Cómo la tecnología ha hecho posible la mayor filtración de la historia

Todo empezó con una filtración masiva y un homenaje a Star Trek. La primera vació los servidores de la firma panameña Mossack Fonseca, dando lugar a lo que vendría después: el proyecto Prometheus. Fue el nombre 'trekkie' de nave espacial que utilizaron desde el comienzo los miembros del Consorcio Internacional de Periodistas de Investigación (ICIJ, en sus siglas en inglés) cuando se hicieron con los 11,5 millones de documentos. Jamás se habían enfrentado a un reto de semejante envergadura: 2,6 terabytes de datos. La mayor filtración de la historia. ¿Cómo meter mano y digerir tal volumen de información hasta su publicación final sin comenter ni un solo error de seguridad que hiciera fracasar la iniciativa? La respuesta: talento y, sobre todo, mucha, mucha tecnología.

Más de 370 periodistas y decenas de programadores en 76 países trabajando en 25 idiomas. Así es como el ICIJ, en colaboración con 109 medios, en España El Confidencial y La Sexta, ha destapado los documentos de una de las mayores fábricas de sociedades 'offshore', el despacho de abogados panameños Mossack Fonseca. Las revelaciones han generado un terremoto político en cientos de países. Pero llegar hasta aquí no ha sido fácil. La logística que ha hecho esto posible es digna de una película de espionaje: 'hackeos', discos duros cifrados, 'software' de visualización, aplicaciones encriptadas de mensajería...

Empezamos a analizar las primeras tandas de datos en local, en discos duros cifrados. Viajaban con nosotros de un lado a otro

"Sin la tecnología nada de esto habría sido posible", explica a Teknautas Mar Cabra, responsable de la unidad de datos e investigación del ICIJ y encargada de crear la infraestructura humana y tecnológica necesaria para bucear durante un año en los documentos filtrados. Curiosamente, todo comenzó gracias a la tecnología o, más bien, a la ausencia de ella: un supuesto 'hackeo' a los servidores de Mossack Fonseca, gracias en buena parte a las pobres medidas de seguridad de la compañía. La firma de abogados no empleaba emails cifrados y, según descubrió Forbes, su web se basaba en una versión antigua de Wordpress plagada de vulnerabilidades. Su servidor web no estaba protegido tras un 'firewall' y, además, utilizaba la misma red que el servidor de email. Un 'hacker' mínimamente avezado podía entrar hasta la cocina.

Y eso, según Mossack Fonseca, justo lo que ocurrió. La identidad de quien obtuvo los documentos sigue siendo - afortunadamente - un misterio. Utilizando el nombre anónimo por excelencia, John Doe, esta persona contactó vía email cifrado con los periodistas Bastian Obermayer y Frederik Obermaier, del diario alemán Süddeutsche Zeitung. Semanas después, en abril del 2015, Bastian y Frederik, conscientes del impacto global de la historia, entregarían los primeros archivos al ICIJ. Arrancaba así la mayor filtración (e investigación) periodística de la historia.

De los discos cifrados a la nube

La información confidencial de Mossack Fonseca comenzó a circular entre los primeros miembros del ICIJ en discos duros cifrados.

"Empezamos a analizar las primeras tandas de datos en local, en discos duros. Para cifrarlos utilizamos el 'software' VeraCrypt. Estos discos viajaban literalmente con nosotros de un lado a otro", explica Cabra. Ella y su equipo se encontraron pronto con el primer problema: los documentos llegaban poco a poco, en tandas. Además, había millones de imágenes y PDFs que no eran buscables. Traducido: era necesario convertirlos a un nuevo formato. Más aún: ¿cómo hacer accesible toda la información de forma segura al ejército de más de 370 periodistas en 76 países para distribuir el esfuerzo de búsqueda y crear un proyecto global? La solución: internet.

El ICIJ recurrió a entre 30 y 40 servidores de Amazon para subir a la nube de forma cifrada la información que iba recibiendo, y también para procesarla. Es decir, para convertirla a un formato buscable utilizando tecnología OCR ('Optical Character Recognition', en sus siglas en inglés).

"Fue uno de los pasos clave. Utilizamos Apache Solr y Apache Tika para el proceso OCR de transformar documentos no buscables en documentos indexables", explica a Teknautas Miguel Fiandor, uno de los programadores del ICIJ encargado de crear el 'cerebro' tecnológico que permitiría bucear entre los 11,5 millones de documentos.

Junto a él, los programadores Rigoberto Carvajal y Matthew Caruana Galizia consiguieron algo que al inicio parecía imposible: crear una herramienta web, una especie de Google cifrado y seguro, al que los periodistas tendrían acceso para descubrir quién había estado evadiendo impuestos a través de Mossack Fonseca.

Un 'Google', un 'Facebook' y un visualizador

Una vez convertidos los documentos a un formato buscable, quedaba el siguiente obstáculo: distribuir la información de forma segura entre la red global de periodistas. La plataforma clave que lo permitió fue Blacklight, una capa de 'software' por encima de las tripas de Apache Solr y Tika que, básicamente, funcionaba como un Google personalizado y seguro.

"Blacklight nos permitía buscar nombres para ver si aparecían. Podías utilizar comillas o palabras encadenadas; también buscar metadatos, fechas de envío de emails, lugares... Permitía hacer búsquedas masivas, subiendo por ejemplo un archivo con los nombres de los 350 diputados de un país y ver quién aparecía; o buscar datos concretos, como números de pasaporte o DNIs. Era una cuestión de combinar un montón de variables para encontrar patrones", explica Jesús Escudero, periodista de datos de este diario que trabajó durante meses en los papeles de Panamá.

Al introducir un nombre, por ejemplo, Pilar de Borbón, te aparecían todas las sociedades y nombres relacionadas con ella

Junto a Blacklight, otras dos plataformas fueron fundamentales en el proyecto. Por un lado, Global iHub, una especie de Facebook donde los más de 370 periodistas colaboraban colgando hallazgos que habían realizado, haciendo preguntas, respondiendo, ayudando... Una redacción global y virtual en toda regla. La otra plataforma clave fue Linkurious, una herramienta de visualización mediante nodos que permitía destapar patrones entre los datos. "Al introducir un nombre, por ejemplo, Pilar de Borbón, aparecían gráficamente, en una nube de conexiones, todas las sociedades y nombres relacionadas con ella en los papeles de Panamá", explica Escudero.

Emails y comunicación cifrada

A toda esta ensalada de tecnología y herramientas hay que añadir una variable adicional: la seguridad.

Si alguien cometía un error y se acababan filtrando los documentos, el proyecto se derrumbaría. Para evitarlo se introdujeron diversas medidas, como el uso de contraseñas complejas generadas de forma aleatoria ('passphrases', compuestas por fragmentos de palabras y caracteres, en lugar de 'passwords' tradicionales). Para acceder a Global iHub era necesaria la verificación en dos pasos, que se implementó con Google Authenticator (los códigos enviados al móvil caducan a los 30 segundos). Otras medidas de seguridad incluían quedarse bloqueado si te equivocabas con la contraseña, o fuera de las plataformas al cabo de pocas horas de estar dentro sin utilizarlas.

"Esto fue un reto enorme. Tomes las medidas de seguridad que tomes, el mayor riesgo siempre es el error humano, el periodista. Si le 'hackean' el correo, si se deja encencido el ordenador y alguien entra, si deja en su escritorio un archivo con el nombre "password"... Eran riesgos con los que corríamos. Por eso recordábamos cada poco a los periodistas la importancia de la seguridad, de las contraseñas, de utilizar comunicaciones cifradas etc", señala Cabra.

Fuera del Global iHub, todas las comunicaciones por email se producían cifradas, bien por PGP, con sistemas de email seguros como Hushmail o a través de extensiones como Mailvelope. Y, por supuesto, nada de WhatsApp ni Telegram. Si había que comunicarse por mensajería en el móvil la mayoría de periodistas utilizaban Signal, una aplicación que de hecho Edward Snowden ha recomendado en varias ocasiones.

No hay que olvidarse de una cosa: el factor humano. Por encima de todo, este proyecto me hace volver a creer en el ser humano

Un año y 11,5 millones de documentos después, el colosal esfuerzo del ICIJ y 370 periodistas en 109 medios ha dado lugar al mayor escándalo tributario de la historia. El terremoto político ha sido global. Gobiernos y Parlamentos de toda Europa han anunciado investigaciones; numerosos personajes públicos (políticos, cantantes, figuras del mundo del deporte y del cine) han quedado en evidencia; el primer ministro islandés ha dimitido... El alcance final es aún impredecible.

"Nada de esto hubiera sido posible sin la tecnología", recuerda Cabra. "Pero no hay que olvidarse de una cosa: el factor humano; la confianza que unos hemos depositado en otros a lo largo de un año para que nada fallara ha sido increíble. Por encima de todo, este proyecto me hace volver a creer en el ser humano".