El sistema de Mossack Fonseca operaba con vulnerabilidades críticas

Aunque el bufete panameño de abogados aseguraba contar con un portal seguro para clientes, en realidad utilizaba software obsoleto y no cifraba el correo electrónico.

Todo indica que Mossack Fonseca, que durante décadas ha ayudado a la elite política y económica global a crear empresas de papel en paraísos tributarios, debió haber invertido en seguridad de la información y procedimientos internos de seguridad.

Software obsoleto

La publicación Forbes ha revelado que el portal de clientes de Mossack Fonseca, utilizado por sus clientes para obtener acceso a información confidencial, estaba siendo ejecutado en una versión anticuada de Drupal, 7.23. Esta instalación tiene, al menos, 25 vulnerabilidades conocidas, muchas de rango crítico.

Forbes observa que, a la fecha, el portal revela mediante el documento changelog.txt, que el producto no ha sido actualizado en los últimos tres años. Esta situación contrasta sobremanera con los alardes mercadotécnicos de Mossack Fonseca, en el sentido que “su información, estimado cliente, nunca ha estado más segura que dentro de nuestro portal protegido”.

Notificó intrusión a sus clientes

El 1 de abril, dos días antes que el Consorcio Internacional de Periodistas de Investigación (ICIJ) diera a conocer la noticia que ha ocupado las portadas de todo el mundo, el bufete de abogados distribuyó una urgente notificación a sus clientes, sobre una intrusión en su servidor de correo electrónico: “Estimado cliente: le informamos que estamos abocados a investigar en profundidad una instancia de acceso no autorizado a nuestro servidor de correo electrónico. Lamentamos sinceramente esta situación, y hemos tomado todas las medidas necesarias para evitar que ocurra a futuro. Por ahora, estamos trabajando con la ayuda de consultores externos para determinar el alcance del acceso no autorizado a nuestro sistema, como asimismo establecer qué información específica fue obtenida y el número de personas afectadas. Tenga plena confianza en que damos la mayor prioridad a la seguridad y confidencialidad de su información. Utilizamos varias capas de seguridad electrónica, limitando el acceso a determinados archivos, únicamente a individuos electos dentro de nuestra empresa, con el fin de evitar brechas de seguridad. Como resultado de este incidente, hemos adoptado medidas adicionales con el fin de fortalecer aún más nuestros sistemas”. La información anterior fue distribuida por Wikileaks.

2,6 TB de datos

Aparte de las seguridades dadas por la empresa en su circular, Mossack Fonseca no ha señalado qué medidas específicas de seguridad adoptó para proteger los datos de sus clientes. En total, desconocidos lograron descargar 2,6 TB de información secreta de sus clientes, en el transcurso de un año.

E-mail no cifrado

En cuanto a la distribución de correo electrónico, la empresa habría utilizado una versión obsoleta de Microsoft Outlook Web Access de 2009, sin ninguna forma de cifrado, como queda comprobado en la siguiente captura de pantalla distribuida por Christopher Soghoian.

mossack-fonseca-mx-mail

Es preciso tener presente además un vector adicional de ataques; Mossack Fonseca publica sus contenidos mediante WordPress. Actualmente, el sitio web de la empresa utiliza la versión 4.2.6, distribuida hace tres meses. Sin embargo, según el sitio WPTavern, el portal de Mossack Fonseca incorpora una serie de scripts obsoletos, como asimismo extensiones y elementos de WordPress 4.1, distribuida en diciembre de 2014.

Según la publicación Wired, la filtración consiste de 4,8 millones de correos electrónicos; tres millones de archivos de bases de datos; 2,1 millones de documentos PDF; 1,1 millones de fotografías, 320.000 archivos de texto, y 2241 archivos diversos. Los documentos revelan las operaciones de 214.468 empresas de papel, también conocidas como empresas fantasma, creadas en representación de los clientes de Mossack Fonseca en distintos paraísos tributarios de todo el mundo.

Una fuente anónima, hasta ahora referida como “John Doe”, comenzó en 2015 a filtrar los documentos al periódico alemán Süddeutsche Zeitung que, a su vez, optó por compartir la información con el ICIJ.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022