Los Papeles de Panamá y la falta de seguridad
Cada cierto tiempo surge una noticia bomba sobre algún tipo de escándalo filtrado, con un trasfondo relacionado con la seguridad informática, como ocurrió el año pasado con el caso de Ashley Madison.
Desde hace unos días, los ya famosos “Papeles de Panamá” ocupan todos los titulares de los medios de comunicación. Más allá de las personas implicadas o de la legalidad de sus actividades, desde la compañía de seguridad Secure&IT quieren situar el foco en otro aspecto: los “Papeles de Panamá” han vuelto a poner de manifiesto la falta de seguridad (ciberseguridad) que existe en muchas empresas y, en concreto, en los bufetes de abogados.
El despacho Mossack Fonseca ha sido víctima de un ataque que ha hecho públicos unos 11,5 millones de documentos internos. Unos papeles que abarcan, aproximadamente, 40 años de trabajo del bufete panameño (1977-2015) y que incluyen emails, cuentas bancarias, pasaportes y registros de clientes, bases de datos e información oculta de casi 215.000 sociedades ‘offshore’.
La base de datos del bufete fue entregada por un denunciante anónimo al periódico alemán Süddeutsche Zeitung y el diario, ante tal volumen de información, decidió compartir el descubrimiento con el Consorcio Internacional de Periodistas de Investigación (ICIJ).
En la Red se discute ahora si estamos ante una operación llevada a cabo por hackers o si se trata de un empleado que, como Edward Snowden, ha robado toda la información desde dentro. En Mossack Fonseca afirman que han sufrido un ataque a su servidor de correo electrónico y que no se trata de una filtración por parte de ninguno de sus trabajadores. De hecho, el abogado Ramón Fonseca, uno de los cofundadores del bufete, asegura que están trabajando con consultores expertos en seguridad para ver cómo ha sucedido y evitar que vuelva a ocurrir.
Sea como sea, alguien –desde dentro o desde fuera- ha conseguido burlar los protocolos de la firma. Y ha vuelto a demostrar que los agujeros de seguridad, sean cuales sean (derivados de los sistemas o relacionados con las personas), ponen en jaque a empresas y particulares.
Los posibles escenarios
Los expertos de Secure&IT plantean tres posibles escenarios para la sucesión de un ataque como este:
• Empleado descontento: en este caso, como ya hemos visto en otras ocasiones, un trabajador –desde dentro- es el encargado de filtrar la información.
• Phishing masivo: el término “phishing” deriva de la palabra inglesa “pesca”. En ciberseguridad se utiliza con el sentido de hacer a la víctima morder el anzuelo y conseguir todos sus datos. En general, se lleva a cabo a través del correo electrónico y, con ese email “infectado”, los ciberdelincuentes consiguen acceso a la información.
• Spear Phishing: en este caso, no se trata de un ataque masivo, sino que va dirigido a una organización específica. Aquí la intención suele ser robar información confidencial: datos financieros, secretos comerciales o propiedad intelectual, entre otros.
Francisco Valencia, director general de Secure&IT, asegura que lo importante, ante cualquier tipo de ataque, es estar preparados. “La prevención es fundamental y consigue evitar el problema o minimizar las consecuencias (fuga de clientes, desprestigio, desconfianza, etc.)”.