En las últimas semanas todos hemos oído/leído noticias sobre los llamados “papeles de Panamá”. Sabemos que el volumen de documentación filtrada es gigantesco y que revela, y seguirá revelando, numerosas cuentas opacas a través de empresas offshore. Pero, ¿cómo se ha producido esa filtración? ¿Se trata de un empleado descontento que ha filtrado la documentación o estamos ante un ciberataque que encontró un fallo en la ciberseguridad del despacho de abogados Mossack Fonseca?
La privacidad en el punto de mira
“Creemos que hay una campaña internacional en contra de la privacidad, la privacidad es un derecho humano sagrado, hay gente en el mundo que no entiende eso y nosotros definitivamente creemos en la privacidad y seguiremos trabajando para que la privacidad legal funcione"
afirmaba Fonseca, pero ¿realmente hicieron todo lo posible para asegurar la privacidad de sus clientes? Según revela un reportaje de Wired, parece que podían haberlo hecho mejor.
Se producían fallos en materia de seguridad informática. Como ejemplos:
- Llevaban sin actualizar Outlook desde 2009 y sus correos no iban cifrados.
- El portal web del cliente tampoco se actualizaba desde 2013 a pesar de que en su web aún se podía leer aquello de “acceso seguro a sus sociedades y trámites legales”. Al llevar sin actualizar tanto tiempo, el portal era vulnerable a ataques DROWN* (Decrypting RSA with Obsolete and Weakened eNcryption).
- La web estaba configurada de manera que algunas partes del back-end se podían acceder simplemente adivinando la estructura de la URL.
- La versión de Drupal que utilizaban contaba con al menos 25 vulnerabilidades, figurando una de alto riesgo referente a SQL Injection.
- Tampoco tenían actualizada la versión de Wordpress que usaban.
En definitiva, ni la configuración del servidor ni la de su página web eran eficaces.
Una vez determinado el bajo nivel de seguridad del que disfrutaban los archivos de sus clientes nos asalta otra pregunta ¿cómo se produjo esta fuga de información? Hay dos posibilidades plausibles: que se trate de una filtración interior llevada a cabo por alguno de sus empleados o que fueran víctimas de un ataque informático. Nadie lo sabe con certeza pero ya hemos visto el estado en el que se encontraban los sistemas de front-end de Mossack Fonseca.
Si concluimos que la fuga de información se produjo externamente, es decir, a través de un ciberataque, debemos formularnos otra pregunta ¿quién está detrás de este ataque? ¿Puede que detrás del ataque se esconda un Estado harto de la evasión de impuestos? o ¿puede que el responsable del ataque fuera un hacker que tuvo suerte en su “pesca” y se vio en la obligación moral de filtrar a la prensa un premio tan gordo?
Este “premio gordo” se compone de correos electrónicos, contratos y documentación escaneada. Si hiciéramos un pequeño desglose por tipo de archivos veríamos cantidades de documentos hasta donde no alcanza la vista. Y es que si hay 4,8 millones de correos electrónicos, 2,1 millones de archivos PDF, 1,1 millones de imágenes…
Para hacernos una idea del volumen de la documentación filtrada pensemos que el volumen de la documentación del famoso caso “Wikileaks” era de 251.287 documentos ¡frente a los 11,5 millones de Mossack Fonseca!
Big Data - Analizar grandes volúmenes de datos
Pero, ¿cómo es posible analizar y manejar tal ingente volumen de documentación? ¿Cómo podemos encontrar ahí nada?
En Normadat, como expertos en seguridad de la información y tratamiento de información, tenemos experiencia en casos similares de especial sensibilidad y volumen. La confidencialidad también es primordial. Toda la información puede ser organizada para ser explotada convenientemente.
La información se filtró al diario alemán Süddeutsche Zeitung a través de una comunicación encriptada a finales del año 2014. El traspaso de toda la información tardó casi un año en realizarse y el diario alemán se vio superado por tal cantidad de documentos y decidió compartir esta información con el ICIJ (International Consortium of Investigative Journalists).
Nuix fue la empresa encargada de procesar la documentación a través de un OCR (reconocimiento óptico de caracteres en inglés) lo que les permitió convertir las imágenes a textos digitales para poder extraer el texto y los metadatos de los documentos. Una vez realizado este paso, se indexaron y se conformó una base de datos para facilitar búsquedas de nombres o remitentes de correos, analizar y establecer conexiones para poder llegar a conclusiones. La información ocupaba 2,6 terabytes y tardaron un día y medio en indexar los 11,5 millones de documentos. (¿Con las herramientas de Big Data que conocemos hoy se podría haber hecho más rápido?)
Una vez acometida esta primera fase, los periodistas empezaron a trabajar con la documentación bajo un firewall que les aportara seguridad. Además crearon un motor de búsqueda que contenía dos factores de autenticación y compartieron la información a través de emails encriptados a medios de comunicación de multitud de países.
Algo nada sencillo de realizar, pero donde el premio final era suculento. Tan suculento como los 11,5 millones de documentos que comprendían prácticamente toda la vida del bufete (1977-2015).
Conclusión
La publicación de los llamados papeles de Panamá ha puesto sobre el tapete una vez más el polémico tema de la vulnerabilidad de las empresas en asuntos de seguridad tecnológica. Un problema que no solo compromete la seguridad de la información que manejan las empresas sino que también afecta a la reputación de las mismas.
No debemos creer que somos ajenos a estos asuntos, todos somos posibles víctimas de estos ataques que hace años eran realizados por hackers solitarios, pero que con el paso del tiempo, se van sofisticando y son realizados por grupos de personas que actúan organizadamente desde distintos lugares del mundo, donde no existe una normativa definida en estas materias.
Y es que tampoco nos cansaremos de pedir prudencia ante lo que aparece en nuestra pantalla del ordenador y es aceptado por un usuario. Recordad que la parte humana es el eslabón más débil de la cadena.
ARTÍCULOS RELACIONADOS: