Los #PanamaPapers y cómo cuidar los datos en la Empresa.
- 14 abr 2016
- 2 Min. de lectura
En estos últimos días, el mundo se ha visto de alguna manera conmovido con la publicación de los llamados “Panama Papers”. Con este nombre se conoce a los aproximadamente once millones y medio de documentos confidenciales, pertenecientes al estudio jurídico panameño Mossack Fonseca (MF), que detallan las actividades de unas doscientas mil sociedades offshore, asi como las identidades de sus accionistas y autoridades.
Más allá de la discusión sobre las cuestiones éticas, morales e incluso legales que se presentan a la hora de evaluar la publicación de documentos privados hackeados a una firma comercial; queremos enfocarnos en cómo, tanto un eficiente uso de los activos tecnológicos de una empresa sumado a la no existencia de una política de administración de la información, puede llevar al desastre – tanto de relaciones públicas como legal y económico – a una organización.
En primer lugar es interesante describir como pudo la fuente anónima conocida como “John Doe” acceder a la información corporativa de MF. Respecto de los correos electrónicos, que constituyen la mayor parte de la documentación filtrada, el hacker aprovechó una vulnerabilidad en una vieja versión del plugin (programa de computación que agrega funcionalidad a otro programa o aplicación) Revolution Slider para llegar a la configuración del sitio Wordpress (plataforma para la creación de sitios web) y de allí obtener acceso al servidor de correo de MF (los cuales se almacenaban en texto plano y no encriptados). En cuanto a los documentos digitalizados – básicamente PDFs – la brecha de seguridad fue posible gracias a que MF tenía (y tiene) montado su portal de acceso para clientes en una versión de Drupal (sistema para gestión de contenidos) que tiene mas de 23 vulnerabilidades conocidas.
La otra cuestión respecto de cómo falló MF tiene que ver con una adecuada políticas de administración de la información. Por lo que se sabe, la fecha de creación de los documentos va entre mediados de la década de los setenta hasta fines del año 2015. Entonces, no es descabellado suponer que MF almacenaba información totalmente obsoleta y para nada relevante a los fines de su negocio. Al ser revelada, no solamente provoca un daño para aquellas personas físicas o jurídicas que nada tienen que ver con delitos como evasión impositiva o lavado de dinero, sino que es una posible causa de responsabilidades civiles frente a eventuales demandas.
Para finalizar, este caso revela la necesidad de tener – y cumplir – normas tanto sobre la seguridad de la información asi como de administración de la misma. Quizás tengamos el mejor firewall pero la falta de actualización de una aplicación deja abierta la puerta a la pérdida y compromiso masivo de datos. O nuestra imagen corporativa dañada por tener documentación totalmente irrelevante e innecesaria en nuestros archivos. El affaire #PanamaPapers constituye una excelente lección de cómo evitar ciertas cosas.
Fuentes:
https://www.wordfence.com/blog/2016/04/panama-papers- wordpress-email- connection/
Comments