Juan Nadie y los Papeles de Panamá

Foto / Gerd Altmann.

Hace apenas tres meses, el bufete de abogados de Panamá Mossack Fonseca fue víctima de la mayor filtración de datos de la historia. Según se ha sabido, un hacker llamado John Doe (Juan Nadie) pudo hacerse con más de 11,5 millones de documentos que vinculan a un gran número de líderes políticos, mediáticos y económicos de todo el mundo con complejas tramas de evasión fiscal, y los puso a disposición del ICIJ, el Consorcio Internacional de Periodistas de Investigación.

Beatriz Martínez / Consultora de Seguridad de la Información y Análisis de Riesgos.

Estamos hablando de 2,6 TB de datos (2.600 Gigabytes) que contienen 11 millones de documentos almacenados (imágenes, documentos ofimáticos y correos electrónicos) de casi 40 años de actividad. Para que nos hagamos una idea de la dimensión de esto, si lo comparamos con el caso similar más conocido, Wikileaks, donde lo extraído apenas superó los 1,7 Gb, se trata de 1.500 veces más datos. Teniendo en cuenta que Wikileaks sucedió en 2010, imaginemos hasta cuándo los Papeles de Panamá pueden seguir aportando nombres.

Aparte de la cantidad de datos, otra de las diferencias de esta filtración con otra muy conocida como la de los programas de vigilancia internacional de la NSA (Agencia de Seguridad Nacional de EEUU) radica en que, en éste último caso, quien filtró los datos –Edward Snowden– lo hizo en nombre propio. Por ello, sabemos que estaba dentro y que tenía acceso a la información que decidió divulgar. Sin embargo, en los Papeles de Panamá conocemos a un tal “John Doe” (un nombre genérico usado en inglés para entornos de pruebas y similar a nuestro “Juan Nadie”) que bien podría haber actuado acompañado o bien se trataba de un hacker que realizaba un escaneo rutinario de servidores y se encontró con un agujero de seguridad de tal calibre que le permitió conseguir la información.

Lo que es indudable es que, para mover esa enorme cantidad de datos, tanto desde dentro como desde fuera, es necesario hacerlo durante un periodo de tiempo prolongado para no despertar sospechas. Imaginemos qué pasaría si nosotros dejamos una ventana de nuestra casa abierta durante más de un año. Al intruso le costaría más sacar todos nuestros muebles por ahí que si fuera por la puerta pero, disponiendo de tiempo y sin que nadie se percatara, al final nos acabaría limpiando hasta las bombillas ¿O no?

Ejemplo de transparencia

El caso es que el tal John Doe (que no sabemos aún si estaba dentro o fuera) contactó con uno de los periodistas del ICIJ y, usando canales de información cifrados, que bien podrían ser herramientas tipo chat como Telegram o el propio chat de un Iphone –nunca de forma presencial, aseguran–, fue poniendo a disposición de esta red los 2,6 Tb de datos que fueron cuidadosamente almacenados en discos duros, también cifrados. Estos soportes estaban permanentemente en los macutos de los miembros del equipo, ante el temor de que les fueran interceptados. La operación no había hecho más que empezar, puesto que la parte más delicada consistía en almacenar toda esa información de forma adecuada y segura, para posteriormente clasificarla, etiquetarla y hacerla accesible a los miembros del grupo de investigación.

Por tanto, el siguiente paso que el consorcio dio, asesorado por un solvente equipo de ingenieros informáticos, consistió en “transportar”, a través de Internet pero de forma también cifrada, esta información a una nube privada de servidores (un espacio virtual privado en Amazon). Aún quedaba lo más difícil: interpretar todo el contenido.

¿Por qué es lo más difícil? Solo tenemos que fijarnos en los documentos que están apareciendo en los medios. Se trata de actas e informes que incorporan firmas que, precisamente, están sirviendo para demostrar su autenticidad y, sobre todo, para que podamos identificar a muchos de los nombres que han aparecido estos días. Pero que precisamente aportan una enorme complejidad a la hora de extraer la información que contienen puesto que se trata de documentos PDF (escaneos de esos documentos firmados). Si a ello unimos que existían también un número muy elevado de ficheros almacenados en carpetas, además de mensajes de correo electrónico, nos daremos cuenta de lo heterogéneo de la mezcla, lo que añade una inmensa complejidad a la hora de interpretar su contenido y relacionarlo entre sí para poder extraer conclusiones.

Para buscar una comparación similar, intentemos hacer el ejercicio de pensar en la cantidad de imágenes nuestras que pueden pulular por Internet sin que nosotros seamos conscientes de ello. La única forma que tendríamos de saberlo –nosotros y cualquiera– sería etiquetándonos, asociando nuestro nombre a esa imagen, para poder después relacionarlo con fechas, lugares o comentarios adicionales. Solo tenemos que pensar en la rabia que a muchos nos da cuando un amigo o conocido hace esto mismo en una de las redes sociales más conocidas. Si antes la única forma de saber que nosotros habíamos estado allí sería viendo la fotografía, ahora es tan sencillo como poner nuestro nombre en el buscador y ver la cantidad de fotos en las que aparecemos, todas ellas asociadas a un sitio o un evento concreto, donde además hay más personas que pueden corroborarlo puesto que estaban en la foto y también han sido etiquetadas.

Pues bien, lo que ocurría en este enorme banco de datos de los Papeles de Panamá era que había que encontrar la forma de buscar y etiquetar el contenido de 11,5 millones de documentos, para posteriormente indexarlo y procesarlo de forma que fuese fácilmente localizable. Y, como uno puede imaginarse, esta labor fue la más lenta y tediosa, pero también la más fructífera. Y la tarea fue realizada por una considerable arquitectura de programas y herramientas que fueron los encargados de identificar, estructurar y almacenar de forma ordenada todos los datos que permitían encontrar un documento con solo introducir una de las palabras que aparecían en él. Algo similar a lo que hace Google, pero reducido a los 2,6 Tb de información que se encontraban en los servidores de Amazon. Pero lo mejor de todo es que esta arquitectura informática fue construida por herramientas de software libre, cuyos nombres y metodología fueron puestos posteriormente también a disposición de la comunidad internacional, al igual que la información que permitieron descifrar. Un ejemplo de transparencia para quitarse el sombrero.

Tecnología y nuevo periodismo

El paso final consistió en dotar a este mega-buscador o hemeroteca de los Papeles de Panamá de las medidas suficientes para que el acceso por parte de los 400 periodistas fuese seguro y discreto. Para ello, se cifró mediante https el espacio de almacenamiento y se dotó a los usuarios con acceso de una autentificación de doble factor. O, lo que es lo mismo, algo similar a lo que tenemos que hacer los usuarios de banca electrónica cuando accedemos a nuestra cuenta: fijarnos en el candadito verde del navegador para darnos cuenta que todos los datos que enviemos a nuestro banco no son legibles por los “malos” que andan por Internet, e introducir un segundo pin cuando vamos a realizar una transferencia.

Se trata de una obra maestra de colaboración entre desarrolladores y periodistas. Es una nueva forma de hacer periodismo contando con una tecnología accesible y a disposición de todo el mundo pero, a la vez, con unas dosis enormes de brillantez a la hora de dotar a toda la infraestructura de una serie de medidas de seguridad (más basadas en el sentido común que en el derroche), algo que precisamente fue el talón de Aquiles de Mossack Fonseca, más centrado en la ingeniería financiera que en la informática.

Y el caso es que todo esto no hubiera sido posible sin John Doe. En los países anglosajones, desde hace tiempo, existe la figura del whistlebower, que es el término con el que se conoce a la persona que revela o pone en alerta a la compañía acerca de un hecho interno que puede constituir delito o riesgo de comisión de un delito. Pero, en el caso que nos ocupa, el Juan Nadie de los Papeles de Panamá, bien puede haber sido un whistlebower al que nadie escuchó en su empresa, o bien alguien que no tenía nada que ver con ella, pero pasaba por allí y vio esa “ventana abierta”. Lo que es irrefutable es que la figura del whistlebower ha llegado para quedarse, amparada entre otros por la reciente modificación de nuestro Código Penal. Y el nuevo periodismo, también.

PUBLICADO EN ATLÁNTICA XXII Nº 44, MAYO DE 2016