Especialista en delito informático, Alexander García, explica las hipótesis de cómo ocurrió la mayor filtración de documentos. De tratarse de un hacker, dice, tuvo que haber descargado un código maligno
La mayor filtración de documentos jamás registrada, la de la firma Mossack Fonseca, ha dejado en evidencia la vulnerabilidad de los programas de seguridad informática de la firma. El hecho, también pone en alerta a toda empresa que considere “sensitiva” la información contenida en su equipo informático. La experiencia reciente, es una muestra de la anunciada guerra cibernética a la que se enfrenta el mundo. Especialistas en seguridad la definen como el conjunto de acciones llevadas por un Estado para penetrar en los ordenadores o en las redes de otro país, con la finalidad de causar prejuicio o alteración. Alexander García ha dedicado más de 27 años de su vida ale estudio de nuevas tecnologías del derecho y protección, tratamiento de datos personales con énfasis en delito informático.
¿Qué pasó en la firma de abogados Mossack Fonseca?
Podemos hablar sobre hipótesis y la que manejamos como informáticos, podemos pensar que hubo una penetración bruta remota, o que hubo una penetración abusiva de alguien de confianza en el staff si estos tienen PSI, es decir, políticas de seguridad de la información.
¿Qué tuvo que haber pasado para que ésto ocurra?
Para que haya una penetración remota tuvieron que haber enviado malware (código maligno) y que algún usuario, por malas practicas aprobadas por el auditor de seguridad de la red o el mismo mayordomo de la red que no rechazó o comunicó de la irregularidad, porque de haber tenido una rígidas PSI no hubieran permitido la descarga de elementos extraños a la red. Y eso quiere decir que algún usuario descargó un disco, o una aplicación o alguna película o foto de alguna imagen sugestiva de la intimidad de alguna estrella de cine, o algún fragmento de algún video porno, o un texto interesante. Si es así, hubo una buena fe en la descarga pero no siguió las políticas de seguridad de información. Porque cuando se aplican estas políticas no se permite la descarga de ningún elemento que no haya sido autorizado por las PSI.
¿Una vez descargada la aplicación maligna, cuánto tiempo pudo haber tomado al hacker hacerse de la información?
Ante este caso hipotético, como el elemento malicioso se instala y comienza a recibir en la red, trabaja las 24 horas, no necesita fragmentos de tiempo para hacer una descarga específica. Según lo que haya establecido el delincuente informático o la configuración de la descarga que haya planificado, pudo haber sido voluminosa en un determinado día o dispendiosa para otro momento. También pensamos que por el tráfico o uso del ancho de banda y las conexiones satelitales que pudieron influir con el ritmo de la descarga.
De tratarse de un empleado enojado dentro de la empresa, ¿de qué forma se puede diferenciar en el sistema?
En un PSI siempre se establece cierre de todos los puertos. Solo hay acceso para los autorizado las políticas de seguridad de la información. Y el que haya autorizado se hace con base a los intereses o necesidades de la presidencia o staff que necesite accesar a cierta información. Al estar cerrado un puerto, y se viola, el reporte de seguridad lo registra, lo identifican y puede establecer si se introdujo una memoria o se descargó un programa.
¿Qué tan minucioso es este programa?
En el personal de la empresa se puede saber con el password de acceso que le corresponde a cada personal se puede saber eso. El sistema de seguridad de la PSI puede identificar quién visitó qué ficheros visitó, qué operaciones realizó, si estaba autorizado para transferir, eliminar, mutilar, envió al exterior o hizo transferencias internas. En ese reporte aparece fecha de ingreso, peso de la descarga, clase de acceso, que se hizo a donde fue, que realizó, si guardó o sacó la información.
¿Se habrán percatado de que los estaban hackeando?
No lo sé. Eso habrá que preguntárselo al bufete y al director de seguridad y su mayordomo. Si tuvo ese reporte con qué tiempo lo identificó y por qué lo callaron o que hicieron como primer respondiente de ese siniestro.
¿Cree que pudo haber sido un asunto de extrema confianza de la firma?
Usualmente pasa eso. Contratan al profesional de seguridad y éste se duerme sobre sus laureles y le resta importancia a las preguntas del jefe; cómo vamos, cómo está todo. Y él para darle confianza al jefe le responde que sí, mucho para conservar su contrato. No siempre es un residente en la misma empresa o industria, casi siempre se hace remotamente la seguridad.
Si usted fuera un fiscal, ¿qué tipo de diligencias debería realizar para identificar cómo ocurrió la filtración?
Primero hay que establecer qué clase de información vamos a buscar. Si pensamos que hay usuarios presuntamente vinculados con lavado de activos y que sabemos sus nombres, debemos ir a los ficheros de esas personas para establecer si efectivamente si se hizo o no alguna transferencia o a algún acceso irregular a sus ficheros. Con base en eso se ordena allanar o interceptar esa red. En esas condiciones empieza toda la operación para descargar la información y constituirla en un disco espejo y realizar unas operaciones forenses y comprobar qué irregularidad hay. Pero todo dependerá de las políticas de seguridad de información de la empresa, si está prohibido que los puertos del cuarto nivel hacia abajo no se puede accesar, entonces no puede haber ningún pendrive (memoria USB) que pueda penetrar esos puertos en ningún momento. Si hay alguien que entró se debe establecer quién fue, que actividades hizo, quién es el titular de esa estación y si hay más de una persona autorizada para hacer uso de esa estación.
¿Cómo puede probar un técnico que el sistema fue vulnerado?
Tenemos que establecer si efectivamente hubo un extraño en la red. Si fue remoto reportar cómo fue, que link se visitó, si se abrió algún archivo, se descargó, se transfirió. Una vez se establece cuándo se hizo, quién lo descargo, cómo lo hizo, desde dónde y qué función tenía esa herramienta no autorizada para instalarse en la red y qué ejercicios se hizo. Cuando es remoto ese software en forma irregular, recibe órdenes desde afuera de la persona que lo está controlando. Desde afuera ordena descarga, ordena transferir, ordena por ejemplo ingresar un documento que no estaba. Pensemos que queremos vincular a un sujeto que se dice está relacionado al tema de narcotráfico, le ponemos una foto diseñada exprofeso con él y alguien a quien le imputan esos cargos. Se planta la información.
¿Cuánto tiempo puede tomar hacer esto?
Mucho tiempo. Tenemos que pensar en el volumen de la información. Hoy los equipos vienen con capacidad de una tera. En términos generales si revisáramos aperturas de ficheros, si por alguna razón estamos revisando el histórico del fichero nos vamos a tardar más. Se identifica un fichero, digamos que tiene 10 años de haberse creado. En ese tiempo cuántas veces se ingresó a ese fichero y qué actividades se hicieron.
En Panamá la Fiscalía cuenta con 4 meses para la investigación...
Nosotros hemos analizado en la práctica académica a hallar el responsable. Hemos establecido el perfil completo del responsable; novia, con quien chatea, qué clase de transferencia de información hace, qué otras actividades realiza etc.
¿Cómo se llega a todo eso?
Con actividades forenses. Se hace una penetración igual como lo hizo aquél para accesar a su red desde los centros de investigación se le envía un software para penetrarlo.
Siendo un experto es lógico que sea cauteloso en lo que acepta...
Claro, ellos saben que si les mandamos una mujer desnuda o una escena porno poco o nada le va a interesar. Es más proclive a ver temas de investigación, por ejemplo cómo penetrar una red en forma especial, etc. Por ejemplo enviar un software de cómo poder bloquear el acceso de la policía a un software o algo parecido. Si su actividad es ilícita, le va a interesar cómo evitar que la autoridad lo descubra, por ejemplo.
No hay comentarios
Publicar un comentario