El de-sastre de Panamá

 Por Iñigo Jiménez

En estos días estamos recibiendo un aluvión de noticias por parte de los medios de comunicación con la filtración de los llamados ‘papeles de Panamá’. Noticias en las que están apareciendo con cuentagotas una serie de nombres que, presumiblemente, tienen cuentas susceptibles de ser utilizadas para evitar el pago de impuestos o para ocultar actividades ilícitas.

Esta información proviene de una gran cantidad de documentos confidenciales (cerca de 2,6 terabytes) que han sido obtenidos de los servidores de una firma de abogados especializada en crear sociedades offshore en dicho país.

Pues la filtración de estos documentos se ha producido no por un complicado ataque de hacking, sino por algo mucho más sencillo: los servidores de  la firma de abogados no estaban debidamente actualizados.

Desde este medio siempre hemos hecho hincapié en que debes mantener tus dispositivos y aplicaciones constantemente actualizados. Las últimas versiones del firmware, sistema operativo o aplicaciones, además de incorporar mejoras de rendimiento, suelen también solucionar vulnerabilidades de seguridad críticas que se hayan detectado.

La firma de abogados tenía dos portales de acceso: uno que servía para mostrar todos los servicios que ellos ofrecían (usando WordPress) y otro privado donde compartían información sensible con sus clientes (usando Drupal).

En el portal público usaban un componente para mostrar un carrusel de imágenes. Dicho componente no estaba actualizado y dicha versión tenía una vulnerabilidad que permitía a cualquier atacante que conociera esta debilidad el acceso a cualquier archivo del servidor.

Lo mismo ha sucedido con el gestor de contenidos: tenían una versión obsoleta con inseguridades detectadas hacía tiempo y publicadas en múltiples boletines de seguridad.

Así que para los atacantes ha sido pan comido acceder a dicha información.

En este caso la filtración ha servido para destapar los trapos sucios que estaba realizando dicha firma de abogados, pero imagínate que en tu despacho se produjera una filtración similar desvelando datos sensibles que pudieran convertirse en un grave delito ante la Agencia de Protección de Datos.

Nuestros consejos:

• Asegúrate cada cierto tiempo de comprobar si hay nuevas versiones para tu sistema operativo. Comprueba en los ajustes que periódicamente se haga dicha comprobación.
• Si llega una actualización para tu dispositivo, instálala inmediatamente.
• Nunca instales aplicaciones fuera de los markets oficiales y comprueba cada cierto tiempo si hay nuevas versiones de las aplicaciones que tienes instaladas.
• Configura tu equipo para que periódicamente instale las actualizaciones del sistema operativo, siendo muy recomendable que programes la instalación inmediata para las actualizaciones que sean consideradas como críticas.
• Mantén los navegadores que utilices para navegar por internet, así como sus complementos (java, extensiones, plugins, etc.), completamente actualizados.
• Suscríbete a los boletines de seguridad en los que se indican los últimos agujeros de seguridad detectados para saber desde el primer momento en qué podría afectarte.