La Cámara Federal de Casación Penal revocó el archivo de la causa que investiga el ciberataque al PAMI perpetrado en agosto de 2023, y ordenó reabrir la investigación.
Lo hizo tras considerar que aún existen medidas de prueba pendientes que podrían permitir identificar a los autores del ataque o establecer responsabilidades internas en el Instituto Nacional de Servicios Sociales para Jubilados y Pensionados (INSSJP).
El fallo de la Sala IV del máximo tribunal penal federal del país pone fin a una controversia de más de un año: mientras el Ministerio Público Fiscal y la Justicia de primera instancia habían dispuesto el cierre del expediente por “imposibilidad de proceder”, el PAMI, como querellante, insistía en que se desoyeron pruebas claves y que se abandonó prematuramente la posibilidad de avanzar en la causa. Casación, por mayoría, le dio la razón.
Cómo fue el ataque: Rhysida y una madrugada de extorsión
El ciberataque ocurrió el 2 de agosto de 2023 y paralizó los sistemas del PAMI en todo el país. Al encender los equipos informáticos, el personal detectó un mensaje extorsivo en el que se advertía que la red había sido comprometida, y que la información de la obra social -incluyendo datos de afiliados, médicos, recetas electrónicas y accesos internos- podía haber sido robada, vendida o publicada.
La firma digital del mensaje correspondía a Rhysida, un grupo internacional de ransomware que había atacado previamente a instituciones públicas en otros países. Según los informes técnicos elaborados durante la investigación, el ingreso a los sistemas se habría logrado mediante phishing, robo de credenciales VPN y explotación de vulnerabilidades por escritorio remoto.
El PAMI respondió de manera inmediata: aisló las copias de seguridad, desacopló toda la red informática afectada y comenzó a restaurar los servicios en una red nueva y separada. Informó también que sus bases de datos físicas no habían sido comprometidas, y que pudo recuperar la operatividad a partir de los backups.
La causa judicial: archivos, reapertura y disputa
La investigación penal fue iniciada a raíz de una denuncia presentada por la fiscalía especializada en delitos previsionales, que solicitó apoyo técnico a la UFECI y a las fuerzas federales. Durante los meses siguientes, se realizaron informes forenses, se contactó a INTERPOL y se identificaron datos del PAMI publicados en la dark web.
Sin embargo, hacia noviembre de 2023, la fiscalía concluyó que no era posible identificar a los autores del ataque ni realizar más diligencias útiles y se archivó la causa. El expediente volvió a cerrarse en marzo de 2025, tras una breve reapertura solicitada por el nuevo director del PAMI, Ernesto Leguizamo, quien también se constituyó como querellante.
Desde el organismo se reclamaba que la investigación era incompleta y que se habían omitido pasos fundamentales: no se convocó a EUROPOL, no se remitieron archivos encriptados a INTERPOL pese a su ofrecimiento de ayuda, y no se indagó la posible responsabilidad de funcionarios internos encargados de la seguridad informática.
Qué dijo Casación: investigación insuficiente
Con el voto mayoritario de los jueces Javier Carbajo y Mariano Borinsky -y la disidencia de Gustavo Hornos-, la Sala IV de Casación revocó el archivo y ordenó seguir investigando. Para los magistrados, no puede sostenerse que la pesquisa se agotó si aún hay pruebas relevantes sin producirse.
“Rechazar la producción de esa prueba no aparece como razonable ni razonada”, señaló Carbajo sobre la oferta de INTERPOL de colaborar con el desencriptado de información, a través de un canal seguro. También cuestionó que se haya desestimado la consulta a EUROPOL, cuando es una agencia con experiencia en ransomware que colabora con países fuera de la Unión Europea.
“No se ha podido aún individualizar a los autores del ciberataque al INSSJP-PAMI ni a los responsables del instituto que debieron implementar las medidas de seguridad adecuadas”. A su vez, la decisión judicial remarcó que se debe estar a la altura de delitos que afectan servicios públicos esenciales y que suelen tener componentes transnacionales.
Lo que sigue: investigación reactivada
La decisión implica que el Juzgado Federal 9 de la ciudad de Buenos Aires deberá reabrir la causa y ordenar las medidas que el PAMI había solicitado: contactar a EUROPOL, enviar archivos a INTERPOL y evaluar si hubo negligencia interna en el manejo del sistema.
La expectativa está puesta también en una causa paralela en Córdoba, donde se investiga a Tiziano Palacios Arriondo, acusado de adquirir bases de datos robadas del PAMI a través de Telegram. Si bien Casación aclaró que ese caso no permite, por ahora, vincularlo con el ataque original, el desarrollo de esa causa podría aportar nuevas pistas.
