El sistema de notificaciones judiciales, paralizado tras un fallo de seguridad
El acceso a LexNet estar¨¢ suspendido hasta el lunes por "tareas de mantenimiento t¨¦cnico"
A las 10.53 de la ma?ana del jueves Jos¨¦ Muelas, decano de Colegio de Abogados de Cartagena, avis¨® en Twitter de "posible fallo cr¨ªtico de seguridad en LexNet". Hab¨ªa avisado -sin respuesta-, al Ministerio de Justicia, responsable de este sistema inform¨¢tico con el que se comunican abogados, fiscales, procuradores, etc. y juzgados. Modificando la URL del navegador cualquiera de las m¨¢s de 160.000 personas autorizadas a entrar pod¨ªa acceder al buz¨®n de cualquier usuario del sistema, incluyendo las notificaciones, sentencias, diligencias y dem¨¢s documentaci¨®n que tuviera en su cuenta. "La puerta de entrada estaba protegida, pero una vez dentro, pod¨ªas acceder a buzones para los que no estabas autorizado; como si entrases con llave en un edificio y despu¨¦s pudieses entrar a cualquier casa", explica el ingeniero inform¨¢tico y abogado Sergio Carrasco.
Posible fallo cr¨ªtico de seguridad en LexNet. Hemos avisado a @lexnetjusticia pero no dan se?ales de vida. @RafaCatalaPolo @justiciagob
— Jos¨¦ Muelas (@josemuelas) July 27, 2017
El Ministerio de Justicia se da por avisado del grave problema y apaga LexNet. Por la tarde, despu¨¦s de instalar un parche de seguridad y asegurarse de que la brecha de seguridad est¨¢ cerrada, LexNet vuelve a funcionar cinco horas despu¨¦s.
En las redes sociales el ambiente entre abogados estaba ya bastante encendido. Denuncian que el problema inform¨¢tico ha podido exponer los datos personales y detalles de causas judiciales de miles de personas cuando el viernes, tambi¨¦n a trav¨¦s de Twitter, la cuenta oficial de LexNet avisa a las 16.05 de la tarde de que 20 minutos despu¨¦s suspender¨¢ de nuevo el servicio, hasta las ocho de la ma?ana del lunes 31 de julio, "por tareas de mantenimiento t¨¦cnico".
#Lexnet no prestar¨¢ servicio desde el viernes 28 a las 16:30 hasta el lunes 31 de julio a las 8:00 por tareas de mantenimiento t¨¦cnico
— LexNET Justicia (@lexnetjusticia) July 28, 2017
La fecha es cr¨ªtica: el 31 de julio es el ¨²ltimo d¨ªa h¨¢bil, hasta agosto, para los juzgados de lo civil (salvo medidas urgentes) y los abogados y procuradores apuran plazos. Adem¨¢s, est¨¢ estipulado que cualquier interrupci¨®n en el servicio debe advertirse con 24 horas de antelaci¨®n y para no interferir en la actividad profesional de los usuarios, se har¨¢ a partir de las ocho de la tarde.
La Comisi¨®n Permanente del Consejo General del Poder Judicial se entera de la suspensi¨®n y de la brecha de seguridad por la prensa y en redes sociales. Se re¨²ne el viernes en sesi¨®n extraordinaria y acuerda abrir diligencias informativas para esclarecer si la quiebra de seguridad "produjo una violaci¨®n de la normativa en materia de protecci¨®n de datos de car¨¢cter personal". El Ministerio de Justicia dirigido por Rafael Catal¨¢, que anuncia que ha abierto una auditoria interna por si procede depurar responsabilidades por el fallo del jueves, asegura que el error est¨¢ subsanado pero a la vez, convoca un gabinete de crisis para el s¨¢bado, seg¨²n han informado la Abogac¨ªa Espa?ola y el Consejo General de Procuradores de Espa?a (CGPE).
Carmen P¨¦rez And¨²jar, vicesecretaria de Medios Tecnol¨®gicos del Consejo General de la Abogac¨ªa Espa?ola, est¨¢ en permanente contacto con el Ministerio, a quien ha trasladado su malestar por la gravedad del incidente, por el momento en que se ha realizado la suspensi¨®n del servicio y la forma en que se ha notificado. "El Consejo ha exigido, exige y exigir¨¢, como no puede ser de otra manera, que todos los medios que pongan a disposici¨®n de los operadores jur¨ªdicos funcionen y tengan garant¨ªas de seguridad", asegura P¨¦rez. El problema del jueves, seg¨²n les ha comunicado el Ministerio, fue fruto de la ¨²ltima actualizaci¨®n de LexNet, que incorporaba la posibilidad de que un abogado pudiese acceder a varios buzones en distintas ciudades, como hab¨ªan pedido los usuarios. De forma preventiva, tras haber hecho varios cambios, el departamento de Justicia decidi¨® realizar una actualizaci¨®n urgente, consciente de que no se produce en un buen momento.
El CGAE ha recibido cr¨ªticas en redes sociales por la "tibieza" de su respuesta. El CGAE entiende, seg¨²n P¨¦rez, que "quien tiene que valorar si denuncia o no denuncia al Ministerio es quien haya sufrido una entrada no autorizada en sus datos". La informaci¨®n que le ha trasladado el departamento que dirige Catal¨¢ es que no se han producido ning¨²n acceso ilegal a la plataforma.
El consultor Sergio Carrasco no cree que un usuario pueda saber f¨¢cilmente si su buz¨®n de comunicaciones ha sido allanado. "El sistema no permite al usuario revisar este tipo de acceso y si el Ministerio hace una actuaci¨®n de este tipo, lo har¨¢ a nivel global", opina. En un art¨ªculo en su blog, Carrasco critica varios problemas de seguridad de un sistema que es especialmente sensible por el tipo de informaci¨®n que contiene. "Existe un cifrado te¨®rico, pero no se encuentra adecuadamente configurado y el cifrado es antiguo". Eso en lo que se refiere al acceso exterior, a la comunicaci¨®n entre el operador judicial y el juzgado, por ejemplo. En el servidor, Carrasco critica que los documentos almacenados no est¨¢n cifrados. "Un inform¨¢tico que administra el sistema no tiene por qu¨¦ tener acceso directo a los documentos de una demanda, a la respuesta de los juzgados, etc".
El sistema funciona con Java, un software que algunos navegadores bloquean. "Tienes que tener un equipo con un sistema inseguro para poder utilizar LexNet", critica Carrasco. El sistema, en su opini¨®n, es obsoleto: tiene un l¨ªmite para adjuntar documentos de 15 megabytes y tiende a bloquearse cuando muchos usuarios se conectan a la vez.
Carrasco critica adem¨¢s que no sea de c¨®digo abierto, lo cual permitir¨ªa auditor¨ªas externas para garantizar su seguridad. "No sabemos el alcance de la vulnerabilidad. No sabemos cuando ha comenzado ni si cualquier persona pod¨ªa acceder a estos buzones", critica el abogado inform¨¢tico, que a?ade: "Es muy sospechoso que cuando han dicho que la vulnerabilidad ya estaba solucionada, hayan cerrado el servicio sin previo aviso hasta el lunes".
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.