teléfono 916 591 311 email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Los papeles de Panamá, ciberseguridad y seguridad de la información

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

En las últimas semanas todos hemos oído/leído noticias sobre los llamados “papeles de Panamá”. Sabemos que el volumen de documentación filtrada es gigantesco y que revela, y seguirá revelando, numerosas cuentas opacas a través de empresas offshore. Pero, ¿cómo se ha producido esa filtración? ¿Se trata de un empleado descontento que ha filtrado la documentación o estamos ante un ciberataque que encontró un fallo en la ciberseguridad del despacho de abogados Mossack Fonseca?


La privacidad en el punto de mira


“Creemos que hay una campaña internacional en contra de la privacidad, la privacidad es un derecho humano sagrado, hay gente en el mundo que no entiende eso y nosotros definitivamente creemos en la privacidad y seguiremos trabajando para que la privacidad legal funcione"Fuga de información

afirmaba Fonseca, pero ¿realmente hicieron todo lo posible para asegurar la privacidad de sus clientes? Según revela un reportaje de Wired, parece que podían haberlo hecho mejor.

Se producían fallos en materia de seguridad informática. Como ejemplos:

  • Llevaban sin actualizar Outlook desde 2009 y sus correos no iban cifrados.
  • El portal web del cliente tampoco se actualizaba desde 2013 a pesar de que en su web aún se podía leer aquello de “acceso seguro a sus sociedades y trámites legales”. Al llevar sin actualizar tanto tiempo, el portal era vulnerable a ataques DROWN* (Decrypting RSA with Obsolete and Weakened eNcryption).
  • La web estaba configurada de manera que algunas partes del back-end se podían acceder simplemente adivinando la estructura de la URL.
  • La versión de Drupal que utilizaban contaba con al menos 25 vulnerabilidades, figurando una de alto riesgo referente a SQL Injection.
  • Tampoco tenían actualizada la versión de Wordpress que usaban.

En definitiva, ni la configuración del servidor ni la de su página web eran eficaces.

Una vez determinado el bajo nivel de seguridad del que disfrutaban los archivos de sus clientes nos asalta otra pregunta ¿cómo se produjo esta fuga de información? Hay dos posibilidades plausibles: que se trate de una filtración interior llevada a cabo por alguno de sus empleados o que fueran víctimas de un ataque informático. Nadie lo sabe con certeza pero ya hemos visto el estado en el que se encontraban los sistemas de front-end de Mossack Fonseca.

Si concluimos que la fuga de información se produjo externamente, es decir, a través de un ciberataque, debemos formularnos otra pregunta ¿quién está detrás de este ataque? ¿Puede que detrás del ataque se esconda un Estado harto de la evasión de impuestos? o ¿puede que el responsable del ataque fuera un hacker que tuvo suerte en su “pesca” y se vio en la obligación moral de filtrar a la prensa un premio tan gordo?

Este “premio gordo” se compone de correos electrónicos, contratos y documentación escaneada. Si hiciéramos un pequeño desglose por tipo de archivos veríamos cantidades de documentos hasta donde no alcanza la vista. Y es que si hay 4,8 millones de correos electrónicos, 2,1 millones de archivos PDF, 1,1 millones de imágenes…

Para hacernos una idea del volumen de la documentación filtrada pensemos que el volumen de la documentación del famoso caso “Wikileaks” era de 251.287 documentos ¡frente a los 11,5 millones de Mossack Fonseca!

Big Data - Analizar grandes volúmenes de datos

Pero, ¿cómo es posible analizar y manejar tal ingente volumen de documentación? ¿Cómo podemos encontrar ahí nada?Gran cantidad de información para gestionar

En Normadat, como expertos en seguridad de la información y tratamiento de información, tenemos experiencia en casos similares de especial sensibilidad y volumen. La confidencialidad también es primordial. Toda la información puede ser organizada para ser explotada convenientemente.

La información se filtró al diario alemán Süddeutsche Zeitung a través de una comunicación encriptada a finales del año 2014. El traspaso de toda la información tardó casi un año en realizarse y el diario alemán se vio superado por tal cantidad de documentos y decidió compartir esta información con el ICIJ (International Consortium of Investigative Journalists).

Nuix fue la empresa encargada de procesar la documentación a través de un OCR (reconocimiento óptico de caracteres en inglés) lo que les permitió convertir las imágenes a textos digitales para poder extraer el texto y los metadatos de los documentos. Una vez realizado este paso, se indexaron y se conformó una base de datos para facilitar búsquedas de nombres o remitentes de correos, analizar y establecer conexiones para poder llegar a conclusiones. La información ocupaba 2,6 terabytes y tardaron un día y medio en indexar los 11,5 millones de documentos. (¿Con las herramientas de Big Data que conocemos hoy se podría haber hecho más rápido?)

Una vez acometida esta primera fase, los periodistas empezaron a trabajar con la documentación bajo un firewall que les aportara seguridad. Además crearon un motor de búsqueda que contenía dos factores de autenticación y compartieron la información a través de emails encriptados a medios de comunicación de multitud de países.

(*)A grandes rasgos, estos ataques DROWN se aprovechan de un servidor mal configurado que permite conexiones SSLv2 inseguras y de conexiones TLS para capturar así las sesiones TLS y descifrar las claves RSA y poder acceder al listado de los directorios. Este tipo de ataques no son fáciles de realizar y desde luego no se realizan con un simple intento. Para descifrar una sesión TLS es necesario interceptar unas 1000 sesiones TLS utilizando intercambios de claves RSA, después realizar unas 40000 conexiones SSLv2 y 250 operaciones de cifrado simétrico.

Algo nada sencillo de realizar, pero donde el premio final era suculento. Tan suculento como los 11,5 millones de documentos que comprendían prácticamente toda la vida del bufete (1977-2015).

Conclusión


La publicación de los llamados papeles de Panamá ha puesto sobre el tapete una vez más el polémico tema de la vulnerabilidad de las empresas en asuntos de seguridad tecnológica. Cuida la reputación de tu empresa. Cuida la ciberseguriadUn problema que no solo compromete la seguridad de la información que manejan las empresas sino que también afecta a la reputación de las mismas.

No debemos creer que somos ajenos a estos asuntos, todos somos posibles víctimas de estos ataques que hace años eran realizados por hackers solitarios, pero que con el paso del tiempo, se van sofisticando y son realizados por grupos de personas que actúan organizadamente desde distintos lugares del mundo, donde no existe una normativa definida en estas materias.

Y es que tampoco nos cansaremos de pedir prudencia ante lo que aparece en nuestra pantalla del ordenador y es aceptado por un usuario. Recordad que la parte humana es el eslabón más débil de la cadena.


ARTÍCULOS RELACIONADOS:

 

Contactad Conmigo:

Aceptación de Políticas.

Boletín de Noticias

Sector
Área
Please wait

Artículos más leídos

Especialidad Normadat

Digitalización de documentos, Custodia de backup, Backup online remoto, Custodia de archivos, Montaje de instalaciones de custodia, Organización e inventariado de documentación, Servicios a bibliotecas, Destrucción confidencial certificada, cumplimiento LOPD...

 

Formas de Contacto

Centro de Soporte
Chat ONLINE
Tel: +34 916 591 311
Email: normadat@normadat .es
Website: www.normadat.es

Canales Sociales

   

Certificaciones

Normadat certificada en ISO 9001 de Gestión de Calidad Normadat certificada en ISO 27001 de Gestión de la Seguridad de la Información
Normadat servicio certificado Destrucción Confidencial Normadat certificada en UNE-EN ISO 14001 GA-2014/0182

Subvenciones

Subvencionados por el programa de impulso a la contratación de jóvenes inscritos en el Fichero del Sistema Nacional de Garantía Juveníl, en el ámbito de la Comunidad de Madrid

Este sitio usa cookies propias y de terceros.

Si no cambias la configuración del navegador, aceptas su uso para tener una mejor experiencia de usuario. Saber más

OK

En Normadat utilizamos cookies propias y de terceros para un correcto funcionamiento del sitio y análisis de navegación para la optimización de la web. Si no cambias la configuración del navegador entendemos que aceptas nuestra Política de Cookies. Url de la política de cookies de normadat: Política de Cookies.