Filtrar 2.6 TB de datos y ponerlos en la
nube de forma segura, a disposición de 400 periodistas, fue un reto sin
precedente. Para hacerlo aún más complejo se usó únicamente software de código
abierto. Ésta es la historia.
Fue un logro épico. El que
haya sido responsable de obtener los Panama Papers del especialista en evasión
de impuestos y en empresas offshore Mossack Fonseca filtró unos asombrosos 11
millones de documentos y 2.6 terabytes de datos, la intrusión más grande de
todos los tiempos. Las megafiltraciones previas estaban en el rango de los
gigabytes: el Cablegate de Wikileaks fue de 1.7 GB; Ashley Madison, de unos 30
GB; Sony Pictures, un estimado de 230 GB.
El 1 de abril, Mossack
Fonseca envío una carta a sus clientes en la que les dejó ver lo que estaba
sucediendo, y les adelantó lo que pasaría con el resultado de esta
investigación. Sobre la reacciones de sus clientes, Ramón Fonseca, socio
mayoritario del bufete, dijo a Forbes Latam que se dieron diversas respuestas,
pero que en varios casos hubo “mucha comprensión”.
“Ya estamos en total
conocimiento [de las vulnerabilidades] y cerramos el hueco”, dijo Fonseca a
Forbes Latam. La información obtenida para la investigación periodística fue
producto de “un hackeo limitado”, aseguró.
La logística de la operación
periodística detrás de los documentos de Panamá fue igualmente asombrosa: un
año de intercambio de información sobre software de código abierto entre más de
100 publicaciones, desde The Guardian hasta la BBC y 400 periodistas.
Todos los correos
electrónicos, archivos e imágenes de Mossack Fonseca tuvieron que ser
almacenados en las unidades encriptadas que luego fueron movidas de forma
segura a la nube para evitar que las historias fueran filtradas antes de tiempo
o vistas por alguien fuera del grupo. Al mismo tiempo debían poder seguir
siendo utilizables tanto por los periodistas técnicos y no técnicos.
Y después del esfuerzo concertado
comienzan a surgir historias concretas:
Un amigo violonchelista
cercano a Putin que inyectó grandes cantidades de dinero a sus cuentas en el
extranjero a través de entidades extranjeras que terminaron financiando una
estación de esquí, donde se casó con la hija del líder ruso. El primer ministro
de Islandia no reveló que su mujer poseía una firma offshore que tenía una
participación en bancos en quiebra. Y el padre del primer ministro del Reino
Unido, David Cameron, dirigía una empresa offshore para evitar el pago de
impuesto. Y hay más por venir.
¿Dónde están almacenados
actualmente todos esos datos? En la nube de Amazon, en algún data center
accesible a cualquier persona que conozca la URL y cuente con una contraseña.
El viaje de esos archivos, de las filtraciones a las revelaciones, es un ejemplo
asombroso de desarrolladores y periodistas trabajando juntos para mantener a
raya a los soplones y hacer que la información con la que trabajan sea segura
y, quizá igual de importante, que pueda ser usada por todas las partes. Sólo
para poner un ingrediente extra de complejidad: el proceso fue realizado por
completo usando tecnología de código abierto.
EL HACKEO
Un mensaje filtrado a los
clientes indicaría que todo comenzó con un hackeo típico, uno prevenible. En
una carta, fechada el 1 de abril y publicada en la cuenta de Twitter de
Wikileaks, la empresa dijo a los clientes que investigaba una irrupción en su
servidor de correo electrónico. Mossack Fonseca no respondió a repetidas
solicitudes de comentarios sobre el hecho, aunque Ramón Fonseca reiteró a Reuters
que la irrupción había sido “limitada” y denunció una “campaña internacional
contra la privacidad”, a pesar de la importante cantidad de datos que había
sido extraída de la organización.
Mossack Fonseca está
actualmente bajo los reflectores, y es objeto de burlas por sus pobres
prácticas de seguridad, así como de fuertes críticas por facilitar la evasión
fiscal generalizada, incluso cuando estaban involucrados elementos producto de
delitos. Sus mensajes de correo electrónico no estaban encriptados, según el
experto en encriptación Christopher Soghoian, mientras que sus sitios web
estaban llenos de vulnerabilidades potenciales; prácticamente pedían la
incursión de cualquier hacker dispuesto.
Forbes descubrió que la firma
usaba en su sitio principal una versión de WordPress que fue liberada hace tres
meses, la cual, se sabe, contiene algunas vulnerabilidades, pero resulta más
preocupante que el portal usado por los clientes para acceder a datos sensibles
corriera sobre Drupal 7.23, una versión liberada hace tres años. Esa plataforma
tiene al menos 25 vulnerabilidades conocidas al momento de escribir esto, dos
de las cuales pudieron haber sido usadas por un hacker para cargar su propio
código al servidor y empezar a pasar la aspiradora en las bases de datos. En
2014, Drupal advirtió de una serie de ataques a sitios web basados en su
código, e indicó a los usuarios que cualquier persona que corriera cualquier
versión por debajo de la 7.32 luego de siete horas de su lanzamiento debería
asumir que había sido hackeada.
Esa vulnerabilidad crítica
estuvo abierta durante más de dos años y medio en el sitio de Mossack Fonseca.
Sigue siendo una ruta válida para que los hackers obtengan más datos de la
empresa y sus clientes. En su sitio, la empresa asegura que “su información
nunca ha estado más segura que en el Portal del Cliente seguro de Mossack
Fonseca”. Esa afirmación hoy luce un tanto equivocada.
ENCRIPTADO CRÍTICO
Cualquiera que haya sido la
vulnerabilidad aprovechada por el hacker, por lo menos durante un año, la
empresa no se dio cuenta de la irrupción, o no emitió una alerta pública.
Después de que el intruso robó la información y la mudó a sus propios
servidores, hizo contacto inicial con Bastian Obermayer, periodista en
Süddeutsche Zeitung (SZ), a través de un chat encriptado. La vía de
comunicación pudo haber sido un cliente Jabber, o aplicaciones de Android o
iPhone como Telegram o Wickr.
El leaker, usando el nombre
de John Doe, dejó en claro cómo se comunicarían de ese punto en adelante. “Hay
un par de condiciones. Mi vida está en peligro. Nosotros sólo conversaremos a
través de vías encriptadas. No habrá ninguna reunión, nunca”.
Poco después, los datos
comenzaron a llegar, aunque no todos a la vez. SZ se coordinó con el Consorcio
Internacional de Periodistas de Investigación (ICIJ) para manejar los enormes
volúmenes de datos que fluían de forma incremental. En la primera reunión
tuvieron que decidir qué hacer con 1 TB.
Se llevaron a cabo reuniones
similares hasta que los papeles sumaron 2.6 TB. De acuerdo con Mar Cabra, jefa
de la Unidad de Datos e Investigación del ICIJ, los archivos y sus réplicas
fueron distribuidos por diversos discos duros encriptados, usando el software
VeraCrypt para proteger la información. (Obermayer me dijo que también usó esa
herramienta en su PC al manipular los Panama Papers.)
VeraCrypt es un software de
código abierto floreciente que muchos ven como una versión más segura de
TrueCrypt, que una vez fue ampliamente usado. VeraCrypt fue diseñado por
criptógrafos franceses en IDRIX; la versión beta fue lanzada en 2013 para el OS
X de Apple, Windows de Microsoft y Linux. Como los desarrolladores de TrueCrypt
declararon que ya no darían soporte a su producto, la creación de IDRIX se
convirtió en uno de los pocos sucesores que adquirieron popularidad inmediata.
Mounir Idrassi, el
desarrollador principal de VeraCrypt, dijo a Forbes, a través de un correo
electrónico cifrado, que su software arregló muchas vulnerabilidades
descubiertas en TrueCrypt y usa algoritmos más sólidos. Idrassi afirmó que “es
prácticamente imposible descifrar un volumen encriptado con VeraCrypt”.
La función de “volúmenes
ocultos” permite a los usuarios desbloquear la parte visible y menos sensible
de VeraCrypt con una contraseña, mientras que otra es usada para ocultar
información sensible. “Es técnicamente imposible probar si hay un volumen
oculto”, dijo Idrassi. Dicho mecanismo es importante para la negación
plausible; un periodista bajo presión podría entregar la primera contraseña si
es presionado, pero no revelar la segunda, usada para acceder a los datos más
valiosos.
Pero VeraCrypt aún no ha sido
probado. No ha sido auditado por piratas informáticos independientes, como sí
lo fue TrueCrypt, que además seguía siendo considerado seguro después de que la
compañía dejó de brindar soporte para la plataforma. De acuerdo con Steve Lord,
un hacker de sombrero blanco en la empresa británica Mandalorian, el servicio
no es suficiente por sí solo para proteger los archivos. “Es necesario que haya
procesos asociados a la manipulación y la comunicación de información de forma
segura, y yo evitaría conectar a internet cualquier sistema que contenga los
datos crudos de los Panama Papers, de ser posible. Hay una gran cantidad de
personas que quieren esos datos”, dijo Lord.
De acuerdo con Cabra, sin
embargo, el uso de VeraCrypt sólo implicó un problema: un disco se corrompió
cuando el lote inicial de datos se estaba migrando. El equipo simplemente tuvo
que reiniciar el proceso. En lo que a ella respecta, no ha habido indicación
alguna de que esas filtraciones se hayan filtrado de nuevo.
SU LLEGADA A AMAZON
Cabra no tenía miedo de
almacenar la información en internet. Para que ésta fuera accesible a más de
400 periodistas, Cabra dijo que los archivos fueron subidos a Amazon, un
proceso largo, pero no tan lento como el ordenado de datos en formatos de
búsqueda.
Todo el software usado fue de
código abierto, ajustado a las necesidades de los reporteros. La herramienta de
búsqueda, la que permite a los periodistas a la caza de nombres como Putin o
lugares como las Islas Vírgenes Británicas, se basa en Solr de Apache, usado
por un gran número de organizaciones especializadas en búsquedas, incluyendo
DuckDuckGo, una herramienta enfocada en la privacidad. Solr se combinó con Tika
de Apache, un software de indexado que puede analizar diferentes tipos de
archivos, ya sean PDFs o correos electrónicos, como en los Panama Papers,
filtrando el texto de los datos que no son esenciales. En las capas superiores
estaba la interfaz, desarrollada usando Blackligth, otro desarrollo de código
abierto.
Una vez terminada la
plataforma, más de 400 periodistas, que se reunirían en persona en eventos
organizados por SZ y el ICIJ a lo largo de 2015 y 2016, sólo necesitarían el
link y una contraseña generada de forma aleatoria para empezar a hurgar en los
documentos en busca de pistas.
Más allá de la seguridad
contra la fuerza bruta para adivinar nombres de usuarios y contraseñas, no
había ninguna otra protección de acceso, aunque cualquiera que se comunicara
con el sitio lo haría a través de líneas encriptadas usando el protocolo SSL,
tal como lo hacen los sitios web protegidos criptográficamente, desde Facebook
hasta la banca en línea.
Para entender lo que estaban
viendo, los periodistas podían usar la visualización de datos integrada, que
corría en una mezcla de tecnología de bases de datos gráficos Neo4j con
Linkurious, lo que hizo que el trabajo de hacer conexiones entre archivos fuera
más fácil.
Un sitio separado, una “sala
de prensa virtual” como la llamó Cabra, incluía una protección extra: la
autenticación de dos factores mediante Google Authenticator, que ofrecía un código adicional que podía ser usado una
sola vez para entrar y después introducir la contraseña.
En ese espacio, los
reporteros podrían actualizar a sus colegas con sus últimas ideas sobre
artículos o reportajes, todos entregados a través de un flujo similar al del
timeline de Facebook, aunque también podían hacer uso de la función de chat
para facilitar la colaboración. Una vez más, la red social fue desarrollada
sobre software de código abierto Oxwall. (ICIJ también crea algunas de sus
propias herramientas de código abierto. Su contribución más reciente en Github
es una herramienta de línea de comandos para el análisis de contenido.)
Algunos reporteros,
incluyendo aquellos en SZ, también usaron Nuix, una herramienta propietaria
usada con frecuencia por los cuerpos de seguridad y empresas de auditoría para
descubrir evidencia en los repositorios de datos. El CEO de la compañía con sede
en Sydney, Eddie Sheehy, dijo que aunque 2.6 TB es mucho, el software de su
organización ya había ayudado a buscar en bases de datos de entre 300 y 400 TB
de información. Sus clientes incluyen al Servicio Secreto de Estados Unidos, la
oficina de Seguridad Nacional estadounidense, la Comisión Europea y el
Ministerio del Interior. Nuix se asoció con el ICIJ durante los últimos cinco
años. “Descomponemos los datos en su partes más pequeñas y comenzamos a contar
historias sobre ellos, ya sea direcciones IP, números de teléfono, nombres de
empresas”, dijo Sheehy.
EL VALOR DE LA CRIPTOGRAFÍA
Todo esto, me dijo Mar, fue
diseñado para emplear la criptografía de forma utilizable, algo de lo que todas
las organizaciones, incluyendo Mossack Fonseca, podría beneficiariarse. “Los
periodistas están cada vez más acostumbrados a usar el cifrado y es cada vez
menos y menos complicado”.
Dicho en otras palabras, Mar
simplemente podría haber ayudado a coordinar el proyecto de código abierto más
importante jamás visto.
Y lo hizo en un momento en
que la FBI y diversos gobiernos tratan de instalar puertas traseras en los
principales productos de consumo, especialmente el iPhone de Apple. Así, los
Panama Papers muestran cuán importante es el cifrado para revelar historias de corrupción
que son, sin duda, de interés público.
“Es un orgullo saber que
VeraCrypt fue útil para hacer tales revelaciones, sobre todo en el actual clima
político en que el uso de la encriptación es vilipendiado en prácticamente
todos los medios de comunicación”, agregó Idrassi, quien no sabía que su creación
hubiera sido usada en el proyecto de los Panama Papers. “Es importante
aprovechar esta oportunidad para educar a las masas y a los políticos por
igual, hacerles saber que el encriptado no sólo se utiliza para cosas malas,
sino que es algo crítico para los periodistas, activistas de derechos humanos y
otros disidentes que viven bajo regímenes represivos.”
(DOSSIER POLITICO/ Tomado de: Thomas
Fox-Brewster / Forbes/ 2016-05-26)
No hay comentarios:
Publicar un comentario