El desastre de la justicia española y sus sistemas telemáticos no hace más que expandirse. El pasado 27 de julio, varios usuarios de la plataforma LexNET notificaron que, debido a un error en el sistema, podían acceder a carpetas de otros usuarios con información confidencial sobre procesos judiciales en curso.
Para acceder al sistema es necesario contar con un certificado digital, entregado única y exclusivamente a abogados, juzgados, policías y procuradores. Este certificado digital delimita el nivel de acceso dentro del servicio, de forma que cada usuario puede acceder única y exclusivamente a una serie de contenidos determinados.
Un fallo en LexNET pone al descubierto la información confidencial de todos los casos
A través de LexNET, entre 200.000 y 300.000 usuarios envían cada día diversos documentos, notificaciones y comunicaciones relacionadas con cualquier proceso judicial en curso. La gravedad del error era, por lo tanto, mayúscula.
El Ministerio de Justicia detuvo la operatividad del servicio con el objetivo de identificar y resolver la incidencia. Pocos minutos después, el Ministerio informó sobre su restablecimiento y la correspondiente corrección del error, que había aparecido tras implementar una nueva versión del sistema, según fuentes oficiales.
El Ministro de Justicia convoca un gabinete de crisis por el fallo en LexNET
El Ministro de Justicia, Rafael Catalá, convocó un gabinete de crisis dos días más tarde. Paralelamente, el Ministerio de Justicia anunciaba una detención temporal del servicio LexNET, que estuvo inoperativo por “tareas de mantenimiento técnico” desde el viernes 28 hasta el lunes 31 de julio.
Simultáneamente, el Ministerio de Justicia abrió una auditoría interna para analizar el suceso y fortalecer el sistema LexNET.
El lunes 31 de julio, tras volver a la operatividad, los usuarios de la plataforma reportaron errores como notificaciones cruzadas, cortes en el servicio o tiempos prolongados de carga. El elevado número de peticiones gestionadas por el servidor —acentuada por los incidentes en los días previos y por la finalización del mes de julio— fue una de las principales causas de dichos errores.
El desastre de LexNet continúa
Un día más tarde, el diario El Confidencial, publicaba las seis empresas detrás de LexNET. Sus nombres son Avalon, Satec, Novasoft, Sermicro, Indra e IECISA. Pero la contratación se produjo siempre a través de ISDEFE, una empresa pública de consultoría e ingeniería que, según apunta el diario El Confidencial, gestionó más de 7,2 millones de euros en hasta nueve adjudicaciones diferentes acontecidas entre 2010 y 2016.
Ayer, de nuevo El Confidencial expandía la catástrofe de LexNET: 11.000 documentos del Ministerio de Justicia quedaron al descubierto. El tamaño total de la “filtración” era de 600 MB, y contenía información sobre el funcionamiento de la plataforma LexNET, su código fuente, la intranet del Ministerio y hasta sus certificados digitales (necesarios para acceder). Gracias a ello, se podría llegar a conocer cualquier dato del sistema, encontrar vulnerabilidades e incluso llegar a lanzar ciberataques.
Bastaba conocer la dirección IP del servidor para acceder a los datos almacenados en el servidor. Ni contraseñas ni cifrado actuaban en el proceso. Una seguridad de patio de colegio.
Estos archivos estaban almacenados en un servidor del Ministerio de Justicia al que cualquier persona podía acceder. Tan solo bastaba conocer la IP del servidor (una serie de números fácilmente obtenibles) para acceder a todos los datos almacenados en su interior. Y eso es lo que finalmente ocurrió.
Algunos de estos documentos también describen la arquitectura interna de Orfila, un sistema que conecta los Institutos de Medicina Legal de España con Juzgados, Tribunales y Fiscalías. A través de él circulan informes forenses, autopsias, pruebas médicas y otras informaciones de máxima confidencialidad.
"No ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la administración pública."
El Ministerio de Justicia calificó el incidente de “delito”, y no reconoció el error de los programadores, que dejaron al descubierto esta información tan sensible al descubierto. "Consideramos que no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la administración pública. Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido. Es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior", explicó un portavoz del Ministerio a El Confidencial
El Ministerio de Justicia, hoy, afirma haber identificado y denunciado ante la Policía al supuesto autor del ataque.
¿Quién quiere ser la cabeza de turco?
Los supuestos atacantes accedieron a una información abierta, libre de autenticaciones y contraseñas que restrinjan su acceso. En otras palabras: *su facilidad de acceso es similar a entrar en Google, hacer clic* en un enlace y descargar un archivo cualquiera. ¿Se considera eso un ataque?
Independientemente de la calificación que reciba el incidente (ataque informático, descuido, etc.), la sensación es que el Ministerio de Justicia estaría buscando “escurrir el bulto”** y centrar los focos en el acceso —quizá indebido— a esta serie de contenidos en lugar de reconocer la gravedad de los errores de seguridad y funcionamiento que el sistema LexNET y sus derivados han mostrado durante los últimos días. Necesitan una cabeza de turco, y si no está dentro de la administración, mejor.