Hacking periodístico a Mossack Fonseca

Los proveedores no-conectados también suponen un riesgo

Ayer, 3 de abril de 2016, y aunque era domingo, una cadena de TV y un periódico digital, nos dieron amplia cobertura de los primeros detalles de lo que será un amplísimo reportaje de actualidad: tras casi un año de “investigación” por parte del ICIJ (Consorcio internacional de periodistas de investigación), salen a la luz los “Papeles de Panamá”, para contarnos los secretos sobre la creación de sociedades en paraísos fiscales.

Escribimos investigación entre comillas sin cuestionar para nada la labor periodística realizada, todo lo contrario, es para quitarse el sombrero leer como casi 400 periodistas de un centenar de medios diferentes han trabajado bien sincronizados para conseguir y publicar la información que según nos anticipan irán desvelando próximamente.

Pues bien, ¿qué tiene esto que ver con la ciberseguridad? Claro, los periodistas no son hackers…¿o sí? En este caso nos dicen que se han obtenido más de 11,5 millones de documentos del despacho de abogados Mossack Fonseca, el segundo mayor de Panamá por incorporación de sociedades (¿qué no tendrán en el primero?).

¿Entonces, es que hay una gran diferencia –en lo que a seguridad de la información se refiere- en obtener y publicar estos documentos, con, por ejemplo, los datos y actividad de los clientes de Ashley Madison? Yo diría que es cuando menos muy parecido. En cualquier caso, los clientes de ambos seguro que están tremendamente contrariados con la filtración que les afecta. Y no hay acuerdo de confidencialidad o SLA que repare el perjuicio ocasionado cuando ya ha sucedido.

Sin duda, las medidas de seguridad de Mossak Fonseca para mantener la información extremadamente confidencial de sus clientes eran impresionantes… o no tanto... Queramos o no, la robustez de las medidas de seguridad efectivamente implementadas por entidades que gestionan información de terceros no es, hoy por hoy, fácil de conocer. Y aunque el sistema más seguro puede llegar a ser vulnerado, la actualización rigurosa de versiones de software o la implantación de mecanismos de monitorización de los accesos privilegiados y la supervisión periódica (incluso diaria) de los eventos registrados por los sistemas, posiblemente hubiesen permitido detectar algún tipo de actividad sospechosa durante el año que ha llevado esta “investigación”, y tomar las medidas oportunas.

El despacho Mossack Fonseca es lo que en LEET Security consideramos un proveedor de servicios “no conectado”. Es decir, no dispone de conexiones directas con nuestros sistemas, pero de alguna otra manera (incluso vía correo electrónico, en muchas ocasiones) le suministramos y dispone de información muy sensible para nosotros o nuestro negocio. ¿Por qué entonces no pedirle que nos muestre con qué diligencia la protege mediante la calificación de las mismas?

¿Por qué no pedir a gestorías, agencias de publicidad, despachos de abogados y, en definitiva, a cualquiera que custodie información nuestra, que nos muestre hasta qué nivel está protegida? Sin esta información, sucesos como el de Mossack Fonseca no nos pueden pillar por sorpresa y, en seguridad, es uno de los pocos “pecados” imperdonables: No conocer el riesgo al que estamos expuestos.

#SellaTuSeguridad