¿Qué pasa si no actualizas tus plugins? La lección de los "Panamá Papers" 10 años después

Noticias de Tecnología
1

Un plugin sin actualizar: La filtración que sacudió al mundo hace 10 años

Han pasado 10 años desde que los Papeles de Panamá explotaron en los titulares del mundo. En abril de 2016, más de 11 millones de documentos confidenciales se filtraron de una firma de abogados llamada Mossack Fonseca, revelando cómo los ricos y poderosos ocultaban su dinero en paraísos fiscales.

La filtración provocó renuncias, investigaciones y un escándalo global. Pero detrás de todo, la causa no fue una operación cibernética ultra sofisticada.

Fue algo mucho más simple: un plugin de WordPress que no se actualizó.

Hoy, una década después, esta historia nos recuerda cómo algo tan pequeño como ignorar una actualización puede terminar en una catástrofe.

Vamos a ver paso a paso cómo ocurrió, qué salió mal y por qué es tan importante mantener tus sitios y plugins actualizados.

La primera puerta: un plugin desactualizado

El punto de entrada fue un plugin de WordPress muy popular llamado Slider Revolution (también conocido como RevSlider). Sirve para crear sliders de imágenes en páginas web.

En 2014, se descubrió una vulnerabilidad grave (identificada como CVE-2014-9735) en este plugin. Permitía a los atacantes descargar cualquier archivo del servidor, incluyendo archivos confidenciales.

El problema fue corregido rápidamente. Pero Mossack Fonseca nunca actualizó el plugin.

Para finales de 2015, el sitio web de la empresa en Panamá seguía usando una versión vulnerable. Los hackers lo detectaron y aprovecharon esta falla conocida para ingresar.

El mapa del tesoro: wp-config.php

Gracias a la vulnerabilidad del plugin, los atacantes descargaron un archivo llamado wp-config.php. Este archivo es como el mapa del tesoro de WordPress: contiene el nombre de la base de datos, el usuario y la contraseña, todo en texto plano.

Con esta información, los atacantes ingresaron a la base de datos de WordPress y comenzaron a explorar. Y lo que encontraron fue aún mejor para ellos.

Mossack Fonseca tenía plugins que almacenaban las credenciales del servidor de correo dentro de la base de datos de WordPress, también sin cifrar. Esto les dio acceso al servidor de correos electrónicos de la empresa.

Un paso lleva al otro

El servidor de correos estaba alojado en la misma dirección IP que el sitio web, probablemente en el mismo servidor físico.

Eso significaba que los atacantes podían conectarse fácilmente y acceder usando las credenciales robadas.

Desde ahí, pudieron leer años de correos, archivos adjuntos y comunicaciones internas.

Y no se detuvieron ahí. También apuntaron a otro punto débil: el portal de clientes, que estaba construido con Drupal, otro sistema de gestión de contenidos.

La segunda puerta: un sitio de Drupal sin actualizar

El portal estaba completamente desactualizado. Mossack Fonseca no lo había actualizado desde 2013.

En octubre de 2014, Drupal lanzó un parche para un bug crítico —una vulnerabilidad de inyección SQL conocida como “Drupalgeddon”. Permitía a un atacante tomar control total del sitio web con una sola petición.

Otra vez, Mossack Fonseca no aplicó la actualización.

Los hackers explotaron esa falla también y accedieron a documentos confidenciales que los clientes habían subido: pasaportes, contratos, información bancaria, etc.

Todo esto… por no actualizar

Cuando ves todo el panorama, el patrón es clarísimo:

  • Un plugin vulnerable de WordPress fue la puerta de entrada.
  • Desde ahí encontraron datos sin proteger.
  • Accedieron al servidor de correos.
  • Luego entraron al portal de clientes en Drupal, también sin actualizar.

Cada sistema tenía vulnerabilidades conocidas con soluciones disponibles. Pero nadie en la empresa las había aplicado.

Esto no fue un ataque súper avanzado. Fue simplemente una falta de mantenimiento básico.

¿Por qué esto sigue importando en 2025?

Es fácil pensar que esto ya es historia vieja. Pero este tipo de errores siguen pasando todos los días.

Cada año, los hackers escanean la web buscando sitios WordPress con plugins o temas sin actualizar. Si tu sitio tiene alguna falla conocida, eres un blanco fácil.

Y no es solo WordPress. También Joomla, Drupal, Magento, Discourse… cualquier CMS popular necesita mantenimiento constante. Incluso los plugins que ya no usas pueden convertirse en un agujero de seguridad.

Lecciones que podemos aprender

Tanto si administras un blog personal, una tienda online o un portal para clientes, estas son algunas prácticas clave para evitar desastres:

:white_check_mark: Mantén todo actualizado

Actualiza WordPress, tus plugins, tus temas —todo. La mayoría de los ataques aprovechan vulnerabilidades conocidas. Activa las actualizaciones automáticas si puedes.

:locked_with_key: No guardes contraseñas en texto plano

Si tu sitio necesita almacenar credenciales, asegúrate de que estén cifradas. Muchos plugins guardan las contraseñas del correo en texto plano, y eso es un riesgo enorme.

:door: No pongas todo en el mismo servidor

Separa tu sitio público de tus sistemas internos. No alojes el servidor de correos junto al WordPress. Si uno es atacado, el otro puede mantenerse seguro.

:brick: Limita el acceso

Usa contraseñas distintas para cada servicio. No des más permisos de los necesarios. Aplica el principio de “mínimo privilegio”.

:woman_detective: Vigila tu sitio

Instala herramientas para detectar comportamientos sospechosos: cambios de archivos, inicios de sesión raros, descargas masivas. Cuanto antes lo detectes, mejor.

No fue el único caso

Mossack Fonseca no fue el único que cayó por no mantener sus sistemas:

  • Equifax (2017): No parchearon un bug en Apache Struts. Se filtraron datos de 147 millones de personas.
  • WannaCry (2017): Un ransomware se propagó por una vulnerabilidad de Windows que ya tenía parche disponible.
  • Marriott / Starwood (2018): Falta de segmentación y software viejo provocaron una filtración de 500 millones de registros.

Todo esto demuestra que hasta las grandes empresas pueden cometer errores básicos y pagar un precio enorme.

Conclusión

Los Papeles de Panamá sacudieron al mundo y expusieron redes de evasión fiscal, corrupción y dinero oculto.

Pero también nos dejaron una lección mucho más técnica, y aún más relevante hoy: mantén tus plugins actualizados.

Diez años después, este consejo sigue siendo válido. Si manejas un sitio web (especialmente con WordPress), no ignores esas notificaciones de actualización.

Ese pequeño botón de “Actualizar ahora” puede ser todo lo que te separa de un desastre digital.

Fuentes: