¿Están los bufetes desprotegidos ante el ataque de los hackers?

Madrid

El pasado domingo se anunciaba la mayor filtración de documentos de la historia, procedentes del bufete panameño Mossack Fonseca. Desde la empresa, se apresuraban a desmentir la posibilidad de que hubiese sido un empleado descontento y atribuían la filtración de documentos a un hacker extranjero. El despacho aseguraba haber interpuesto una demanda ante la Fiscalía para denunciar los hecos.

La firma de ciberseguridad Secure&IT plantea tres posibles escenarios en los que se ha podido gestar este ataque: un “empleado descontento”, como ya se ha producido en otras ocasiones; un “phising masivo”, es decir, el envío de un email infectado por ciberdelincuentes a numerosos usuarios o un “spear phising”, un ataque dirigido de forma específica a esta organización para hacerse con información confidencial.

Sin embargo, el debate se ha abierto y ahora la pregunta es si es tan fácil como parece acceder a una cantidad tan ingente de datos. Una de las hipótesis que cobra más fuerza es un ataque a un servidor web desactualizado. “Desde dicho servidor web, se habría podido acceder a máquinas situadas en la misma red (servidores de base de datos y de correo electrónico)”, asegura el experto en soluciones de ciberseguridad para empresas, Lorenzo Martínez, de Securízame.

En este caso se han hecho públicos 2,6 terabytes de información y más de 11 millones de documentos, pero ¿puede volver a pasar?. Martínez lo tiene claro: “¿Y por qué no? Hay una mayor cantidad de empresas con unas medidas de seguridad informática deficientes, que las que las tienen bien hechas”. A eso hay que sumar la falta de inversión de muchas empresas ajenas al mundo de Internet. Argumentos como “nunca ha pasado nada, cuando pase, ya veremos" o "pero quién va a querer atacarme a mí... si además lo que aquí manejamos, tampoco es tan crítico" se escuchan a diario en muchas empresas. De hecho, el ICEX asegura que las empresas españolas pierden al año más de 13.000 millones de euros por los ciberataques.

El punto más crítico es controlar a empleados descontentos dispuestos a traicionar a su empresa. Se pueden poner barreras para impedir que la información pueda salir mediante algunos canales: bloquear el uso de dispositivos USB, monitorizar la actividad sobre determinados ficheros o establecer políticas de seguridad estrictas del tráfico hacia afuera. A pesar de ello, “son muy pocas las empresas que pueden implementar de forma efectiva y rigurosa este tipo de medidas, debido a la cantidad de excepciones que hay que tener para que los empleados puedan trabajar”, asegura Martínez.

En España el principal obstáculo es que no existen sanciones contundentes para aquellas empresas que no protegen suficientemente su información. La Agencia Española de Protección de Datos es el único organismo que está actualmente castigando esta ausencia de medidas. Unas sentencias que “en algunos casos están mal enfocadas, exigiendo medidas muy complicadas o absurdas de cumplir”, se lamenta este ingeniero informático. “En otros casos, la ley simplemente no dice nada que haya que aplicar”, añade.

En cualquier caso, lo único que se sabe con certeza es que el despacho panameño guardaba una gran cantidad de información sensible y que una fuente anónima decidió que el mundo debería conocer las artimañas del mundo de los negocios para evadir impuestos. Si los bufetes aprenderán ahora la lección, habrá que determinarlo en el futuro.