Caso Mossak Fonseca (Panama Papers) y Drupal, ¿Hackeado? ¿Qué pudo haber pasado?

Disclaimer: Este post está basado en suposiciones y comentarios de foros en internet. Nada de lo mencionado debe considerarse como un hecho confirmado, pero queremos resaltar puntos clave que detallaremos a continuación.

Contexto del Caso Mossack Fonseca

Si no estás familiarizado con el caso Mossack Fonseca, también conocido como "Panama Papers", te recomendamos leer este artículo para entender mejor de qué se trata: Claves para entender el caso Mossack Fonseca.

En resumen, el caso Mossack Fonseca es el mayor data breach de la historia, que incluye más de 4.8 millones de correos electrónicos, además de una gran cantidad de documentos. Se cree que los correos electrónicos de Mossack Fonseca fueron obtenidos a través de un sitio en Wordpress, mientras que los documentos fueron probablemente accesibles gracias a un portal en Drupal. Para más detalles, puedes consultar esta referencia.

Drupal en el Caso Mossack Fonseca

Según un cliente de la firma, el portal para clientes de Mossack Fonseca era: https://portal.mossfon.com/. Este portal estaba descrito como:

"El Mossfon Client Information Portal es una cuenta en línea segura que permite acceder a tu información corporativa desde cualquier lugar, con actualizaciones en tiempo real sobre tus solicitudes pendientes."

La versión de Drupal que estaba operando en el sitio al momento del ataque era Drupal 7.23, que en ese entonces tenía reportadas 23 vulnerabilidades (actualmente 31). Para ver más detalles sobre estas vulnerabilidades, puedes consultar este enlace.

Cabe mencionar que esto se refiere únicamente al core de Drupal, sin contar las vulnerabilidades que pudieran existir en los módulos contribuidos. Un punto evidente de que Drupal estaba en esa versión era que se podía acceder al changelog del sitio a través de un archivo en: https://portal.mossfon.com/CHANGELOG.txt, aunque ahora este archivo ha sido bloqueado.

Fuente: Wordfence.

Sin embargo, parece que solo bloquearon este archivo, ya que otros archivos como el INSTALL.txt aún estaban disponibles, lo que revela más información sobre la instalación básica de Drupal. Estos archivos deben ser protegidos o eliminados, y su exposición indica una posible vía de entrada para el ataque.

¿Qué Puedo Hacer si Tengo Drupal o una Plataforma Similar?

Es importante reconocer que los programadores no son perfectos y, por lo tanto, es normal que con el tiempo surjan fallas de seguridad en el software. Esto no solo ocurre en plataformas web como Drupal, sino también en sistemas operativos, aplicaciones móviles, de escritorio, etc. Por ejemplo, ¿recuerdas el celebrity breach de iCloud? Aquí te dejamos más información al respecto.

Drupal tiene una comunidad que se toma muy en serio la seguridad, respaldada por el Drupal Security Team, que trabaja para identificar y resolver problemas de seguridad en la plataforma. Además, Drupal.org recientemente incorporó un ícono de escudo en los módulos contribuidos, lo que indica que han sido inspeccionados por el equipo de seguridad de Drupal. Puedes ver un ejemplo en el proyecto Panels en Drupal.org.

Medidas para Mejorar la Seguridad en tu Plataforma

Si trabajas con Drupal o cualquier otra plataforma, puedes seguir estos pasos para mejorar la seguridad de tu sitio:

• Mantener el core y los módulos actualizados: No es necesario actualizar todos los módulos a la última versión, pero sí es crucial instalar las actualizaciones de seguridad cuando se liberen, tanto para el core de Drupal como para los módulos contribuidos. No hacerlo deja tu sitio vulnerable a ataques.
• Evitar exponer archivos con información crítica: Como ocurrió con Mossack Fonseca, archivos como el changelog.txt y los response headers pueden revelar detalles de la plataforma utilizada. Es importante proteger esta información o eliminarla si no es necesaria.
• Forzar el uso de HTTPS en los formularios de login: Si tu sitio tiene formularios de login, es fundamental que utilices HTTPS para asegurar una conexión cifrada y proteger las credenciales de los usuarios.

Estas son solo algunas de las configuraciones básicas que puedes implementar, pero hay muchas más acciones que puedes tomar para fortalecer la seguridad de tu sitio.

Si tienes dudas o necesitas más información sobre cómo asegurar tu sitio web, no dudes en contactarnos.

Fuentes:

• Drupal Security Team
• Wordfence: Panama Papers - Wordpress Email Connection
• Wired: Panama Papers - Mossack Fonseca Website Security
• The Register: Panama Papers Unpatched Wordpress, Drupal Likely Suspects
• SC Magazine: Mossack Fonseca Breach - Wordpress Plugin, Drupal Likely Suspects

Te recomendamos este video