PANAMA PAPERS VISTO DESDE EL SECRETO BANCARIO
El especialista en delito informático Alexander García explica sus hipótesis de cómo ocurrió la mayor filtración de documentos
JAIME LUCAR | LA ESTRELLA DE PANAMÁ
Adelita Coriat
acoriat@laestrella.com.pa
La mayor filtración de documentos jamás registrada, la de la firma Mossack Fonseca, ha dejado en evidencia la vulnerabilidad de los programas de seguridad informática de la firma. El hecho también pone en alerta a toda empresa que considere ‘sensitiva' la información contenida en sus servidores. La experiencia reciente es una muestra de la anunciada guerra cibernética a la que se enfrenta el mundo. Especialistas en seguridad la definen como el conjunto de acciones llevadas por un Estado para penetrar en los ordenadores o en las redes de otro país, con la finalidad de causar prejuicio o alteración. Alexander García ha dedicado más de 27 años de su vida al estudio de nuevas tecnologías del derecho y protección, tratamiento de datos personales con énfasis en delito informático.
¿QUÉ PASÓ EN LA FIRMA DE ABOGADOS MOSSACK FONSECA?
Hablemos de hipótesis, y según lo que manejamos como informáticos podemos pensar que hubo una penetración bruta remota, o que hubo una penetración abusiva de alguien de confianza en el staff , si no tienen PSI, es decir, políticas de seguridad de la información.
¿QUÉ TUVO QUE HABER PASADO PARA QUE ESTO OCURIERRA?
Para que haya una penetración remota tuvieron que haber enviado malware (código maligno) y que algún usuario, por malas prácticas aprobadas por el auditor de seguridad de la red o el mismo mayordomo de la red que no rechazó o comunicó de la irregularidad, porque de haber tenido una rígidas PSI no hubieran permitido la descarga de elementos extraños a la red. Y eso quiere decir que algún usuario descargó un disco, o una aplicación o alguna película o foto de alguna imagen sugestiva de la intimidad de alguna estrella de cine, o algún fragmento de algún video porno, o un texto interesante. Si es así, hubo una buena fe en la descarga pero no siguió las políticas de seguridad de información. Porque cuando se aplican estas políticas no se permite la descarga de ningún elemento que no haya sido autorizado por las PSI.
¿UNA VEZ DESCARGADA LA APLICACIÓN MALIGNA, CUÁNTO TIEMPO PUDO HABER TOMADO AL HACKER HACERSE DE LA INFORMACIÓN?
Ante este caso hipotético, como el elemento malicioso se instala y comienza a recibir en la red, trabaja las 24 horas, no necesita fragmentos de tiempo para hacer una descarga específica. Según lo que haya establecido el delincuente informático o la configuración de la descarga que haya planificado, pudo haber sido voluminosa en un determinado día o no. También lo pensamos por el tráfico o uso del ancho de banda y las conexiones satelitales que pudieron influir con el ritmo de la descarga.
DE TRATARSE DE UN EMPLEADO ENOJADO DENTRO DE LA EMPRESA, ¿DE QUÉ FORMA SE PUEDE DIFERENCIAR EN EL SISTEMA?
En un PSI siempre se establece cierre de todos los puertos. Solo hay acceso para los autorizados a modificar las políticas de seguridad de la información. Y la autorización se hace con base a los intereses o necesidades de la presidencia o staff que necesite acceder a cierta información. Al estar cerrado un puerto, y se viola, el reporte de seguridad lo registra, lo identifica y puede establecer si se introdujo una memoria o se descargó un programa.
¿QUÉ TAN MINUCIOSO ES ESTE PROGRAMA?
El personal de la empresa tiene un password, y con eso se puede saber quién accedió. El sistema de seguridad de la PSI puede identificar quién visitó, qué ficheros visitó, qué operaciones realizó, si estaba autorizado para transferir, eliminar, mutilar, envió al exterior o hizo transferencias internas. En ese reporte aparece fecha de ingreso, peso de la descarga, clase de acceso, qué se hizo, a dónde fue, qué realizó, si guardó o sacó la información.
¿MOSSACK FONSECA SE HABRÁ PERCATADO DE QUE LO ESTABAN HACKEANDO?
No lo sé. Eso habrá que preguntárselo al bufete y al director de seguridad y su mayordomo. Si tuvo ese reporte, con qué tiempo lo identificó, y por qué lo callaron o qué hicieron ante los primeros avisos de ese siniestro.
¿CREE QUE PUDO HABER SIDO UN ASUNTO DE EXTREMA CONFIANZA DE LA FIRMA?
Usualmente pasa eso. Contratan al profesional de seguridad y éste se duerme sobre sus laureles y le resta importancia a las preguntas del jefe: cómo vamos, cómo está todo. Y él para darle confianza al jefe le responde que sí, mucho para conservar su contrato. No siempre es un residente en la misma empresa o industria, casi siempre la seguridad se hace remotamente.
SI USTED FUERA UN FISCAL, ¿QUÉ TIPO DE DILIGENCIAS DEBERÍA REALIZAR PARA IDENTIFICAR CÓMO OCURRIÓ LA FILTRACIÓN?
Primero hay que establecer qué clase de información vamos a buscar. Si pensamos que hay usuarios presuntamente vinculados con lavado de activos y que sabemos sus nombres, debemos ir a los ficheros de esas personas para establecer si efectivamente se hizo o no alguna transferencia o a algún acceso irregular a sus ficheros. Con base en eso se ordena allanar o interceptar esa red. En esas condiciones empieza toda la operación para descargar la información y constituirla en un disco espejo y realizar unas operaciones forenses y comprobar qué irregularidad hay. Pero todo dependerá de las políticas de seguridad de información de la empresa, si está prohibido que los puertos del cuarto nivel hacia abajo no se puede acceder, entonces no puede haber ningún pendrive (memoria USB) que pueda penetrar esos puertos en ningún momento. Si hay alguien que entró, se debe establecer quién fue, qué actividades hizo, quién es el titular de esa estación y si hay más de una persona autorizada para hacer uso de ella.
¿CÓMO PUEDE PROBAR UN TÉCNICO QUE EL SISTEMA FUE VULNERADO?
Tenemos que establecer si efectivamente hubo un extraño en la red. Si fue remoto, reportar cómo fue, qué link se visitó, si se abrió algún archivo, se descargó, se transfirió. Se establece cuándo se hizo, quién lo descargo, cómo lo hizo, desde dónde y qué función tenía esa herramienta no autorizada para instalarse en la red y qué ejercicios se hizo. Cuando es remoto ese software recibe órdenes desde afuera de la persona que lo está controlando. Desde afuera ordena descarga, ordena transferir, ordena por ejemplo ingresar un documento que no estaba. Pensemos que queremos vincular a un sujeto que se dice está relacionado al tema de narcotráfico, le ponemos una foto diseñada exprofeso con él y alguien a quien le imputan esos cargos. Se planta la información.
¿CUÁNTO TIEMPO PUEDE TOMAR HACER ESTO?
Mucho tiempo. Tenemos que pensar en el volumen de la información. Hoy los equipos vienen con capacidad de una tera. En términos generales si revisáramos aperturas de ficheros, si por alguna razón estamos revisando el histórico del fichero nos vamos a tardar más. Se identifica un fichero, digamos que tiene 10 años de haberse creado. En ese tiempo cuántas veces se ingresó a ese fichero y qué actividades se hicieron.
EN PANAMÁ LA FISCALÍA CUENTA CON CUATRO MESES PARA LA INVESTIGACIÓN...
Nosotros hemos analizado en la práctica académica a hallar el responsable. Hemos establecido el perfil completo del responsable; novia, con quién chatea, qué clase de transferencia de información hace, qué otras actividades realiza etc.
¿CÓMO SE LLEGA A TODO ESO?
Con actividades forenses. Se hace una penetración igual como lo hizo aquél para acceder a su red desde los centros de investigación, se le envía un software para penetrarl su usuario.
SIENDO UN EXPERTO ES LÓGICO QUE SEA CAUTELOSO EN LO QUE ACEPTA...
Claro, ellos saben que si les mandamos una mujer desnuda o una escena porno poco o nada le va a interesar. Es más proclive a ver temas de investigación, por ejemplo cómo penetrar una red en forma especial, etc. Por ejemplo enviar un software de cómo poder bloquear el acceso de la policía a un software o algo parecido. Si su actividad es ilícita, le va a interesar cómo evitar que la autoridad lo descubra, por ejemplo.
==========
‘Algún usuario descargó un disco, una aplicación o fragmento porno, película o foto sugestiva. Si fue así, hubo buena fe en la descarga, pero no siguió las políticas de seguridad de información'.
==========
PROTECCIÓN DE DATOS
Exjuez, consultor en temas ciber defensa, informática forense
Nombre completo: Alexander Díaz García
Nacimiento: 28 de julio 1958, Girardó, Colombia.
Ocupación: Consultor, abogado
Cónyuge: Claudia Patricia Heredia Machado
Resumen de su carrera: Vinculado por más de 39 años como juez de control de Garantías. 27 Años dedicado a nuevas tecnologías del derecho y protección, tratamiento de datos personales con énfasis en delito informático. Autor de la Ley de delitos informáticos en Colombia. Autor del primer proceso electrónico en tramitar un Amparo de Garantías (2003). Actor de la demanda de inconstitucionalidad de los artículos 245 y 237 del Código Penal de Colombia por violación de datos personales y que la Corte falló a su favor. Los declaró inconstitucionales parcialmente.