Los Papeles de Panamá: Así se hackeó los servidores de Mossack Fonseca
WordFence ha analizado los servidores del despacho de abogados descubriendo la puerta por la que poder entrar a la información
- Su web se basaba en WordPress y Drupal, dos gestores de contenidos gratuitos y muy utilizados en la red
- Un antiguo plugin de WordPress y a una versión antigua y no parcheada de Drupal permitieron el hackeo
- El ataque dio lugar a la filtración de 11,5 millones de archivos con todos los datos que se han ido publicando estos días
Actualizado : 15:31
La publicación de los llamados 'Papeles de Panamá' ha dado la vuelta al mundo y ha abierto la posibilidad a los gobiernos de muchos países de inspeccionar miles sociedades offshore
La llamada la 'mayor filtración periodística de la historia' tiene detrás un hackeo nada complejo. Detrás del ataque a los servidores del despacho de abogados panameño Mossack Fonseca hay más de fallo por parte del despacho que ingenio por parte de los hackers, que aún no se ha revelado quién ha sido.
Un plugin de WordPress y un fallo en una versión antigua de Drupal propiciaron el hueco a los hackers
WordFence, una compañía especialidad en seguridad online, ha analizado los servidores de Mossack Fonseca buscando cómo se pudo llevar a cabo el hackeo. Según la información recogida en la web 'xataka', WordFence ha descubierto que un plugin de WordPress y un fallo en una versión antigua de Drupal propiciaron el hueco por el que entraron los hackers.
WordPress y Drupal son dos gestores de contenidos de código abierto muy utilizados en todo tipo de proyectos web. Aunque su funcionamiento es muy bueno su seguridad no es infranqueable, más aún si los sistemas no están actualizados completamente.
Lea también: Vídeo | El escándalo de los Papeles de Panamá explicado para niños de 5 años
La estructura de Mossack Fonseca se basaba en dos páginas web. La primera, creada con WordPress, era la imagen pública de la compañía, servía para mostrar los diferentes servicios que el despacho ofrecía. Por otro lado, una segunda web, creada con Drupal, servía para compartir la información más sensible entre clientes y abogados.
La versión de Drupal que utilizaba Mossack Fonseca era la 7.23, una versión que la propia comunidad que promueve el desarrollo de este gestor de contenido, actualizó con carácter urgente en octubre de 2014 por la versión 7.32, es decir, el despacho utilizaba una versión con un fallo de seguridad importante, reconocido por los propios creadores. Este fallo de seguridad fue, según la información, uno de los principales puentes hacia la información filtrada, pero no la única.
Lea también: Los bancos británicos deben declarar links con los papeles de Panamá la próxima semana
En el portal principal, el creado con WordPress, los hackers descubrieron otra vulnerabilidad gracias, una vez más, a no tener todos los componentes actualizados. En este caso el problema estaba en uno de los 'plugins', pequeños paquetes que se añaden a WordPress para implementar nuevas funcionalidades. El fallo en cuestión se encontraba en el 'plugin' 'Revolution Slider' y permitió a los hackers tener acceso al servidor y ejecutar todo tipo de comandos, entre ellos la opción de recopilar todos los archivos que se almacenaban.
Lea también:
Papeles de Panamá: así fue la filtración más grande de la historia
PanamáPapers: Los 10 países con más compañías implicadas en el escándalo
Messi explica en un comunicado su vinculación con los papeles de Panamá