viernes, 28 de julio de 2017

Qué ha pasado en LexNet y qué implicaciones tiene su grave fallo de seguridad

Lexnet

Un gravísimo fallo de seguridad ha provocado que durante horas o incluso días abogados o procuradores de España pudieran acceder libremente a todos los procedimientos judiciales del resto de profesionales del sector. Esta supone la enésima polémica de LexNet, el sistema telemático para el ámbito judicial impuesto en 2016 por Ministerio de Justicia.

Es posible que muchos de nosotros de nuestros lectores no sepan qué es exactamente LexNet. Por eso hoy os vamos a contar qué es exactamente esta plataforma, para qué se utiliza y qué implicaciones tiene este fallo de seguridad que el Ministerio de Justicia ha asegurado que ni siquiera ha existido.

Para ayudarnos a explicarlo todo de la mejor manera posible nos hemos puesto en contacto con José Muelas, uno de los primeros abogados en detectar el error y que acabó dando la voz de alarma en redes sociales al ver que el tiempo pasaba y no se solucionaba. También os vamos a contar otros de los pecados capitales que lleva meses y años arrastrando esta plataforma.

¿Qué es exactamente LexNet?

LexNet es la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y administraciones empleamos para comunicarse con los órganos judiciales. A través de este sistema, los operadores jurídicos pueden enviar demandas, sentencias y cualquier otro tipo de documentos judiciales, incluidas pruebas de los casos en los que están trabajando.

La intención de esta plataforma es la de digitalizar gran parte de los servicios ofrecidos por la Administración de Justicia y ofrecerlos también a través de Internet. De esta manera no sólo se pretende ahorrar en papel, sino permitir que la administración funcione 24 horas los siete días de la semana con un sistema que se supone que debía ser seguro.

Para hacerse una cuenta en LexNet un abogado tiene que hablar con su colegio, y este le da tus datos al Consejo General de la Abogacía para que le den parte a quienes gestionan LexNet para crearte una ID única que le identifique como usuario. Vamos, que cualquiera no puede acceder al sistema si no es con las credenciales de algún trabajador del sector judicial.

Una vez hecho esto, el portal funciona como un webmail, aunque técnicamente es algo más complejo que eso (no se sabe cuánto porque no se han dado detalles al respecto). Te identificas con tu ID y contraseña, y entras a un perfil en el que puedes tienes un árbol de directorios desde el que acceder a tus notificaciones, expedientes guardados o cualquier tipo de documento que estés utilizando en tus procedimientos.

¿Qué ha pasado con LexNet esta semana?

Y precisamente lo que ha pasado es que se ha descubierto una gravísima vulnerabilidad que permitía que cualquier usuario de la plataforma pudiera entrar en los perfiles de otros abogados y cuentas registradas, y acceder a todos sus documentos. Lo único que había que hacer es, cuando estás en tu perfil, cambiar en la barra de direcciones el número de tu ID por el de la persona cuyos datos quieres consultar.

Uno de los primeros en dar la voz de alarma en redes sociales fue el abogado José Muelas, que decidió hacerlo después de comprobar que la Administración de Justicia estaba tardando más de la cuenta en solucionar la vulnerabilidad después de que ya la hubiera reportado por medios internos varios días antes.

Tal y como nos ha contado el propio Muelas tras ponernos en contacto con él, otras personas le habían avisado ya de que esto era algo que se estaba pudiendo hacer, por lo que decidió verificar que efectivamente existía esta vulnerabilidad. Para ello le pidió permiso a compañeros suyos de su despacho, entrar sin permiso en los directorios de otro está prohibido, y confirmó de primera mano que desde su propia cuenta podía entrar a sus directorios y ver todos sus archivos.

Según un comunicado oficial del Ministerio de Justicia, tras actualizar LexNet a una nueva versión identificaron "un defecto en el control de accesos al sistema ocasionado por un error en la programación del código", el cual aseguran que fue solucionado antes de cinco horas.

También han asegurado que no han identificado acceso indebido alguno a los buzones de LexNet de un usuario que no fuera el legítimo. Vamos, que han dicho que lo que estaban diciendo varios abogados en redes sociales era mentira, una negación que ha enfadado bastante a quienes se han estado preocupando por el problema.

"Yo tengo la sospecha de que ese informe de que nadie ha accedido no es exacto".

"Al Ministerio tiene que salirle como accesos indebidos los míos y los de esta otra gente dos días antes por lo menos", nos explica José Muelas. "Que me digan que no ha habido ningún acceso indebido, lo que me están diciendo es que no tienen un sistema para detectar si alguien se ha metido, porque por lo menos tendrían que tener los míos. Yo tengo la sospecha de que ese informe de que nadie ha accedido no es exacto".

Otros abogados como Javier de la Cueva han verificado que este error ha sido real, e incluso organismos como FACUA han lanzado comunicados tildando de gravísima la negligencia cometida por el Ministerio de Justicia con LexNet. Además, en Twitter se ha lanzado el hashtag #LexNetNoSeguro en el que se centralizan decenas de críticas de usuarios y profesionales.

¿Qué implicaciones tiene este fallo de seguridad?

Las implicaciones de este fallo de seguridad, en palabras del propio José Muelas, "son todas las que tu imaginación le ponga". Por ejemplo, en LexNet tienen cuentas la Guardia Civíl o Policía Nacional, por lo que cualquier abogado podría acceder a la información de los atestados que están reportando en los juzgados.

Tal y como ha expuesto en Twitter el abogado Fabián Valero, esta vulnerabilidad puede haber permitido que los 150.000 usuarios de la plataforma hayan podido acceder a datos de terceros, como nombres, apellidos o DNI, que estén registrados en los procedimientos del resto de usuarios. También habrían tenido acceso a los datos fiscales o números de cuentas bancarias de los ciudadanos que tengan procedimientos judiciales iniciados.

Valero también asegura que en los procedimientos de LexNet no se oculta el nombre de las partes. Esto te permitiría descubrir, por ejemplo, los datos de mujeres maltratadas, de parejas en vía de divorcio, de trabajadores despedidos o los antecedentes penales de cualquier de cualquier ciudadano que haya pasado por cualquier juzgado.

"Puedes ingresar en la cuenta de un procurador o un abogado que esté llevando un caso de terceras personas y tú, como periodista, ilustrarte y enterarte de algo que no deberías saber", nos explica también José Muelas. "Y si en vez de periodista ya piensas en un grupo criminal pues entonces hasta lo que tu imaginación te lleve.

Otro ejemplo que nos pone Muelas es que si por ejemplo alguien quisiera informarse de procesos judiciales como la Púnica o Gürtel, sólo tendría que acceder a la cuenta de algún abogado y desde allí acceder al directorio del que esté llevando el caso. "Podría ver todos los autos que le ha notificado el juzgado, mas todos los escritos que le ha presentado, mas todas las copias de los escritos que le han dado las otras partes. Todo".

Separación de poderes y otros pecados capitales

Y por si todo esto no fuera suficiente, en el fondo de todo hay un debate aún mayor que tiene que ver con la separación de poderes en España. Y es que LexNet no está controlado por el Poder Judicial, sino que está en manos del Ministerio de Justicia, y son los políticos los que custodian los expedientes de los juzgados.

"El Gobierno, que está metido en varios juicios, es el que custodia los expedientes de los juicios", nos ha explicado Muelas, diciéndonos que a nivel provincial pasa lo mismo. "Por ejemplo imagínate Euskadi, ¿te parece normal que el Consejero de Justicia de Bildu custodie todos los expedientes judiciales?"

"Tenemos todos los expedientes judiciales en manos del poder ejecutivo o de las comunidades autónomas", concluye Muelas. "Deberían ser controlados por el Poder Judicial y no estar en manos de personas que pueden tener intereses directos en las causas a cuya información pueden acceder.

"Tenemos todos los expedientes judiciales en manos del poder ejecutivo o de las comunidades autónomas"

Además, alrededor de LexNet también hay mucho oscurantismo. Por poner el ejemplo más evidente, el Gobierno se gastó 7,28 millones de euros de dinero público en esta plataforma, y ni se sabe del todo quién está detrás de su desarrollo ni se han querido dar detalles sobre su funcionamiento interno.

Para colmo de males, cuando se impuso LexNet el año pasado ya era un programa viejo y obsoleto. Por poner un ejemplo, tiene un ancho de banda de sólo 15 megas, por lo que ni siquiera se pueden enviar fotos a color. El manual del portal les dice a los usuarios que tienen que escanear las fotos en blanco y negro y con baja resolución.

También está el hecho de que para funcionar vía web necesite un applet de Java que lo convierte un portal obsoleto. Tal y como nos ha contado el propio José Muelas, que lo usa a diario, ningún Chrome los soporta, Internet Explorer pronto dejará de hacerlo, y a final tienes que utilizar el Mozilla Firefox pero no en una de sus últimas versiones, sino en una anterior para que no te de problemas.

Y hay varios otros pecados capitales. Como hemos mencionado es totalmente opaco, también es poco neutral por sólo funcionar bien con Windows y no con otros sistemas operativos como los móviles. En definitiva, son tantos los problemas que ya arrastraba esta plataforma que su último gran error de privacidad ni siquiera ha pillado por sorpresa.

En Genbeta | Todos los errores que permitieron que LEXNet fuese un agujero online en la justicia española

También te recomendamos

Un dispositivo USB es todo lo que se necesita para robar la contraseña de un ordenador

El juego, cuando es libre, es mejor: así influye en el desarrollo del bebé

Continúan los hackeos al Internet de las cosas, el nuevo blanco son las bombillas "inteligentes"

-
La noticia Qué ha pasado en LexNet y qué implicaciones tiene su grave fallo de seguridad fue publicada originalmente en Xataka por Yúbal FM .



via Xataka http://ift.tt/2vdOvNo

No hay comentarios:

Publicar un comentario