Seguramente habrás oído hablar del asunto de los Papeles de Panamá en los últimos días. Pero sí ! Este es el caso que se refiere a la filtración masiva de documentos de Mossack Fonseca, la firma panameña que gestiona sociedades offshore.
A medida que la prensa continúa dando detalles sobre estos documentos, vale la pena preguntar ¿Cómo se obtuvieron estos datos? ¿Se trata de un empleado del bufete de abogados panameño Mossack Fonseca que decidió dar a conocer documentos como lo hizo? Edward Snowden ?
En una entrevista con Reuters, Ramón Fonseca, uno de los fundadores del bufete de abogados afirmó haber sido víctima de un piratería informatique operado desde servidores extranjeros. “Realizamos una auditoría interna. No se trata de una filtración, es una cuestión de piratería ”, insistió.
El hackeo de los servidores de la empresa permitió a piratas informáticos desconocidos extraer 2,6 TB de datos, incluidos 4,8 millones de mensajes de correo electrónico, 2,2 millones de archivos PDF, 1,1 millones de imágenes y 320 documentos en formato de texto.
Pero, ¿cómo pudieron piratear estos datos?
Un representante de Mossack Fonseca confirmó que el hack se llevó a cabo desde el correo electrónico. No está claro cómo sucedió, pero las pruebas realizadas por investigadores de seguridad externos creen que Mossack Fonseca no habilitó los protocolos de seguridad TLS para cifrar sus correos electrónicos.
“Hay varias formas de llevar a cabo un ataque a un servidor de correo”, explicó Zak Maples, consultor de seguridad de la firma de ciberseguridad MWR InfoSecurity. Según el consultor, parece que el servidor en sí fue pirateado, y no los buzones de correo individuales.
Drupal y WordPress pueden ser la causa
Otras fuentes corroboran la tesis del hackeo, que podría haber sido facilitado por vulnerabilidades dentro del CMS utilizado por Mossack Fonseca, concretamente los gestores de contenidos. Drupal et WordPress.
Como se informó Forbes, el sitio web de la empresa tiene una versión antigua de Drupal (7.23). Sin embargo, esta versión es anterior a un parche de seguridad que solucionó una gran falla de la versión 7.32.
Pero otros investigadores de seguridad han descubierto otra puerta que podría haber permitido a un pirata informático tomar el control de los servidores. Si el sitio del cliente de la empresa está bajo Drupal, el sitio principal está bajo WordPress.
La sociedad Wordfence, que se especializa en la seguridad del administrador de contenido ubicuo, notó que la instalación WordPress estaba usando una versión antigua del complemento Revolución deslizante, conocido por tener un defecto grave.
La versión 3.0.95 de Revolution Slider contiene una vulnerabilidad que permite a un pirata informático descargar cualquier archivo del servidor. Podemos por ejemplo descargar fácilmente el archivo wp-config.php. Este archivo contiene toda la información confidencial que WordPress necesita para acceder a la base de datos del sitio.
La empresa señala que, por lo tanto, un atacante habría pudo tomar el control del servidor en el que se encontraba la instalación de WordPress...El mismo servidor que alojó los correos electrónicos de la empresa..
¿Quién es el pirata?
Se desconoce la fuente. Y los periódicos que publican artículos sobre los documentos filtrados probablemente no conocen su identidad. Una persona supuestamente transmitida de forma anónima a través de mensajería cifrada estos documentos en 2015 al periódico alemán Süddeutsche Zeitung.