Robarle los archivos a Mossack Fonseca no fue difícil para los hackers #PanamaPapers

LA HUMANIDAD · 9 ABRIL, 2016 23:39

Ver más de

Efecto Cocuyo | @efectococuyo


¿Cómo valoras esta información?

QUÉ CHÉVERE
QUÉ INDIGNANTE
QUÉ CHIMBO

En el portal del bufete panameño más mencionado en días recientes se puede leer el siguiente texto: “Su información nunca estará más segura que con Mossack Fonseca y su Portal de Clientes, ya que conservamos todos nuestros servidores en nuestras oficinas”. Y es que sea cual sea la manera que utilizó el hacker para acceder a los servidores del conocido bufete en 2015, la firma nunca se enteró de esto sino hasta el día en que comunicó a sus clientes la posibilidad de que esta situación existiese, aproximadamente un año después de la filtración y apenas justo dos días antes de la publicación de los Papeles de Panamá.

Comunicado de mossack fonseca a sus clientes sobre una posible filtración de información confidencial

Comunicado de Mossack Fonseca a sus clientes sobre una posible filtración de información confidencial

Después de acceder al servidor de correo electrónico de la firma, mucho se ha dicho de su contenido. El primer ministro de Islandia presentó su dimisión, afectado por esta filtración de información. También se vieron afectados Mauricio Macri, Lionel Messi, Vladimir Putin, entre muchos otros. Pero es muy poco lo que se había sabido respecto a cómo pudieron permitir este “acceso” a sus servidores.

El día 5 de abril, dos días después de hacer públicas las filtraciones, Forbes publicó un artículo explicando las múltiples brechas de seguridad presentes en los servidores del bufete. Por ejemplo, que la versión de WordPress utilizada para su página principal tenía tres meses desactualizada, y la versión de Drupal utililizada para el entorno de acceso de clientes a información importante de su relación con el bufete, tenía más de 3 años desactualizada.

WordPress es el sistema de gestión de contenidos de licencia pública general (GNU por sus siglas en inglés) más popular. Éste se utiliza principalmente para la creación de blogs (página web con contenidos ordenados cronológicamente). Fue desarrollado por Matt Mullenweg y lanzado al mercado el 9 de mayo de 2003.

Por su parte Drupal -otro Sistema de Gestión de Contenidos-, también de licencia pública general, permite la publicación de artículos, imágenes y archivos, y puede utilizarse como fichero, presumiblemente como lo utiliza el escritorio centroamericano.

Sobre la versión de Drupal que se estaba utilizando, la 7.23, desde 2014 se conocía que daba muchas facilidades de vulnerabilidad y permitía a cualquier hacker crear “puertas traseras” que posibilitaban acceder a la información del servidor en cualquier momento. Tan graves eran las brechas que tenía esta versión, que Drupal publicó en ese mismo año una nota en la que explicaban que si no se hacían las actualizaciones pertinentes en las próximas 7 horas, habría que darse por hackeado.

Sobre la versión de WordPress, el sitio oficial del CMS anunció en enero que “las versiones de WordPress 4.4.1 y anteriores estaban afectadas por problemas de seguridad: un posible SSRF para ciertas URIs locales, de lo que informó Ronni Skansing; y un ataque de redirección abierta, de la que informó Shailesh Suthar”.

Sobre los servidores de mossfon.com

El primer dato que se tiene de la estructura tecnológica de la firma, es que todos sus servicios se encuentran localizados en el mismo servidor. Tanto el sitio de información pública como el sistema de servicios al cliente, que permite a los usuarios acceder a los archivos y documentos intercambiados en la relación con el bufete, así como el servidor de correo electrónico que almacena todas las comunicaciones que ha tenido la firma con terceros.

Este dato lo demuestra el sitio http://wordfence.com de la compañía FEEDJIT INC, dueño del programa de seguridad para WordPress Wordfence, que permite a cualquier sitio web que implemente este CMS, mejorar el sistema de seguridad y preservación de la información del servidor. Según un artículo publicado en su Blog, el sitio mossfon.com tiene la misma dirección IP, tanto para su página como para su servidor de correos.

El segundo dato que se tiene de la estructura tecnológica, es que utilizaba versiones desactualizadas de los manejadores de contenido (ambos de licencia pública) que aumentaban la posibilidad de ser hackeados.

El tercer dato que se tiene es que el sitio de WordPress estaba utilizando una versión desactualizada del plugin Slider Revolution (la 2.1.7). Es ampliamente conocido en el medio tecnológico que hasta la versión 3.0.95, todas las actualizaciones anteriores presentaban una brecha de seguridad de muy alto riesgo. La última versión de este plugin es la 5.2.4.1

El cuarto dato, muy importante para estudiar la estructura de mossfon.com, es que no utilizaba firewall. El acceso a sus servidores era directo. En otras palabras, el bufete nunca pudo analizar ni filtrar quiénes ingresaban a su sistema, ni los datos que se extraían del mismo.

Cómo ingresar al servidor de correos de mossfon a través de WordPress

La estructura del manejador de contenido WordPress tiene como columna vertebral un archivo llamado “wp-config.php” el cual contiene, en texto legible, la dirección IP del servidor de base de datos, así como el usuario y la contraseña para ingreses. Ese servidor es el que almacena todo el contenido del sitio oficial de la firma; un plugin llamado WP SMTP Plugin que se encarga de enviar correos electrónicos automáticos. También tiene otro plugin llamado Alo Easymail Newsletter Plugin, que permite enviar boletines con contenido a todos los suscriptores que la firma disponga.

Tanto el plugin WP SMTP Plugin, como Alo Easymail Newsletter Plugin, requieren dentro de su configuración una dirección IP, así como un usuario y contraseña a una cuenta de correo electrónico. Esas informaciones de configuración se encuentran almacenadas en la base de datos de WordPress antes mencionada. Una vez que se tiene esta información, el acceso al servidor de correos se hacía de manera transparente, por lo cual era imposible (sin tener un firewall) saber si la firma había sido hackeada o no.

Es posible utilizar otro servidor de correo electrónico para enviar estos correos. Pero Alo Easymail tiene entre sus funciones la de acceder a la cuenta de correo en donde se responden los mensajes enviados y borrar todas esas respuestas. Es aquí donde probablemente se haya configurado un acceso al servidor de correos de la empresa.

El reto para los hackers estuvo en entrar al archivo “wp-config.php”. Existe la probabilidad de que este acceso haya sido a través del RevSlider plugin. Lo único que queda claro después de todo, es que para la firma de abogados existian muchas maneras de que la información de los clientes Mossack Fonseca estuviese más segura de lo que estaba en el momento de la infiltración.