El domingo 3 de abril, a las ocho de la tarde y de forma coordinada, 78 medios de comunicación del todo el mundo comenzaron a hacer pública la mayor filtración periodística de toda la historia: los papeles de Panamá. Desde entonces y a cuentagotas no ha habido un día en el que no hayamos conocido un nuevo nombre que haya utilizado al bufete de abogados panameño Mossack Fonseca para crear sociedades opacas y ocultar su patrimonio en sociedades situadas en paraísos fiscales.

Los nombres salen, y saldrán, a cuentagotas porque se han filtrado 11,5 millones de documentos y hace falta mucho tiempo para analizarlos. Toda esa información pesa 2,6 teras. O lo que es lo mismo 2.662 de esos pendrives o USB de 1 giga que tenemos por casa. Por eso también, el periódico alemán Süddeustsche Zeitung, que fue el primero que recibió tan ingente volumen de datos, se alió con otros 77 medios de comunicación para analizar todos los documentos.

Pero ¿cómo se ha producido la mayor filtración periodística de toda la historia? Se sabe que ha sido una sola persona la que ha conseguido toda la información. Pero ¿cómo logró hacerse con ella? De una forma bastante sencilla. A través de las webs de Mossack Fonseca que no tenían actualizados un par de programas que son gratuitos. Sí, gratuitos. El despacho gana ingentes cantidades de dinero, ayuda a miles y miles de personas a camuflar su patrimonio, pero no es capaz de actualizar un par de programas gratis. En fin.

El despacho de abogados tiene dos webs. Una le sirve de escaparate para mostrar los servicios que ofrece y otra la utiliza para estar en contado con sus clientes de forma privada. La primera estaba realizada con WordPress y la segunda con Drupal, dos plataformas gratuitas para crear páginas webs. La primera es la más utilizada en el mundo. El 25% de todas las webs están hechas con este gestor de contenidos.

La persona que filtró los documentos accedió a estas páginas porque tenían numerosos fallos de seguridad al llevar años si actualizarse. Las actualizaciones son gratis. La primera de las webs tenía, al menos, tres vulnerabilidades. La versión de WordPress no se actualizada desde 2014. La plantilla de la web también llevaba tres años sin modificarse. Además, esta página usaba el plugin Revolution Slider. Los plugins son sencillos programas que se añaden para aumentar las funcionalidades de la página. En este caso, este plugin lo que hace es mostrar un carrusel de imágenes en la parte superior de la web. El plugin estaba sin actualizar y tenía una vulnerabilidad desde hacía varios años. En los tres casos, actualizar los componentes es gratis y solo es necesario un clic.

Con la web que estaba hecha con Drupal ocurrió algo similar. También estaba sin actualizar desde hacía tres años lo que provocó que fuera bastante sencillo acceder al sistema. Tenía al menos 25 vulnerabilidades por las que pudo colarse el filtrador de los documentos. Mossack Fonseca tampoco actualizaba el programa que utiliza para enviar y recibir los correos desde 2009. Sí, más de siete años. El despacho acaba de colocar un firewall, un sistema de protección para que nadie vuelva a acceder a sus webs. Pero la medida llega tarde. Bastante tarde. 11,5 millones de documentos dan para mucho.

La historia trae dos moralejas. La primera es que siempre hay que tener actualizados los programas. Y la segunda es que si el despacho panameño cuida las inversiones opacas de sus clientes de la misma forma que ha cuidado la seguridad de sus datos más de uno debería pensar en cambiar de gestores.