¿Qué hemos aprendido de los Panamá Papers?

0

La reciente y escandalosa brecha de seguridad, conocida como los Panama Papers, ha sido nada más y nada menos que la mayor brecha y filtración de datos de toda la historia del periodismo, la ciberseguridad…y así podríamos seguir.

Los Panama Papers

Implicando tanto a políticos y celebridades, como a criminales, estrellas de fútbol y paraísos fiscales, 11,5 millones de archivos se han ido abriendo paso sigilosamente, durante más de un año, entre los canales de comunicación seguros que todos los periodistas implicados han estado utilizando para mantener la información a buen recaudo.
Panama Papers

Uno busca Panama Papers y aparecen nada menos que decenas de millones de resultados en Google, en muy poco tiempo. ¿Cómo hemos llegado a este punto? Negligencia, simple y llanamente. El despacho de Mossack Fonseca (ahora desmantelado, por cierto) no tomó las debidas precauciones, incurriendo en irresponsabilidades manifiestas al custodiar la información de sus clientes, falta de auditorías de seguridad. A grandes rasgos, gran parte de este problema podía haberse evitado dando unos sencillos pasos y manteniendo el sofwtare actualizado.

¿Qué hemos aprendido de los Panamá Papers?

No es ni mucho menos el primer caso de filtración, ni el primer caso en el que una empresa actúa con irresponsabilidad respecto a los datos de sus clientes -recordemos el caso Ashley Madison, por ejemplo- y es que una seguridad insuficiente tiene consecuencias antes o después.

Tampoco es el primer caso de fugas de información en despachos legales: otros como Weil Gotshal & Manges o Swaine & Moore ya cayeron por similares motivos. Además, los expertos y firmas de ciberseguridad llevan largo tiempo alertando de estos riesgos. Parece ser que, por norma, los estándares de seguridad en la cadena de custodia de los despachos legales quedan por detrás de muchas otras industrias o empresas, algo incomprensible.

La responsabilidad de Mossack Fonseca

La FTC y muchos otros organismos internacionales sugieren una serie de buenas prácticas a la hora de proteger la información, que Mossack Fonseca parece no haber leído o entendido.

Concretamente, el punto débil en la cadena (o el más débil, podríamos decir) aparece en el portal de ingreso de clientes facilitado por su empresa. Dicho portal estaba soportado por el CMS Drupal (open source), contando con una versión manifiestamente anticuada y, además, probada como vulnerable tiempo atrás.

Mossack Fonseca

Nada menos que 25 vulnerabilidades ya informadas (hace mucho fueron Zero Days) aquejaban el área de clientes. Estamos retroceciendo a 2013, nada menos, cuando estas fueron informadas. La información era de dominio público y Fonseca no hizo nada, simplemente. Esto es negligencia.

El despacho de Fonseca había externalizado el desarrollo de este portal a una tercera empresa, pero en ningún momento supervisó ni se interesó por los estándares de seguridad aplicados.

It has been reported that the firm outsourced development of their web site and client portal to a third party service provider. Turning our focus back to the FTC’s guidance in that regard numbers 8 and 9 jump out. Tampoco puso en práctica la norma 9 que dicta la FTC: “poner procedimientos en práctica, para mantener la seguridad y solucionar los posibles riesgos que puedan surgir.”

Conclusiones

La seguridad informática de un sitio web no es una puerta que cierra y tiras la llave al mar. Es necesario automatizar en la medida de lo posible la auditoría de la seguridad, realizando comprobaciones constantes. Además, el sofware open source debe ser monitorizado, tanto como el software propietario. 

Si eres dueño de una empresa y tratas con información de terceros, debes aplicar todas las medidas que estén en tu mano para proteger sus activos, ya sean clientes, pacientes, etc. Hay que cumplir una serie de normas, en nuestro país la LSSI y la LOPD. Si no lo haces, te acordarás de los Panamá Papers.

Fuente: Helpnet Security

 

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR