Revista Sala de Espera Venezuela Revista Sala de Espera, Edición Venezuela
Si bien una compañía offshore no es ilegal, la divulgación de datos sobre 214.000 de ellas supone un impacto mayor
Por Froilán Fernández – @froilan
¿Cómo fue posible vulnerar la seguridad para extraer 11,5 millones de documentos, un total de 2,6 terabytes de datos sobre más de 214.000 compañías?
No se sabe cuando se inició el ataque informático exitoso contra la firma Mossak Fonseca (MF), con sede en Panamá, cuya misión es crear compañías offshore, pero como la información extraída salió a la luz, de manera limitada, a finales de 2014, se infiere, por el masivo volumen de datos, que los hackers ya tenían por los menos un año con acceso a los servidores de la firma panameña.
Un terabyte son 1.000 gigabytes ó un millón de megas. En comparación, fugas de información como las denominadas Wiki Leaks o las Swiss Leaks, de unos pocos gigabytes, resultan minúsculas.
Como se sabe, la publicación de los Papeles de Panamá en medios de 76 países, a inicios de abril, fue el resultado de un proceso más de un año, coordinado por el Consorcio Internacional de Periodistas de Investigación (ICIJ, por sus siglas en inglés), organismo que fue contactado por el diario alemán que recibió la información a finales de 2014. Vaya al link j.mp/los-pp-en-ve.
La puerta trasera
Pese a lo sensitivo de la información almacenada y súper encriptada, el sitio web de la compañía no tenía un esquema de seguridad a la medida, sino que estaba basado en Wordpress, una plataforma gratuita bastante segura cuando se mantiene actualizada pero, en contra del consejo de los especialistas, no todos los plugins o módulos adicionales usados en el sitio estaban debidamente actualizados.
Entre estos módulos adicionales, el eslabón más débil de MF resultó ser un slider o banner rotativo que está muy en boga para presentar el contenido destacado de sitios web con animación gráfica y que es usado por más de 100.000 sitios entre los que emplean Wordpress: el denominado Revolution Slider.
De diseño muy atractivo, este módulo ya había sido señalado como vulnerable en 2014 y se ofrecía incluso una actualización, pero los técnicos de seguridad de la firma mantuvieron la versión insegura, como lo demostró el sitio WordFence que logró capturar del propio directorio del plugin en mossfon.com, el texto release_log en el que se registraba la versión 2.1.7 y la vigente es la 3.0.95.
Además, la plataforma de acceso a los clientes, estaba basada en Drupal, basada en software libre y con un número de vulnerabilidades conocida.
Un examen posterior de la estructura de la red de MF reveló que el servidor web no tenía firewall o cortafuegos, un recurso de seguridad de red considerado indispensable en la actualidad.
Además, los servidores de correo, de acuerdo al servicio crawler Shodan, estaban alojados en la misma red del servidor web —en el botín informático había más de cuatro millones de mensajes de correo entre MF y sus clientes-. Más grave aún, el sistema de autenticación y acceso de los clientes se encontraba alojada y el intercambio de datos sensitivos con la plataforma se realizaba a través del mismo servidor web.
Entre las enseñanzas que se pueden extraer de este incidente, lo primero es mantener la instalación de Wordpress constantemente actualizada, al igual que los módulos añadidos o plugins ya instalados. También se aconseja segmentar y separar las redes. Una vez que ganaron acceso al portal web de Mossak Fonseca, los hackers pudieron acceder a otros servidores de la misma red. Para mayores detalles técnicos vea Enbytes.com.
