La investigación del Consorcio Internacional de Periodistas, publicada en España por El Confidencial y La Sexta, ha puesto en circulación más de 11,5 millones de documentos internos de uno de los cinco despachos de abogados panameños especializados en el registro mundial de sociedades opacas.
Estos papeles incluyen correos electrónicos, cuentas bancarias, bases de datos, pasaportes y registros de clientes y aportan información oculta de alrededor de 200.000 sociedades conectadas con más de 200 países.
Pues bien. Los expertos en seguridad informática se preguntan cómo una empresa que se dedica a ocultar las fortunas de miles de clientes no tomó medidas a tiempo para proteger sus datos informáticos, dejando en una situación vulnerable su información más sensible.
Utilizaba un único servidor
Según ha podido conocer El Confidencial Digital, el análisis de las páginas web del despacho de abogados realizado por expertos informáticos, revela cinco graves fallos de seguridad que pudieron permitir la filtración de los denominados “papeles de Panamá”.
La empresa de seguridad informática WordFence, que protege las webs que utilizan WordPress para su trabajo diario (como es el caso de Mossack Fonseca), ha analizado los servidores del bufete. De allí fueron extraídos los documentos financieros que revelaron la vinculación de varios jefes de Estado y personalidades de los ámbitos políticos, culturales y deportivos con sociedades en Panamá.
Uno de los primeros errores que se ha detectado es que todos los servicios del despacho se encuentran localizados en el mismo servidor.
Incluye tanto el sitio de información pública como el sistema de servicios al cliente, que permite a los usuarios acceder a los archivos y documentos intercambiados en la relación con el despacho. También acoge el servidor de correo electrónico que almacena todas las comunicaciones que mantiene la firma con terceros.
Un ‘plugging’ desactualizado
En segundo lugar, WordFence atribuye también la filtración de documentos a un ‘plugin’ desactualizado de WordPress llamado ‘Revolution Slider’.
Mossack Fonseca utilizaba la versión 2.1.7 en el momento del ataque. Y los expertos destacan que todas las actualizaciones anteriores a la versión 3.0.95 presentaban una brecha de seguridad de “muy alto riesgo”. La última versión de este plugin es la 5.2.4.1
Una versión antigua de Drupal
También se destaca el uso de una versión antigua de Drupal. Se trata de un marco de gestión de contenidos o CMS que permite publicar artículos, imágenes, archivos y ofrece también otros servicios añadidos, como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. El contenido textual de las páginas y otras configuraciones son almacenados en una base de datos y se editan utilizando un entorno web.
La versión que estaba utilizando Mossack Fonseca, la 7.23, ofrecía facilidades de vulnerabilidad desde 2014 y permitía a cualquier hacker crear “puertas traseras” que hacen posible acceder a la información del servidor en cualquier momento.
Por tanto, las brechas de esta versión eran especialmente graves. De hecho, Drupal publicó ese mismo año 2014 una nota para explicar que, si no se realizaban las actualizaciones pertinentes, el riesgo de sufrir un ataque informático era elevado.
Nombre de usuario sin cambiar
Otros expertos en la materia también destacan que los dos sitios web principales de Mossack Fonseca –una vitrina de sus servicios, basado en WordPress y un portal para clientes cuya finalidad era compartir información confidencial- usaban un software que, en algunos casos, llevaba más de dos años sin actualizar.
Esa circunstancia dejaba abiertos varios atajos que pudieron servir también a los hackers para robar la información.
Otro de los fallos detectado es que el bufete no había cambiado su nombre de usuario y contraseña en el portal desde hacía tres años. Las empresas de seguridad recomiendan a firmas que custodian datos sensibles de clientes, como es el caso de Mossack Fonseca, realizar este proceso cada 30 días.
El bufete busca a los hackers
Mossack Fonseca se apresuró a aclarar, nada más salir a la luz los primeros nombres de personalidades con sociedades opacas en Panamá, que había sufrido un robo de documentos. Buscaba evitar ser acusado de filtración interna.
Posteriormente, la firma panameña ha contratado a la estadounidense FTI Consulting, un servicio internacional de investigación, para que encuentre a los hackers que se colaron en sus servidores y filtraron toda la información secreta de sus clientes.
FUENTE: Agencias