1

#PanamáPapers: ¿Advertencia de (in)Seguridad?

Los #PanamáPapers permite pensar que los hackeos destinados a perjudicar reputación pueden aumentar en frecuencia.

Una conferencia del MIT esta semana sobre la Internet de las Cosas fue divertida hasta que el tema de la seguridad se acercó.
Sanjay Sarma, un profesor de ingeniería mecánica en el MIT, contó a esta multitud – en su mayoría startups – que espera “algunos desastres”: las centrales eléctricas serán derribadas, al igual que alguna planta química.

De momento, hace algunas semanas hackearon a la firma de abogados panameña Mossack Fonseca lo cual dibuja – perfectamente – cuánto daño puede causar una violación de seguridad. Los bufetes de abogados son objetivos valiosos y vulnerables, y que atraen a personas interesadas en ganar dinero.

Es muy notable la violación de Mossack Fonseca y los #PanamáPapers, la cual expuso las cuentas en el exterior de los ricos y políticamente poderosos.

La firma dijo que era un hackeo externo que uso un email exploit, pero eso no dice mucho. ¿Fueron los sistemas de la firma de abogados parcheados y actualizados?

¿Cómo 11,5 millones de documentos o 2.6 TB de datos, dejan la red de la empresa sin ser detectados? A 100 Mbps, se necesitarían alrededor de dos días para descargar 2 TB de datos.

“Cualquiera que sea la técnica de intrusión, tan grandes cantidades de datos saliendo fuera de las redes de una empresa debería haber provocado la alarma y, sin embargo, no lo hizo“, reflexionó el asesor de seguridad cibernética para el proveedor de software F-Secure, Erka Koivunen.

Tapada de papeles_edit_edit_edit

Precedente histórico

No hay mucha simpatía por los líderes mundiales cuyas relaciones financieras han sido expuestas por el escándalo de los #PanamáPapers. Sin embargo, en la comunidad de seguridad de TI, no hay simpatía tampoco por cualquier persona que permita que una brecha como esta suceda.

“Independientemente de lo que pensamos de la ética de la firma de abogados, este tipo de fracaso en la defensa y vigilancia de un de ‘reino’ es absolutamente inaceptable”, dijo Koivunen.

Por su parte, el líder de TI de la empresa de consultoría CEB, Jeremy Bergsman, señaló que el ataque “John Doe” en Mossack Fonseca es diferente al caso de Edward Snowden.

“La motivación clave para el ataque fue el “daño a la reputación”, lo que es un – relativamente – nuevo motivo. La aparición de este tipo ‘heroísmo popular’ indica que el número de incidentes de seguridad que enfrentan las empresas es probable que aumente”, explicó Bergsman .

Los #PanamáPapers tendrán un impacto de largo alcance en los bufetes de abogados, los cuales han sido considerados un “mercado poco atendido” en materia de seguridad.

No hemos visto nada hasta la fecha como el hackeo a Mossack Fonseca“, dijo John Pescatore, director de tendencias de seguridad emergentes de SANS , una organización de seguridad.

“Los servicios profesionales como bufetes de abogados y asesores de inversión a menudo no proteger suficientemente la información sensible. Esto tiene que cambia”, dijo Pescatore.

Es por ello que los CIOs deben preocuparse con las prácticas de seguridad de los proveedores externos de sus asesores legales y deberían hacer algunas preguntas, según dijo Philip Lieberman, presidente y CEO de Lieberman software, otra firma de seguridad de software.