La filtración más grande

La filtración más grande en la historia del periodismo

FORBES- 6 de Abril de 2016

Filtrar 2.6 TB de datos y ponerlos en la nube de forma segura, a disposición de 400 periodistas, fue un reto sin precedente. Para hacerlo aún más complejo se usó únicamente software de código abierto. Ésta es la historia.

Fue un logro épico. El que haya sido responsable de obtener los Panama Papers del especialista en evasión de impuestos y en empresas offshore Mossack Fonseca filtró unos asombrosos 11 millones de documentos y 2.6 terabytes de datos, la intrusión más grande de todos los tiempos. Las megafiltraciones previas estaban en el rango de los gigabytes: el Cablegate de Wikileaks fue de 1.7 GB; Ashley Madison, de unos 30 GB; Sony Pictures, un estimado de 230 GB.

El 1 de abril, Mossack Fonseca envío una carta a sus clientes en la que les dejó ver lo que estaba sucediendo, y les adelantó lo que pasaría con el resultado de esta investigación. Sobre la reacciones de sus clientes, Ramón Fonseca, socio mayoritario del bufete, dijo a Forbes Latam que se dieron diversas respuestas, pero que en varios casos hubo “mucha comprensión”.

“Ya estamos en total conocimiento [de las vulnerabilidades] y cerramos el hueco”, dijo Fonseca a Forbes Latam. La información obtenida para la investigación periodística fue producto de “un hackeo limitado”, aseguró.

La logística de la operación periodística detrás de los documentos de Panamá fue igualmente asombrosa: un año de intercambio de información sobre software de código abierto entre más de 100 publicaciones, desde The Guardian hasta la BBC y 400 periodistas.

Todos los correos electrónicos, archivos e imágenes de Mossack Fonseca tuvieron que ser almacenados en las unidades encriptadas que luego fueron movidas de forma segura a la nube para evitar que las historias fueran filtradas antes de tiempo o vistas por alguien fuera del grupo. Al mismo tiempo debían poder seguir siendo utilizables tanto por los periodistas técnicos y no técnicos.

Y después del esfuerzo concertado comienzan a surgir historias concretas:

Un amigo violonchelista cercano a Putin que inyectó grandes cantidades de dinero a sus cuentas en el extranjero a través de entidades extranjeras que terminaron financiando una estación de esquí, donde se casó con la hija del líder ruso. El primer ministro de Islandia no reveló que su mujer poseía una firma offshore que tenía una participación en bancos en quiebra. Y el padre del primer ministro del Reino Unido, David Cameron, dirigía una empresa offshore para evitar el pago de impuesto. Y hay más por venir.

¿Dónde están almacenados actualmente todos esos datos? En la nube de Amazon, en algún data center accesible a cualquier persona que conozca la URL y cuente con una contraseña. El viaje de esos archivos, de las filtraciones a las revelaciones, es un ejemplo asombroso de desarrolladores y periodistas trabajando juntos para mantener a raya a los soplones y hacer que la información con la que trabajan sea segura y, quizá igual de importante, que pueda ser usada por todas las partes. Sólo para poner un ingrediente extra de complejidad: el proceso fue realizado por completo usando tecnología de código abierto.

El hackeo

Un mensaje filtrado a los clientes indicaría que todo comenzó con un hackeo típico, uno prevenible. En una carta, fechada el 1 de abril y publicada en la cuenta de Twitter de Wikileaks, la empresa dijo a los clientes que investigaba una irrupción en su servidor de correo electrónico. Mossack Fonseca no respondió a repetidas solicitudes de comentarios sobre el hecho, aunque Ramón Fonseca reiteró a Reuters que la irrupción había sido “limitada” y denunció una “campaña internacional contra la privacidad”, a pesar de la importante cantidad de datos que había sido extraída de la organización.

Mossack Fonseca está actualmente bajo los reflectores, y es objeto de burlas por sus pobres prácticas de seguridad, así como de fuertes críticas por facilitar la evasión fiscal generalizada, incluso cuando estaban involucrados elementos producto de delitos. Sus mensajes de correo electrónico no estaban encriptados, según el experto en encriptación Christopher Soghoian, mientras que sus sitios web estaban llenos de vulnerabilidades potenciales; prácticamente pedían la incursión de cualquier hacker dispuesto.

Forbes descubrió que la firma usaba en su sitio principal una versión de WordPress que fue liberada hace tres meses, la cual, se sabe, contiene algunas vulnerabilidades, pero resulta más preocupante que el portal usado por los clientes para acceder a datos sensibles corriera sobre Drupal 7.23, una versión liberada hace tres años. Esa plataforma tiene al menos 25 vulnerabilidades conocidas al momento de escribir esto, dos de las cuales pudieron haber sido usadas por un hacker para cargar su propio código al servidor y empezar a pasar la aspiradora en las bases de datos. En 2014, Drupal advirtió de una serie de ataques a sitios web basados ​​en su código, e indicó a los usuarios que cualquier persona que corriera cualquier versión por debajo de la 7.32 luego de siete horas de su lanzamiento debería asumir que había sido hackeada.

Esa vulnerabilidad crítica estuvo abierta durante más de dos años y medio en el sitio de Mossack Fonseca. Sigue siendo una ruta válida para que los hackers obtengan más datos de la empresa y sus clientes. En su sitio, la empresa asegura que “su información nunca ha estado más segura que en el Portal del Cliente seguro de Mossack Fonseca”. Esa afirmación hoy luce un tanto equivocada.

Encriptado crítico

Cualquiera que haya sido la vulnerabilidad aprovechada por el hacker, por lo menos durante un año, la empresa no se dio cuenta de la irrupción, o no emitió una alerta pública. Después de que el intruso robó la información y la mudó a sus propios servidores, hizo contacto inicial con Bastian Obermayer, periodista en Süddeutsche Zeitung (SZ), a través de un chat encriptado. La vía de comunicación pudo haber sido un cliente Jabber, o aplicaciones de Android o iPhone como Telegram o Wickr.

El leaker, usando el nombre de John Doe, dejó en claro cómo se comunicarían de ese punto en adelante. “Hay un par de condiciones. Mi vida está en peligro. Nosotros sólo conversaremos a través de vías encriptadas. No habrá ninguna reunión, nunca”.

Poco después, los datos comenzaron a llegar, aunque no todos a la vez. SZ se coordinó con el Consorcio Internacional de Periodistas de Investigación (ICIJ) para manejar los enormes volúmenes de datos que fluían de forma incremental. En la primera reunión tuvieron que decidir qué hacer con 1 TB.

Se llevaron a cabo reuniones similares hasta que los papeles sumaron 2.6 TB. De acuerdo con Mar Cabra, jefa de la Unidad de Datos e Investigación del ICIJ, los archivos y sus réplicas fueron distribuidos por diversos discos duros encriptados, usando el software VeraCrypt para proteger la información. (Obermayer me dijo que también usó esa herramienta en su PC al manipular los Panama Papers.)

VeraCrypt es un software de código abierto floreciente que muchos ven como una versión más segura de TrueCrypt, que una vez fue ampliamente usado. VeraCrypt fue diseñado por criptógrafos franceses en IDRIX; la versión beta fue lanzada en 2013 para el OS X de Apple, Windows de Microsoft y Linux. Como los desarrolladores de TrueCrypt declararon que ya no darían soporte a su producto, la creación de IDRIX se convirtió en uno de los pocos sucesores que adquirieron popularidad inmediata.

Mounir Idrassi, el desarrollador principal de VeraCrypt, dijo a Forbes, a través de un correo electrónico cifrado, que su software arregló muchas vulnerabilidades descubiertas en TrueCrypt y usa algoritmos más sólidos. Idrassi afirmó que “es prácticamente imposible descifrar un volumen encriptado con VeraCrypt”.

La función de “volúmenes ocultos” permite a los usuarios desbloquear la parte visible y menos sensible de VeraCrypt con una contraseña, mientras que otra es usada para ocultar información sensible. “Es técnicamente imposible probar si hay un volumen oculto”, dijo Idrassi. Dicho mecanismo es importante para la negación plausible; un periodista bajo presión podría entregar la primera contraseña si es presionado, pero no revelar la segunda, usada para acceder a los datos más valiosos.

Pero VeraCrypt aún no ha sido probado. No ha sido auditado por piratas informáticos independientes, como sí lo fue TrueCrypt, que además seguía siendo considerado seguro después de que la compañía dejó de brindar soporte para la plataforma. De acuerdo con Steve Lord, un hacker de sombrero blanco en la empresa británica Mandalorian, el servicio no es suficiente por sí solo para proteger los archivos. “Es necesario que haya procesos asociados a la manipulación y la comunicación de información de forma segura, y yo evitaría conectar a internet cualquier sistema que contenga los datos crudos de los Panama Papers, de ser posible. Hay una gran cantidad de personas que quieren esos datos”, dijo Lord.

De acuerdo con Cabra, sin embargo, el uso de VeraCrypt sólo implicó un problema: un disco se corrompió cuando el lote inicial de datos se estaba migrando. El equipo simplemente tuvo que reiniciar el proceso. En lo que a ella respecta, no ha habido indicación alguna de que esas filtraciones se hayan filtrado de nuevo.

Su llegada a Amazon

Cabra no tenía miedo de almacenar la información en internet. Para que ésta fuera accesible a más de 400 periodistas, Cabra dijo que los archivos fueron subidos a Amazon, un proceso largo, pero no tan lento como el ordenado de datos en formatos de búsqueda.

Todo el software usado fue de código abierto, ajustado a las necesidades de los reporteros. La herramienta de búsqueda, la que permite a los periodistas a la caza de nombres como Putin o lugares como las Islas Vírgenes Británicas, se basa en Solr de Apache, usado por un gran número de organizaciones especializadas en búsquedas, incluyendo DuckDuckGo, una herramienta enfocada en la privacidad. Solr se combinó con Tika de Apache, un software de indexado que puede analizar diferentes tipos de archivos, ya sean PDFs o correos electrónicos, como en los Panama Papers, filtrando el texto de los datos que no son esenciales. En las capas superiores estaba la interfaz, desarrollada usando Blackligth, otro desarrollo de código abierto.

Una vez terminada la plataforma, más de 400 periodistas, que se reunirían en persona en eventos organizados por SZ y el ICIJ a lo largo de 2015 y 2016, sólo necesitarían el link y una contraseña generada de forma aleatoria para empezar a hurgar en los documentos en busca de pistas.

Más allá de la seguridad contra la fuerza bruta para adivinar nombres de usuarios y contraseñas, no había ninguna otra protección de acceso, aunque cualquiera que se comunicara con el sitio lo haría a través de líneas encriptadas usando el protocolo SSL, tal como lo hacen los sitios web protegidos criptográficamente, desde Facebook hasta la banca en línea.

Para entender lo que estaban viendo, los periodistas podían usar la visualización de datos integrada, que corría en una mezcla de tecnología de bases de datos gráficos Neo4j con Linkurious, lo que hizo que el trabajo de hacer conexiones entre archivos fuera más fácil.

Un sitio separado, una “sala de prensa virtual” como la llamó Cabra, incluía una protección extra: la autenticación de dos factores mediante Google Authenticator, que ofrecía  un código adicional que podía ser usado una sola vez para entrar y después introducir la contraseña.

En ese espacio, los reporteros podrían actualizar a sus colegas con sus últimas ideas sobre artículos o reportajes, todos entregados a través de un flujo similar al del timeline de Facebook, aunque también podían hacer uso de la función de chat para facilitar la colaboración. Una vez más, la red social fue desarrollada sobre software de código abierto Oxwall. (ICIJ también crea algunas de sus propias herramientas de código abierto. Su contribución más reciente en Github es una herramienta de línea de comandos para el análisis de contenido.)

Algunos reporteros, incluyendo aquellos en SZ, también usaron Nuix, una herramienta propietaria usada con frecuencia por los cuerpos de seguridad y empresas de auditoría para descubrir evidencia en los repositorios de datos. El CEO de la compañía con sede en Sydney, Eddie Sheehy, dijo que aunque 2.6 TB es mucho, el software de su organización ya había ayudado a buscar en bases de datos de entre 300 y 400 TB de información. Sus clientes incluyen al Servicio Secreto de Estados Unidos, la oficina de Seguridad Nacional estadounidense, la Comisión Europea y el Ministerio del Interior. Nuix se asoció con el ICIJ durante los últimos cinco años. “Descomponemos los datos en su partes más pequeñas y comenzamos a contar historias sobre ellos, ya sea direcciones IP, números de teléfono, nombres de empresas”, dijo Sheehy.

El valor de la criptografía

Todo esto, me dijo Mar, fue diseñado para emplear la criptografía de forma utilizable, algo de lo que todas las organizaciones, incluyendo Mossack Fonseca, podría beneficiariarse. “Los periodistas están cada vez más acostumbrados a usar el cifrado y es cada vez menos y menos complicado”.

Dicho en otras palabras, Mar simplemente podría haber ayudado a coordinar el proyecto de código abierto más importante jamás visto.

Y lo hizo en un momento en que la FBI y diversos gobiernos tratan de instalar puertas traseras en los principales productos de consumo, especialmente el iPhone de Apple. Así, los Panama Papers muestran cuán importante es el cifrado para revelar historias de corrupción que son, sin duda, de interés público.

“Es un orgullo saber que VeraCrypt fue útil para hacer tales revelaciones, sobre todo en el actual clima político en que el uso de la encriptación es vilipendiado en prácticamente todos los medios de comunicación”, agregó Idrassi, quien no sabía que su creación hubiera sido usada en el proyecto de los Panama Papers. “Es importante aprovechar esta oportunidad para educar a las masas y a los políticos por igual, hacerles saber que el encriptado no sólo se utiliza para cosas malas, sino que es algo crítico para los periodistas, activistas de derechos humanos y otros disidentes que viven bajo regímenes represivos.”