ENTREVISTA: El correo electrónico que puso en apuros a Mossack Fonseca

El abogado de la firma dice que el mensaje es la prueba reina de la intromisión de un hacker a la base de datos. Los tiempos y la declaración de "John Doe" contrastan con la evidencia

En el mes de febrero de 2016, un periodista extranjero contactó por correo electrónico a un cliente de Mossack Fonseca. En el mensaje incluyó un adjunto que refería una sociedad anónima del cliente. La imagen era una reproducción exacta del archivo ubicado en el sistema informático de la firma, al igual que el contenido acerca de la offshore en cuestión. El hecho fue la ‘tapa del coco’, la prueba contundente de que la oficina había sido hackeada en su sistema informático. “Este periodista comete el desatino de solicitar la información del cliente sobre sus acciones en la empresa tal cual estaba constituida en la jurisdicción que le correspondía. Le envió la prueba, y era un ‘screen shot’ o captura de pantalla, de lo que se ve físicamente en la pantalla del software interno de la firma”, dice con asombro Elías Solano, abogado de la firma Mossack Fonseca. Mossack Fonseca corroboró que había sido “hackeada” a finales de febrero de 2016. Y su tesis cuenta con un aval firme.

Un informe del Ministerio Público elaborado por el perito Luis Rivera, director de la sección de Informática Forense del Instituto de Medicina Legal y Ciencias Forenses, que indica -palabras más o menos- que hubo un ingreso indebido al servidor de datos de la firma por parte de terceras personas no autorizadas para esta labor, lo que normalmente se denomina como hackeo de la información. No obstante, los tiempos señalados por la firma, contrastan con las revelaciones efectuadas por el Consorcio Internacional de Investigación Periodística (ICIJ por sus siglas en ingles) que asegura que le tomó aproximadamente un año analizar la masiva documentación junto a periodistas de todas parte del mundo antes de que se publicara el 3 de abril de 2016. No olvidemos que el primer medio en recibir la documentación fue el diario alemán Sueddeutsche Zeitung, que después de examinar el volumen de los datos, decidió compartirlos con el Consorcio para su publicación. Sin embargo, un factor sorpresivo se adicionó recientemente. El autor de los hechos habló por primera vez para explicar por qué obtuvo los documentos de la firma en forma ilícita John Doe, la fuente que proporcionó los 11.5 millones de documentos de la firma, se define a sí mismo como un "whistleblower", "soplón" o denunciante, pero no como un hacker. Según su relato, antes de que el diario alemán recibiera los papeles, se presentó ante varios grandes medios de comunicación que prefirieron no publicarlo, incluso Wikileaks no respondió a su llamado en varias ocasiones. La declaración de John Doe titulada “la revolución será digitalizada”, publicada en la página www.connectas.org, expresa que los Papeles de Panamá son la respuesta a una penetrante y masiva corrupción. Solano habló con La Estrella de Panamá sobre la forma en que fue penetrada la empresa, y cómo reaccionó el equipo informático de la firma cuando se percató de lo ocurrido.

¿El bufete asegura que se trató de un hackeo, pero que hay de las declaraciones de John Doe?
Las afirmaciones que supuestamente manifiesta esta persona que no da la cara, indicando que está indignada pero que esa indignación no le es suficiente como para hablar de frente, eso es muy fácil, cualquiera lo puede hacer sin revelar su identidad. Lo segundo es el tema de cómo se obtuvo la información a la que él tuvo acceso, afirmando que a sus manos llegó en algún momento. Se trata de una información obtenida de forma ilegal, a través de los peritos del Ministerio Público que son quienes han practicado inspecciones oculares al equipo donde están los servidores y han determinado que existieron ingresos irregulares y accesos indebidos por parte de personas que no estaban autorizadas para ejercer esas labores.

¿Cuáles son las pruebas idóneas que acreditan el hackeo?
El Ministerio Público ha desarrollado tres inspecciones oculares y a través de ellas consta, en una de esas actas, la conclusión de un perito del Instituto de Medicina Legal y Ciencias Forenses que a su criterio, parafraseando el escrito, indica que es evidente que nos encontramos ante un ingreso indebido al servidor de datos por parte de terceras personas no autorizadas para esta labor, y que la actividad constituye lo que normalmente se denomina como hackeo de la información. Eso es un documento técnico.

¿Ese perito pudo determinar una fecha precisa del hackeo?
Varias fechas. Todas fueron de este año. Enero, febrero y marzo. Recuerde que nosotros presentamos la denuncia un 10 de marzo. Antes de esa fecha ya habían existido ingresos e incluso con posterioridad a esa fecha. El comportamiento del uso indebido provocó una mayor atención a los ingresos y ahí fue donde se pudo evidenciar la existencia de estos accesos indebidos a través de una cantidad de ‘hits’, abiertamente exagerada que no corresponden al uso normal.

Durante esos intentos, ¿qué cantidad de información se sustrajo o cómo ocurrió la fuga de información?
Los hits que se detectaron fueron intentos de acceso de información en los que ya no se pudo extraer nada porque la firma ya estaba anuente a esta situación.

¿Quién hace este monitoreo, un empleado dentro de la firma o un tercero?
Existe un departamento interno a cargo de un profesional competente que tiene un equipo de trabajo a su cargo y equipo tecnológico de punta, además los soportes externos son monitoreados por el departamento de IP (Protocolo de Internet) desde su creación.

¿Cuál fue la alerta que hizo en enero el mayordomo de los datos?
La firma comenzó a recibir una cantidad inusual de solicitudes de información de periodistas extranjeros y de clientes que hacían referencia a información de manejo privado. Con la sorpresa de que las inquietudes referían temas totalmente privados y eso nos hizo intuir que era algo inusual por tratarse de información abogado-cliente. De esa forma, lo único lógico es que estos periodistas hubieran tenido acceso a esta información de alguna forma: vía hackeo, liqueo, o fuga de información por múltiples formas. Ese fue el punto que nos hizo sospechar.

¿Pero, y antes? ¿Qué clase de monitoreos hizo la firma?
Las personas que se dedican a este tipo de actividad, hackers, conocen muy bien su trabajo. Saben cuáles son los horarios de mayor vulnerabilidad de los equipos ya que están protegidos mediante tecnología de punta. Sin embargo, estos ladrones cibernéticos estudian por meses o por años los equipos.

¿Qué dice el mayordomo de la fuga de datos ocurrida?
Bueno se hicieron todas las inspecciones. Participamos en reuniones, se hicieron las investigaciones y de inmediato se presentó la querella.

¿En enero de qué se dieron cuenta entonces?
A finales de febrero fue eso.

¿Cuánto tiempo se tardó el hacker en recopilar los archivos?
No sabemos, esa es una información que está en el Ministerio Público. Yo se que se ha dicho mucho, de que dos teras extraerse toma demasiado tiempo y se hubiese notado. Eso se dice muy fácil. Este tema del ciberespacio es un mundo en desarrollo.

¿El reporte del director de seguridad de la firma cada cuánto tiempo se hace?
Esa es una información que por temas de seguridad no le puedo responder.

¿Cada cuanto tiempo hacían transferencias de información física?
Los backups son diarios. Son respaldos.

¿Pero hacían transferencia de la información en forma física?
Esas son cuestiones técnicas que hacían parte de los protocolos de seguridad de la firma.

¿Quién auditaba los reportes de seguridad?
El departamento de IP de la oficina está a cargo de una persona de mucha experiencia que se llama Luis Martínez, es una catedrático de años de experiencia y tiene su protocolo de seguridad y actualización que maneja y esa información no se la puedo dar. Consta en el expediente que se violó la seguridad informática.

¿Alguna firma externa los auditaba?
Eso consta en el expediente, no le puedo responder por seguridad del cliente.

¿Quién guardaba esas auditorias?
Pues lo que yo conozco, la firma. El departamento de IP de la firma que es muy completo y actualizado en lo que tiene que ver con técnicas de protocolo y de seguridad informática.