ninguna credencial de producción viva en un
.envni en un canal de chat. - restic o borgbackup con verificación criptográfica y al menos una copia offsite en hardware que no hable con el dominio principal.
Nada de esto es ciencia espacial. Ultima Milla viene implementando stacks equivalentes para clientes del sector público y pymes argentinas desde hace años. La trazabilidad de residuos peligrosos que corre en la DGFA de Mendoza se apoya sobre el mismo principio: cada insumo, cada acceso, cada registro se puede reconstruir hacia atrás, porque el código es lectura abierta y los datos no se van a una nube de la que no se puede salir.
Tres advertencias honestas
Sería irresponsable cerrar esto como si fuera un "instalá y olvidate".
Primero: open source sin disciplina de operaciones no protege de nada. Un Postgres mal configurado filtra tanto como un Oracle mal configurado. La diferencia es que el Postgres lo podés auditar vos y un administrador de 24 años, no una consultora internacional a 400 dólares la hora.
Segundo: los backups que no se restauran no existen. El restore drill mensual es lo único que convierte "tengo backup" en "puedo sobrevivir un ransomware". La mayoría de las organizaciones argentinas no lo hace.
Tercero: la reforma de la 25.326 va a llegar, y va a llegar con multas serias (AAIP). Si hoy no sabés qué datos personales guardás, dónde están, quién los accedió en los últimos 90 días y cómo los borrás a pedido del titular, estás construyendo la próxima filtración.
Chronus Team ya hizo la pregunta incómoda. La Argentina todavía no tiene la respuesta.