Cyber Incident Victim: Yacimientos Carboníferos Río Turbio
Date:
May 2025
Location:
Argentina
Summary
Yacimientos Carboníferos Río Turbio experienced a computer system intrusion involving a virus or hacking attempt that caused the network to fail and prevented the use of all equipment. The company ordered staff not to turn on computers while specialists work to restore the system, and officials have not issued a public statement about the incident. Sources indicate that it is unclear whether the company maintains backups of its information, and they note that similar disruptions have happened before.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 1 motive | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
Entre el jueves 22 de mayo y el viernes 23 de mayo de 2025 el sistema informático de Yacimientos Carboníferos Río Turbio (YCRT) sufrió una intrusión que fue descrita por fuentes de la empresa como un virus o maniobras de hackeo informático, lo que provocó el colapso del sistema y generó alarmas sobre una posible pérdida de información y el bloqueo de accesos a los equipos. El personal especializado de la empresa comenzó a trabajar para recomponer el servicio, indicando que la falla producida en el sistema impedía la operación de todos los equipos y computadoras de la empresa. Según los relatos, el incidente se detectó inicialmente durante la jornada del jueves y se mantuvo activo hasta el viernes, momento en que se confirmó la magnitud de la afectación. Las fuentes consultadas por la agencia OPI Santa Cruz afirmaron que el problema no era aislado y que había ocurrido en otras ocasiones bajo circunstancias similares. La gravedad del evento se reflejó en la interrupción total de las actividades que dependen de los recursos informáticos internos. No se menciona en el artículo la existencia de un mensaje de ransomware ni de una nota de rescate, solo se habla de un virus o de acciones de hackeo. El impacto inmediato fue la imposibilidad de utilizar cualquier terminal de trabajo dentro de las instalaciones de YCRT.
El lunes 26 de mayo de 2025 el departamento de Recursos Humanos de YCRT emitió una orden dirigida a todo el personal de la empresa que prohibía encender las computadoras en todas las oficinas y dependencias de YCRT, aunque el personal debía presentarse en sus lugares de trabajo habituales. Esta medida se tomó como una acción de contención para evitar que el posible malware se propagara o que se intentara acceder a sistemas comprometidos mientras se trabajaba en su recomposición. La orden se aplicó de manera uniforme en todas las sedes, incluyendo la oficina central en Buenos Aires y las distintas áreas operativas del yacimiento. Los empleados fueron informados de que debían cumplir con la disposición pese a la imposibilidad de realizar sus tareas habituales mediante los equipos informáticos. La restricción se mantuvo vigente mientras los técnicos continuaban con los esfuerzos de restauración. No se detalla en el artículo cuánto tiempo se esperaba que durara la prohibición, solo se indica que estaba vinculada al progreso de los trabajos de recomposición. La medida afectó directamente a la productividad diaria de la empresa, ya que ninguna tarea que requiera el uso de computadoras pudo ejecutarse durante ese período.
Mientras la orden de no usar computadoras estaba en efecto, el equipo técnico de YCRT, ubicado en la sede de Buenos Aires, trabajaba para recomponer el sistema informático. Según las fuentes consultadas, el trabajo de recomposición podría concluirse entre el mismo lunes 26 de mayo y el jueves 29 de mayo de 2025, dependiendo de si la falla se debía a un error interno del sistema o a un ataque externo, situación que ya había ocurrido previamente en el historial informático del yacimiento. Los técnicos estaban enfocados en restaurar la operatividad de todos los equipos y en verificar la integridad de la información almacenada. No se especifica en el artículo qué herramientas o procedimientos se estaban utilizando para la recomposición, solo se menciona que personal especializado estaba abocado a la tarea. La posibilidad de que el incidente fuera atribuido a un error del sistema se planteó como una alternativa a la hipótesis de un ataque intencional. Los trabajos de recomposición se realizaban sin que se hubiera emitido una comunicación oficial por parte de la dirección de YCRT sobre el estado de los avances.
A pesar de la magnitud de la interrupción, las fuentes aseguraron que el problema no afectaría la liquidación de haberes de los empleados de YCRT. Esta afirmación se realizó para tranquilizar al personal respecto a la continuidad de los pagos salariales y otros beneficios vinculados al nómina. No se detalla en el artículo cómo se garantizó que la liquidación de haberes permaneciera fuera del alcance de la falla informática, solo se menciona que las fuentes consultadas lo afirmaron. La liquidación de haberes se considera una función crítica que, según las fuentes, permanecería operativa o sería procesada por medios alternativos no afectados por el incidente. No se menciona en el texto si se utilizó algún sistema paralelo o si se recurrió a procesos manuales para asegurar el pago de salarios. La afirmación se presenta como una declaración de las fuentes y no como una confirmación independiente de áreas de finanzas o recursos humanos.
Desde el inicio del incidente, YCRT no emitió ninguna comunicación oficial dirigida al público, a los medios de comunicación ni a sus propios empleados explicando la naturaleza del problema, las causas ni las acciones que se estaban tomando para resolverlo. El silencio institucional fue destacado por la agencia OPI Santa Cruz, que señaló que, pese a los días transcurridos desde la detección del fallo, la empresa no había proporcionado información alguna sobre el evento. La falta de declaraciones oficiales generó un vacío informativo que fue llenado por especulaciones y versiones internas circulando entre el personal. Las fuentes consultadas por OPI indicaron que el cerrojo informativo alrededor del tema era notable y que dentro de la empresa se estaban difundiendo diversas teorías sobre lo ocurrido. No se menciona en el artículo si se había intentado contactar a autoridades reguladoras o si se había presentado algún reporte formal a entidades de control.
El artículo señala que incidentes similares habían ocurrido anteriormente en YCRT, particularmente tras cada cambio de Interventor, cuando el sistema informático había presentado fallas o había sido afectado de manera significativa. Se menciona como referencia un episodio ocurrido durante la gestión de Aníbal Fernández en 2021, en el que un módulo moderno y complejo destinado a controlar la puesta en marcha de la central de 240 Mw habría costado al Estado nacional aproximadamente cuatro millones de dólares y nunca llegó a funcionar. Este antecedente se cita para ilustrar que problemas tecnológicos y financieros han sido recurrentes en la historia reciente de la empresa. No se proporciona detalle técnico sobre el mencionado módulo ni sobre su relación directa con el incidente de mayo de 2025. La mención sirve únicamente como contexto histórico de fallas previas en los sistemas informáticos de YCRT.
Sobre la existencia de copias de seguridad o backups de la información, las fuentes consultadas indicaron que, según su conocimiento, YCRT no contaba con un respaldo adecuado de toda la información almacenada en sus sistemas. Esta afirmación se presenta como una preocupación porque, en caso de que la información hubiese sido destruida o contaminada, la falta de backup agravaría considerablemente los esfuerzos de recuperación. No se especifica en el artículo si se había realizado algún intento de verificar la existencia de backups ni si se había encontrado evidencia de su presencia o ausencia. La declaración de las fuentes se limita a expresar su percepción de que no había un respaldo confiable.
Dentro de la empresa circularon diversas versiones sobre las posibles motivaciones detrás del incidente. Una de ellas sugería que el hackeo o virus había sido inventado para encubrir la incapacidad de YCRT de proporcionar información técnica y administrativa solicitada por organismos de control, en el marco de la constitución de la carboeléctrica. Otra versión vinculaba el incidente a la salida de un equipo de informática liderado por Thierry Decoud y su reemplazo por la gestión de Pablo Gordillo, afirmando que desde esa mudança el sistema se había convertido en un desastre. Estas versiones se presentan como opiniones de fuentes internas y no como conclusiones verificadas por investigaciones formales. El artículo también menciona que se estaban considerando tres temas fundamentales para determinar la responsabilidad: si el origen fue interno, quiénes serían los responsables y si existía un motivo para pensar que la falla había sido provocada por un actor externo. No se proporciona evidencia que respalde cualquiera de estas hipótesis.
Al cierre del relato, el artículo expresa la incertidumbre sobre si se llegará a conocer la verdadera causa del incidente, los responsables y las consecuencias concretas para YCRT, o si el caso quedará envuelto en un silencio similar al de ocasiones anteriores en las que se habían producido fallas informáticas sin que se supieran los motivos ni se hubiera asignado responsabilidad. Se hace referencia a episodios previos en los que documentación y papeles de la empresa fueron encontrados en basurales sin que se hubiera aclarado quién los había descartado ni se hubiera iniciado una investigación oficial. La narrativa concluye dejando abierta la posibilidad de que el incidente siga sin una explicación clara y sin que se conozcan los resultados de los trabajos de recomposición en curso.