Tenemos en danza la mayor filtración periodística acaecida hasta el momento, los ya archimencionados “Papeles de Panamá”, cuando en realidad de “papeles” no tienen nada y han sido filtrados en su versión de documentos digitales. Vivimos en un mundo en que todo se va convirtiendo en digital y electrónico, así nuestros “papeles” están depositados en gestores de contenido, gestores electrónicos de documentos, gestores de correo electrónico, aplicaciones de mensajería, es decir, todo en formato digital, para la comunicación y en la red. Hasta las áreas profesionales se convierten en lo mismo, véase marketing digital, fotografía digital, y otras tantas, hasta la delincuencia digital o electrónica. Todo ello hace que la información siempre quede expuesta a posibles violaciones. Vamos a destripar un poco más este curioso caso bautizado como los Papeles de Panamá.
¿Cómo se ha podido acceder a la información del caso de los Papeles de Panamá?
Aunque todavía no se ha identificado al autor o autores de la intrusión en el caso de los Papeles de Panamá, expertos en tecnologías de la información han puesto al descubierto algunos fallos que facilitaron el acceso a estos más de 11 millones de documentos de la firma panameña Mossack Fonseca, entre los que se encuentran bases de datos, registros de clientes, correos electrónicos, pasaportes, escrituras, cuentas bancarias que afectan a más de doscientas mil sociedades de más de doscientos países.
Los expertos en seguridad informática han manifestado su sorpresa por la falta de seguridad en los sistemas de una empresa que gestiona información confidencial de miles de clientes y la mayoría de capital relevancia.
Los fallos más significativos en los Papeles de Panamá puestos a la luz hasta hoy han sido: nombres de usuario y contraseñas que no se cambiaron en más de tres años, una versión antigua de Drupal, un plugin de los más habituales sin actualizar y el uso de un único servidor, entre otros. Estos fallos indican mucha dejadez en su cuidado por parte de la empresa.
Un único servidor alberga la información pública, el servicio de correo electrónico y la de servicios al cliente, a través de los cuales el cliente se conecta para acceder a sus archivos, documentos y gestiones con el despacho profesional, lo que facilita el acceso a todo la información una vez realizada la intrusión.
Se insiste mucho en los sistemas informáticos en la necesidad de que las contraseñas tengan nivel alto de seguridad en su composición y que se cambien cada cierto tiempo, así como los nombres de los usuarios, pero la realidad es que no solo Mossack Fonseca, sino más bien un número impensable se empresas no lo llevan a cabo, ni tan siquiera lo tienen entre sus políticas internas. Lamentable, como lamentable resulta también los casos que uno se encuentra en su faceta de consultoría empresarial e informática cuando se apercibe de la fragilidad de los sistemas de copias de seguridad y en manos de quién están en muchas ocasiones, las contraseñas conocidas por todo el mundo, y otros tantos capítulos que dejan mucho que desear y como dice el dicho de los que uno se acuerda cuando truena. No pesemos que el caso concreto de los Papeles de Panamá nunca nos pasará a nosotros, craso error.
Panama Papers · Descuidos, errores y malos planteamientos facilitan el acceso a los sistemas.
Otro “descuido” en el caso de los Papeles de Panamá ha resultado ser que estaban usando una versión antigua del CMS o gestor de contenidos DRUPAL, usado habitualmente para almacenar y publicar imágenes, noticias, artículos, publicaciones blog, y que también ofrece posibilidades de realizar encuestas entre otros servicios desde un entorno web. La versión 7.23 que se estaba utilizando ofrecía vulnerabilidades conocidas y publicadas por el fabricante del software desde hace dos años y permitía crear puertas traseras a cualquier hacker para acceder a la información del sistema.
Y por si faltaba algún invitado célebre a la fiesta ‘Papeles de Panamá‘, también estaba el archiconocido plugin Revolution Slider de WordPress, usado en millones de blogs y webs, el cual también estaba desactualizado. La versión actual de este plugin es la 5.2.4.1 y se estaba usando la versión 2.1.7, cuando es conocido que las actualizaciones anteriores a la versión 3.0.95 tenían agujeros de seguridad de alto riesgo.
En fin, un cúmulo de despropósitos que pone de manifiesto el poco cuidado y atención que prestan muchas empresas a la seguridad informática, como si fuera un gasto superfluo y no de primer nivel. Papeles de Panamá…aprendamos de errores ajenos.
Una vez destripado el caso de los Papeles de Panamá, ¿te imaginas que se realiza una intrusión en los sistemas de tu empresa y la competencia obtiene datos de tus clientes, precios, políticas de descuentos, productos, campañas y estrategia? ¿Qué podría hacer con todo ello? ¿Te imaginas que lo hace habitualmente de forma que no lo detectas? ¿O tienes el hacker dentro? Porque un colaborador cabreado con acceso a información sensible puede ser un peligro.
Cada día la información está más en soporte electrónico y por tanto la seguridad de la misma debe de tenerse en cuenta en primer plano. ¿O resultará que los documentos físicos en papel los guardo en una caja fuerte y sus copias electrónicas están en un sistema fácilmente vulnerable? Desgraciadamente, el pan nuestro de cada día. Si te interesa estar al día, resulta recomendable el sitio del Instituto Nacional de Seguridad Cibernética INCIBE.
Y hablamos de seguridad a niveles comprensibles, porque si el ataque viene lanzado por una “agencia” de alto nivel toda protección es poca, ya que estos acceden donde quieren y cuando quieren, además con actuaciones camufladas a través de instituciones pantalla. Y en algunos casos luego solo tienen que transferirla a una agencia de periodismo de investigación financiada por intereses particulares y …
By Kamene Projects – Marketing Digital.
Hello. And Bye.
Hello 👋🏻