¿Cómo fue posible vulnerar la seguridad para extraer 11,5 millones de documentos, un total de 2,6 terabytes de datos sobre más de 214.000 compañías?No se sabe cuándo se inició el ataque informático exitoso contra la firma Mossak Fonseca (MF), con sede en Panamá, cuya misión es crear compañías offshore, muchas de ellas usadas para lavar dinero y esconder fortunas, pero la forma como la información extraída salió a la luz, de manera limitada, a finales de 2014, se infiere que los hackers ya tenían por los menos un año con acceso a los servidores de la firma panameña, para poder extraer el volumen de documentos que son parte de la filtración más grande la historia.Un terabyte son 1.000 gigabytes o un millón de megas. En comparación, fugas de información como las denominadas Wiki Leaks o las Swiss Leaks, de unos pocos gigabytes, resultan minúsculas.Como se sabe, la publicación de los Papeles de Panamá en medios de 76 países, a inicios de abril, fue el resultado de un proceso de clasificación de la información de más de un año, coordinado por el Consorcio Internacional de Periodistas de Investigación (ICIJ, por sus siglas en inglés), organismo que fue contactado por el diario alemán que recibió la data a finales de 2014.La puerta trasera. Pese a lo sensible de la información almacenada y súper encriptada, el sitio web de la compañía no tenía un esquema de seguridad a la medida, sino que estaba basado en WordPress, una plataforma gratuita bastante segura cuando se mantiene actualizada pero, en contra del consejo de los especialistas, no todos los plugins o módulos adicionales usados en el sitio estaban debidamente actualizados.Entre estos módulos adicionales, el eslabón más débil de MF resultó ser un slider o banner rotativo que está muy en boga para presentar el contenido destacado de sitios web con animación gráfica y que es usado por más de 100.000 sitios entre los que emplean WordPress: el denominado Revolution Slider.De diseño muy atractivo, este módulo ya había sido señalado como vulnerable en 2014 y se ofrecía incluso una actualización, pero los técnicos de seguridad de la firma mantuvieron la versión insegura, como lo demostró el sitio WordFence que logró capturar del propio directorio del plugin en mossfon.com, el texto release_log en el que se registraba la versión 2.1.7 y la vigente es la 3.0.95.Además, la plataforma de acceso a los clientes, estaba basada en Drupal, basada en software libre y con un número de vulnerabilidades conocida.Un examen posterior de la estructura de la red de MF reveló que el servidor web no tenía firewall o cortafuegos, un recurso de seguridad de red considerado indispensable en la actualidad.Además, los servidores de correo, de acuerdo con el servicio crawler Shodan, estaban alojados en la misma red del servidor web ?en el botín informático había más de 4 millones de mensajes de correo entre MF y sus clientes. Más grave aún, el sistema de autenticación y acceso de los clientes se encontraba alojada y el intercambio de datos sensitivos con la plataforma se realizaba a través del mismo servidor web.Entre las enseñanzas que se pueden extraer de este incidente, lo primero es mantener la instalación de WordPress constantemente actualizada, al igual que los módulos añadidos o plugins ya instalados. También se aconseja segmentar y separar las redes. Una vez que ganaron acceso al portal web de Mossak Fonseca, los hackers pudieron acceder a otros servidores de la misma red.


El periodismo independiente necesita del apoyo de sus lectores para continuar y garantizar que las noticias incómodas que no quieren que leas, sigan estando a tu alcance. ¡Hoy, con tu apoyo, seguiremos trabajando arduamente por un periodismo libre de censuras!