‘Los papeles de Panamá’ o cómo hacerlo fatal en seguridad IT

El caso denominado «Los papeles de Panamá» lleva copando la actualidad informativa desde hace unos días (y lo que queda). El escándalo salió a la luz a raíz de que se publicaran los datos de muchos clientes del bufete panameño Mossack Fonseca, que se obtuvieron a partir de un ataque informático contra la empresa. Al parecer, este ataque, que ha revelado más de 11,5 millones de correos electrónicos y documentos, tiene su origen en que el bufete no contaba con las medidas de seguridad necesarias para proteger el acceso a los archivos de sus clientes. Además, su web utilizaba una versión antigua de un popular CMS, empleaba plugins desactualizados, etc.

Así, gracias a estas y otras deficiencias en seguridad, los hackers lograron acceder al servidor en el que estaba los documentos sustraídos, que contenía información de más de 214.000 empresas y sociedades opacas, de las que eran propietarios, o participaban en su gestión, desde líderes políticos internacionales hasta numerosas personalidades de ámbitos tan dispares como el deporte, la cultura o la economía.

Lo sucedido ha levantado una auténtica polvareda en el mundo empresarial, puesto que se teme que casos como este sean cada vez más comunes en un futuro no muy lejano. Muchos se preguntan qué pueden hacer para evitarlo, y qué mecanismos existen en la actualidad que sean capaces de evitar que archivos con información confidencial sean sustraídos y puedan acabar saliendo a la luz pública o en manos de terceros con malas intenciones.

La respuesta a estas preguntas está en las soluciones de tipo IRM (Information Rights Management, o Gestión de los Derechos de la Información). Con ellas se puede proteger cualquier documento mediante permisos, además de compartirlos con otros de manera segura y exenta de complicaciones. En resumen, que solo puede acceder a ella quien esté autorizado por el creador del archivo que la contiene. Además, si en cualquier momento se desea que una persona deje de tener acceso a un documento, sólo hay que retirarle los permisos. Y si el dispositivo en el que está guardado sufre un robo, basta con cambiar la contraseña de usuario para que los archivos que contiene sean inaccesibles desde entonces.

A este respecto, Javier Modúbar, CEO de Ingecom, recomienda tener en cuenta que en un entorno empresarial «lo primero es y debe ser la seguridad«. Modúbar es consciente de que no se puede proteger un sistema por completo, pero las soluciones existentes en la actualidad sí que permiten proteger el core del negocio y crear conciencia, así como reconocer y evitar al delincuente: «La estrategia de seguridad de una empresa de cualquier sector debe ser de 360º, es decir, no sólo vale utilizar defensas tradicionales de seguridad que se han implementado pensando en proteger las organizaciones desde dentro (NGFW, IPS, DLP, Gateway Web-Correo, antivirus, SIEM, NAc, etc.), sino que hay que plantearse que la información, que es el activo más importante de toda organización, debe ser protegida con tecnología IRM«.