Lecciones aprendidas del caso Mossack Fonseca y los Panamá Papers

Fuga_MossackFonsecaEl primero de abril de 2016 se dió a conocer lo que hasta la fecha es la mayor filtración de documentos privados del mundo. Los Panamá Papers.

Muy lejos quedaron los restos de filtraciones muy famosas y que dejaron una huella profunda en el terreno de la Ciberseguridad entre ellos:

 

Si sumamos todos estos casos tenemos cerca de 270 GB de datos filtrados, para que tengan una idea, los Panamá Papers implicó la filtración de casi 10 veces dicha cantidad totalizando poco más de 2.6 TB de datos, 11.5 millones de documentos que contienen registros de casi 40 años de actividad de la firma de abogados Mossack Fonseca, casí nada verdad!

Yo no voy a entrar en detalles acerca de la legalidad o la ilegalidad de las operaciones de la firma ni tampoco voy a cuestionar si tienen o no escrúpulos, lo que si voy a cuestionar son los errores que los llevaron a estar en la posición en la cual están en este momento. Los errores que los llevaron a estar en el centro del huracán, esos mismos errores los deben estar cometiendo muchas firmas legales, de contaduría y administración de empresas, así como también las administradoras de condominios y otras empresas relativamente pequeñas, pero que manejan información altamente sensible de sus clientes.

 

Primer error: No darle el debido mantenimiento a su infraestructura tecnológica.

Montar un sitio web actualmente es bastante fácil. Mantenerlo funcionando correctamente es lo difícil. Se deben mantener actualizados el sistema operativo, el servidor Web, las aplicaciones y los complementos (plugins) que tengan instalados, los servidores de bases de datos, controlar los accesos a los archivos de conexión, configurar y monitorear los firewalls y los archivos de LOG de todos los dispositivos y aplicaciones involucradas, para poder aplicar los controles y las correcciones oportunamente  debido a que todos los días son descubiertas nuevas vulnerabilidades que pueden poner sus datos en peligro. Desconozco si Mossack Fonseca cuenta o no con un departamento de Seguridad de la Información o incluso de TI (Tecnología de Información), espero que si, aunque no tenerlo le serviría de excusa tonta, porque no le servirá de justificación. Es vital mantener la infraestructura tecnológica actualizada y bien mantenida. Ellos lo aprendieron de la peor forma.

En el caso de Mossack Fonseca, un estudio realizado por WordFence estaban utilizando una versión de WordPress desactualizada y de un complemento o plugin conocido como Revolution Slider que son vulnerables a ataques que le permitirían a los delincuentes tomar control remoto de la consola de los servidores.  La versión 2.1.7 de Revolution Slider que tenían instalada fue liberada el 11 de Enero de 2013 y la vulnerabilidad había sido publicada en la base de datos Exploit-DB el 15 de octubre de 2014.

Desde esa fecha hasta abril de 2016 fueron liberadas por la empresa que desarrolló el complemento 89 actualizaciones de seguridad. Fueron 89 oportunidades para corregir el problema que no fueron aprovechadas y eso es solo para un complemento, tendríamos que sumar todas las actualizaciones disponibles para todos los componentes mencionados anteriormente.

Adicionalmente del trabajo realizado por WordFence se pudo determinar que el servidor Web de Mossack Fonseca estaba utilizando otros dos complementos que manejaban información de configuración de usuarios y contraseñas en texto claro. Los complementos son: WP_smtp_plugin que le da la capacidad de enviar correo desde el sitio Web utilizando un servidor de correo externo y ALO EasyMail Newsletter plugin que permite realizar la administración de listas de correo.
Segundo error: No establecer ningún tipo de monitoreo en su presencia Web.

De acuerdo al trabajo realizado por la gente de WordFence, se pudo determinar que la firma Mossack Fonseca estableció algún tipo de monitoreo de seguridad sobre sus servidores Web entre el 4 y 6 de abril, al configurar un WAF (Web App Firewall) solo después de que salió a relucir el escándalo de la filtración. Desde 2004 hasta marzo de 2016 los servidores estuvieron operando sin el debido monitoreo. Este error le costó muy caro.

 

Tercer error: No segmentar correctamente los servicios de red.

De acuerdo al trabajo de WordFence, Mossack Fonseca estaba ejecutando un servidor de correo Microsoft Exchange 2010 (también desactualizado) en el mismo segmento de red de sus servidores Web. Así como también ejecutan un servicio de conexión VPN me imagino que dicho servicio fue establecido para recibir soporte remoto. Al no segmentar correctamente los servicios, se pueden dejar agujeros de seguridad que le permitirían a los delincuentes ganar acceso a los datos.

 

Cuarto error: No educar al personal de Seguridad de la Información.

Suponiendo que Mossack Fonseca tenga el departamento de Seguridad de la Información o de TI debe mantenerlos bien entrenados, para que estén al tanto de las vulnerabilidades existentes y cómo deben corregirlas.

 

Quinto error: Falta de supervisión.

¿Quién estaba a cargo de supervisar el trabajo del equipo de Seguridad de la Información y del equipo de TI? En caso de no tener esos departamentos dentro de la empresa, alguien tuvo que contratarlos como servicio tercerizado, igualmente dentro de la empresa debería existir un elemento con la capacidad de supervisar y gestionar los servicios. La seguridad de la información es una disciplina muy compleja que debe ser coordinada y supervisada por profesionales altamente capacitados en dicha materia.

 

Sexto error: No valorar correctamente los datos de sus clientes.

Si Mossack Fonseca se hubiese detenido a pensar y asignar correctamente el valor a la información que tenía almacenada de sus clientes, es probable que hubieran realizado inversiones oportunas en tecnología, por ejemplo encripción de datos, migrar o actualizar el sistema de correo, segmentación de servicios y firewalls (WAF).
Séptimo error: Mantener todos los archivos accesibles desde Internet.

Para que la extracción de los datos haya sido posible, todos esos datos debieron estar accesibles desde Internet. Este error es un derivado del tercero. Los archivos y datos confidenciales no deberían poder ser accedidos desde Internet o por lo menos no directamente. Se deben establecer controles de acceso en varios niveles para que las personas con la debida autorización tengan el acceso.

 

Octavo error: No aplicar el principio de menor privilegio.

Este principio establece que los usuarios deben tener el menor privilegio posible para ejercer sus funciones, así los administradores solo deben tener acceso para darle mantenimiento a los servidores y no tener acceso a los datos. Para lograr eso, los datos deben estar separados de los servidores expuestos a Internet. Así mismo los usuarios de los datos no deben tener privilegios para realizar tareas de mantenimiento.

 

Fuentes:

  1. https://panamapapers.icij.org
  2. http://mashable.com/2016/04/04/panama-papers-media
  3. http://fortune.com/2016/04/09/bad-security-panama-papers/
  4. http://www.wired.co.uk/news/archive/2016-04/06/panama-papers-mossack-fonseca-website-security-problems
  5. http://money.cnn.com/2016/04/05/news/panama-papers-things-to-know/index.html
  6. http://www.economist.com/news/international/21696497-huge-trove-documents-has-revealed-secrets-offshore-business-presaging-tougher?fsrc=scn/tw/te/bl/ed/thepanamapapersatorrentialleak
  7. http://www.darkreading.com/vulnerabilities—threats/7-lessons-from-the-panama-papers-leak/d/d-id/1324976?_mc=RSS_DR_EDT
  8. https://www.wordfence.com/blog/2016/04/mossack-fonseca-breach-vulnerable-slider-revolution/
  9. http://www.scmagazine.com/pros-examine-mossack-fonseca-breach-wordpress-plugin-drupal-likely-suspects/article/488697/
  10. http://www.theregister.co.uk/2016/04/05/email_server_hack_led_to_mossack_fonseca_leak/
  11. https://www.wordfence.com/blog/2016/04/panama-papers-wordpress-email-connection/
  12. http://metropolitan.fi/entry/wordpress-plugin-vulnerability-leads-to-panama-papers-leak-at-mossack-fonseca
  13. https://themepunchtk.wordpress.com/2013/11/10/slider-revolution-responsive-wordpress-plugin/
  14. https://www.themepunch.com/revslider-doc/update-history/
  15. http://codecanyon.net/item/slider-revolution-responsive-wordpress-plugin/2751380?_ga=1.191452201.245307333.1460338541
  16. http://drupal.ovh/drupal-panama-papers-leaks-mossack-fonseca
  17. http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html
  18. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  19. http://www.bbc.com/news/world-latin-america-35975503
Anuncios

2 Comentarios Agrega el tuyo

  1. Proinsanitus dice:

    Basto y completo el articulo, gracias por compartir tu punto de opinión y por la referencia. Otro posible error, el no usar encriptación.

    1. Delfin dice:

      Muchas gracias. La falta de encriptación la mencioné en el punto número 6. Es fatal para una empresa de esa naturaleza manejando ese tipo de información no encriptarla.

      Saludos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s