La han calificado como la mayor filtración periodística de toda la historia. Llevamos días oyendo hablar de "Los Papeles de Panamá", y todavía queda mucho que hablar de unos documentos que revelan cómo grandes fortunas en todo el mundo aprovechan los paraísos fiscales para evadir impuestos.
No se conoce al responsable de la filtración, pero ahora responsables de la empresa WordFence han analizado los servidores de la firma Mossack Fonseca y han descubierto que el robo de documentos se pudo deber a un plugin de WordPress y a una versión antigua y no parcheada de Drupal. Las vulnerabilidades eran conocidas desde hace tiempo, pero no fueron corregidas y esa pudo ser la llave que abrió esta particular caja de Pandora.
No actualizar, el gran problema
En WordFence explicaban como Mossack Fonseca contaba con dos sitios web principales: uno que era escaparate de sus servicios, basado en WordPress, y un portal de clientes para compartir información "sensible" con todos ellos, que estaba basado en Drupal.
Este último corría sobre Drupal 7.23, una versión que se parcheó en octubre de 2014 con la versión 7.32 de forma urgente. De hecho los expertos en seguridad consideraban que los problemas de la versión 7.23 eran tan graves que si los administradores de estos sistemas no actualizaban de forma inmediata lo mejor que podían hacer era instalar Drupal de cero.
En Mossack Fonseca no actualizaron esa versión, lo que provocó que su "portal seguro" fuera totalmente vulnerable a este problema durante más de un año. Es muy probable que la mayor parte de los documentos descargados proviniesen de dicha fuente.
En esta filtración también tuvo un papel destacado el plugin Revolution Slider de WordPress, que aporta capacidad de introducir un carrusel visual en cualquier página de un sitio web montado con WordPress.
Una antigua vulnerabilidad en este plugin tampoco había sido corregida, y según los expertos de WordFence esto permite al atacante tener acceso shell al servidor web para ejecutar todo tipo de comandos y, entre ellos, recolectar todo tipo de ficheros de ese servidor.
La lección en ambos casos es obvia: estos problemas de seguridad aparecen con cierta frecuencia, y por ello es clave actualizar tanto los plugins que utilizan estos sistemas de gestión de contenidos como los propios CMS en sí.
Vía | WordFence
En Magnet | ¿Es delito guardar dinero en sociedades offshore como las reveladas por #PanamáPapers?
Ver 43 comentarios
43 comentarios
Usuario desactivado
Estáis haciendo las preguntas equivocadas...
Hay que plantearse lo siguiente...
Se ha hackeado un despacho de una empresa de Panamá y ha salido ésto. Multiplíquese por los miles de despachos de Panamá que se dedican a ésto, y multiplíquese por los 30 o 40 paraísos fiscales de este tipo que hay en el planeta.
Un sólo despacho...y han salido un montón gordo de Jefes de Estado, políticos, Presidentes y Expresidentes, grandes y menores fortunas...
Esto responde a preguntas sobre...
¿Por qué no se persiguen los paraísos fiscales? - Si no hay político que se precie que no tenga una offshore ¿Por qué pegarse tiros en los pies?.
¿Por qué no devuelven Gibraltar? - No viene mal tener a mano un chiringuito de éstos cerca, se sea inglés, o español.
¿Hay alguien que pague impuestos? - Claro que sí, se llama clase media. Desde luego yo no estoy tan mal tratado fiscalmente como Almodóvar, que hay que estar muy mal en la vida para que Hacienda te devuelva 300.000 €. Pobrecito, que su hermano abrió la offshore por tenerla.
Me recuerda a lo de CajaMadrid. Todos trincaban y todos callaban (PP, PSOE, Sindicatos, Patronal...). Sólo se descubrió porque tuvo que venir alguien externo, después de una fusión dolosa y una quiebra para sacarlo a la luz.
Idem...o hay un hacker, o no nos enteramos, y es imposible que los políticos no se enteren, aunque sólo sea porque tienen sociedades de éstas repartidas por todo el mundo.
joseavdt4
Hay que ser tonto y rata, para gestionando una cantidad tan abultada de dinero , no tener un buen departamento que controle este tema. Ni actualizar Drupal sabían.
meKondor
Eso se merece un Ja-ja. Una empresa con miles de millones que pasan por sus cuentas antes de caer, en las falsas y ni su propio sistema de gestión tenían. En verdad que lo barato sale caro.
Escuchar esto es como que me digan que mi banco utiliza Drupal para manejar mis cuentas.... ohhh shitt!! - ojo que no es malo Drupal, pero con tanto dinero deberían tener su propio departamento con desarrollos propios o al menos del sector con alto renombre.
dos saludos
pauvelasco
Uno de los tantos motivos por los que aprendí a desarrollar desde 0 en lugar de andar usando plugins de terceros y servicios como Wordpress.
Ojalá desaparecieran y solo quedara espacio para desarrolladores que conozcan el código y como crear webs completamente personalizadas sin tener que recurrir a soluciones de terceros.
También es muy tonto usar wordpress donde hay datos importantes. En el pecado llevan la penitencia.
oopere1
Y han contratado a wodfence!!!! Que no es un sean malos, pero vaya que se encargan de limpiar el malware de cientos de sitios de wordpress de webmaster amateurs. No son la crema de la crema de la seguridad on lime :-). Creo que para limpiar un web y que te den un informe de vulnerabilidad te piden menos de 200 euros.
collons
Pues me alegro y mucho que estos ladrones sean tan palurdos en ciberseguridad como yo, lamentablemente dudo que sirva para algo excepto para aportar la última prueba que vivimos y morimos para un sistema endémico y corrupto, y los nuevos que entran no parecen por la labor de cambiar nada excepto el color de los billetes. Si hay paraísos fiscales es porque las grandes democracias del mundo lo permiten, y no hay más.
Ojalá me equivoque, ojalá.
osr2006
No conozco ningún banco respetable que ni medianamente use PHP como software de gestión. Es extremadamente INSEGURO!!!, y puede hacerse seguro, pero conlleva una labor realmente tediosa por la que pocos están dispuestos a pasar. Por otro lado es increíble y casi tonto que una empresa manejando dinero en esta cantidad, usara tan mal software para esto. Naaaa, ..., me disculpan, "pero a este libro, le faltan hojas".
Cualquiera que haya trabajado en una empresa medianamente importante sabe que además del secreto bancario la información está tan compartimentada que es realmente difícil para el mismo personal interno saber a quien pertenece tal o cual cuenta. Y aunque pudieran sacar parte de la información, nunca sería la base de datos completa de un montón de Gigabytes.
Pero además en toda base de datos medianamente respetable, las auditorías del sistema dicen quién entró, cuando, que hizo y pq. Los desarrolladores firman acuerdos de confidencialidad y aún así solo algunos tienen acceso real a la información. Las bases de datos tienen niveles de seguridad y no obstante se ponen en webservices que solo sirven parte de la información . Para acceder a la información real (entiéndase reportes de un gran número de usuarios hay que hacerlo desde las instalaciones de la empresa).
Naaaa..., entre mas analizo, mas veo que esto o fué obra de profesionales de alto rango, o alguien de dentro con acceso vendió la información, o los dueños de la empresa son muy tontos (y esto último no creo, teniendo en cuenta que tenían años dando servicios).
El problema es que estas personas no tienen(tenían) conocimiento real de lo peligroso que podría llegar a ser una vulnerabilidad de ese estilo. Mira que dejar drupal así...
rigby
No creo que se trate de ser rata, puede ser que no tuvieran ni idea, pasó hace un año y ni se habían enterado cuando en otros sitios saben exactamente cuando ha sido y como ha sido.
Usuario desactivado
Y no solo eso, tener toda esa informacion interna expuesta en un servidor colgado en internet, o con acceso desde ese servidor. Toda la intranet vamos, porque ese tipo de datos de clientes...
123almundial
Jajajaja eso les pasa por menospreciar a los desarrolladores... sigan contratando programadores mediocres a los que les pagan una miseria... bien merecido, Drupal y WordPress jaaaaaaaaaaaaaaaaaaajajajajaj
eufrasio
El paraíso fiscal mas importante del mundo es Reno en Nevada. Según dice El país podría incluso superar a Suiza.
http://economia.elpais.com/economia/2016/02/01/actualidad/1454342583_965613.html
Y según los rumores esto de Panama seria solo una guerra entre paraísos fiscales, para favorecer precisamente a Reno.
bluegrass187
hay que ver! qué vida más perra llevamos los ricos
homerefi
Pues nada. Da gusto cuando te lo ponen tan fácil. Eso les pasa por no tener un cuñado informático ;)
Usuario desactivado
Yo hice la tarjeta de navidad para esta gente en 2014, dieron cambios durante 2 meses y no pagaban bien, no me sorprende que algo como esto suceda, si vas hacer algo mal deberías hacerlo bien, pero supongo que a los ojos de las grandes cantidades de dinero que entran no les importaba todo lo demás.
daniroyo86
Lo que está claro es que nada sirve tener la mejor caja fuerte del mercado si le das los planos técnicos al ladrón, o si compras la mejor puerta del mercado y no le pones bombín. El problema no es la tecnología usada, sonlas personas que lo mantienen. Una empresa que tenga un mínimo mantenimiento de sus sistemas no habría tenido ese problema, pero muchas veces se piensa que si yo realizo un proyecto bajo OpenSource, ya no tendré que invertir dinero en su mantenimiento... ERROR.
ruizorc
El mundo lo manejan los más poderosos y eso nunca va a cambiar, una lástima pero es la realidad.