¿Filtración o hackeo? Al descubierto los secretos de Mossack Fonseca?

<<El portal de clientes de Mossack Fonseca es un sitio web a través del cual usted tiene acceso a una cuenta en línea que le permite tener acceso seguro a sus datos e información de compra de sociedades y trámites legales en cualquier parte del mundo, con actualizaciones de sus solicitudes en tiempo real>>. Así vende, todavía, su confidencialidad la firma panameña especializada en la creación de empresas pantalla que tras una épica labor periodística coordinada por el Consorcio Internacional de Periodistas de Investigación ha destapado una larga lista de personalidades que presuntamente se han beneficiado de los servicios del despacho de abogados centroamericano.

Entre la sorpresa o indiferencia que están generando los Papeles de Panamá, muchos se preguntan cómo un informador anónimo ha sido capaz de acceder, extraer y filtrar al diario alemán Süddeutsche Zeitung 2,6 terabites de información, algo así como 11, 5 millones de documentos.

panamapapers_graphic

Todo habría empezado con un (aparentemente) simple ataque a los servidores de correo electrónico de Mossack Fonseca y de la que la compañía informó a sus clientes vía email, tal y como publicaba Wikileaks en su timeline de Twitter. Pocas horas después de la revelación en los medios internacionales el domingo 3 de abril, el director de la firma Ramón Fonseca aseguraba a la agencia Reuters haber sido víctima de una “campaña internacional contra la privacidad”, niega cualquier mala práctica por parte de su despacho y asegura que son ellos las víctimas de todo este escandalo ya que “no se trata de una filtracción sino de un hackeo“.

Sin embargo, una comprobación rutinaria de los servidores con la herramienta checktls.com por parte del experto en cifrado y privacidad de la Unión Estadounidense por las Libertades Civiles (ACLU), Christopher Soghian, pone al descubierto que el sistema de mensajería de correo electrónico carece de sistemas de cifrado. Una cuestión que pone de manifiesto cierta dejadez por parte de la firma panameña, teniendo en cuenta el tipo de información de sus clientes, pero que no tendría relación alguna con el acceso al data del sistema.

Law firms: You don’t want to be like Mossack Fonseca. Among other things, ask your IT dept to encrypt your emails. pic.twitter.com/Yxut3g28Ng

— Christopher Soghoian (@csoghoian) 5 de abril de 2016

Una investigación más avanzada desde la revista Forbes apunta a que la página web de la compañía estaba construida sobre una versión desactualizada (desde hacía tres meses) de WordPress, que en principio no tendría tampoco correlación directa, ya que esta web corporativa está separada del portal de acceso para clientes, cubierto por una conexión segura standard https.

Otra vulnerabilidad detectada por el especialista de Forbes en privacidad, Thomas Fox-Brewster, apunta a que dicho de acceso, utilizado por los clientes para acceder vía online a sus datos, funcionaba con una versión de Drupal expirada desde hace más de tres años, la 7.23, que presenta más de 25 vulnerabilidades según la propia plataforma.

Drupal ya alertó a sus usuarios en octubre de 2014 de una serie de ataques a páginas web desarrolladas con código Drupal, y advirtiendo de que aquellas versiones del sistema de gestión de contenidos (CMS) anteriores a la 7.32 que no se hubieran actualizado en un margen de 7 horas podían dar por hecho que habían sido hackeadas. El método utilizado habría sido el de inyección de SQL por el cual se pueden enviar comandos directos con órdenes de acceso o ejecución que si no son parcheados pueden llegar al corazón de la base de datos del sistema, sobreescribiendo, eliminado o sustrayendo datos alojados en el sistema operativo del equipo anfitrión.

Un agujero que habría estado latente durante casi dos años, dejando el camino libre a cualquier hacker ávido de información. Aunque dado el volumen descomunal de archivos obtenidos —si una película descargada en BitTorrent suele estar en torno a un giga, los Papeles de Panamá equivaldrían a descargar unas 2.600 películas— y el tipo de información en cuestión (contratos firmados, documentos privados,…) las cábalas más factibles apuntan a que haya tenido que ser alguien desde dentro, con acceso directo al gestor documental, donde se guardan las copias digitales de los documentos.

Puede que alguno de estos fuera el modus operandi. Tal vez nunca conozcamos el verdadero punto de fuga del que se aprovechó ese tal John Doe (pseudónimo tras el que se esconde el informante y que es la fórmula anglosajona a nuestro ‘Fulanito de Tal’ o ‘Pepito Pérez’) que contactó a los reporteros de investigación del diario de Múnich, Frederik Obermaier y Bastian Obermayer, a través de chat cifrado con un “Hola, soy John Doe ¿interesados en datos?”. El resto es la historia que estamos, y seguiremos, descubriendo titular a titular.

Hablamos de

Ciberseguridad Mossack Fonseca Papeles Panamá Seguridad Vulnerabilidad