02 Ago La gran “chapuza” informática de LexNet en Justicia que ha costado más de 7 millones
orge suelta al teléfono una sonora y larga carcajada. Unos diez segundos. No se lo puede creer. “¡Eso quiere decir que no tenía seguridad ninguna!“, dice atónito. Habla de LexNet, el sistema telemático del Ministerio de Justicia para intercambiar información de casos entre juzgados, abogados, procuradores y otros colectivos. Ayer sufrió un grave fallo de seguridad que permitía a cualquier usuario de la plataforma acceder a información de milles de casos abiertos, datos altamente sensibles y secretos. Jorge SoydelBierzo es especialista de ciberseguridad y ‘hacker’ y no da crédito a que un error “tan elemental” haya dejado fuera de juego a un sistema en el que hasta 2016 se había invertido más de 7 millones de euros en dinero público. Con solo cambiar los IDs que identifican a cada usuario en la URL era posible acceder a la bandeja de entrada privada de otra persona (y a sus documentos). “Es una enorme chapuza”, dice Jorge.
La voz de alarma saltó este jueves al mediodía cuando varios abogados comenzaron a publicar en redes sociales el fallo de LexNet. “Unos amigos me alertaron de ello y el miércoles por la noche me puse a comprobarlo por mí mismo. Efectivamente, era así. Con solo cambiar los IDs de usuario en la URL pude entrar en todas las notificaciones de otros abogados”, explica a Teknautas José Muelas, decano del Colegio de Abogados de Cartagena y el primero en denunciar públicamente el fallo.
Horas antes se había puesto en contacto con el Ministerio para reportar el problema. Pero, ante la falta de respuesta, decidió publicar su queja en Facebook. Y comenzó la bola de nieve. Poco después la cuenta oficial de LexNet en Twitter reconocía el fallo y aseguraba estar trabajando en resolverlo. Luego llegó el cierre temporal del sistema y, tras cinco horas desde el aviso de Muelas, el Ministerio aseguró haber resuelto por fin la incidencia. Hoy, los responsables de LexNet han confirmado que la plataforma estará casi tres días fuera de servicio, desde las 16:30 de hoy viernes al lunes 31 a las 8:00, por tareas de “mantenimiento”. ¿Qué ha ocurrido para llegar hasta aquí?
“Hubo una actualización de LexNet el 21 de julio para añadir nuevas funciones como un multibuzón. Un error en la programación del código provocó un problema en el control de accesos, pero se solucionó en solo cinco cinco horas. No tenemos constancia de que haya habido accesos indebidos a los buzones de LexNet de usuarios que no fueran legítimos. Y tampoco a expedientes judiciales, solo se podía acceder a las bandejas de entrada”, explica un portavoz del Ministerio de Justicia a Teknautas, quien confirma, eso sí, que para acceder a buzones ajenos bastaba con cambiar el ID de usuario en la URL de la plataforma.
“Mienten cuando dicen que no ha habido accesos ilegítimos a otros buzones. Yo accedí a las notificaciones de otros colegas con su permiso para comprobar el fallo. Y otros compañeros de profesión también”, señala Muelas. “Y cuando digo notificaciones digo las copias de los expedientes al completo. Tengo los pantallazos que lo demuestran pero de momento me los reservo en caso de recibir acciones legales por parte del Ministerio. Creo que no he hecho nada malo, todo lo contrario, les he avisado del problema”.
Horas después de anunciar el Ministerio la supuesta resolución del problema, abogados como David Maeztu reportaban todavía serios problemas técnicos en LexNet. Jorge SoydelBierzo va más allá. “Un análisis del protocolo https que usa la web para transmitir los datos devuelve la peor nota posible: de la A a la F, una F. El sistema cifra los datos, pero lo hace de forma muy pobre y con procedimientos obsoletos. En determinadas circunstancias sería fácilmente ‘hackeable’. Vamos, yo no metería ahí ni mi nombre”.
Lo más preocupante de LexNet es que el fallo de hoy es solo la punta del iceberg. Prácticamente todas las fuentes consultadas coinciden en señalar decenas de errores técnicos y de diseño en la plataforma desde el inicio. Y uno muy importante de concepto: que esté en manos del Ministerio de Justicia y no del Consejo General del Poder Judicial. ¿Cómo hemos llegado hasta aquí después de millones de euros de inversión?
Crónica de una negligencia anunciada
El grave error informático de LexNet no ha pillado precisamente por sorpresa a muchos. Y es que, desde que el Ministerio de Justicia decidiera implantarlo, fueron muchas las voces discordantes que alzaron la voz en contra de este sistema.
Los primeros avisos llegaron a finales de 2015, apenas dos semanas antes de que entrase en funcionamiento. El portavoz del sector de Justicia de la Central Sindical Independiente y de Funcionarios (CSIF), Juan José Carral, ya lo manifestaba a este periódico: “Nosotros lo vemos inviable para el 1 de enero. A fecha de hoy, en la Comunidad de Madrid no estamos preparados ni informados, los funcionarios no saben más que lo que ven en los medios”, aseguraba.
Tampoco otras Comunidades Autónomas, algunas de las cuales tenían asumidas las competencias de Justicia, se veían preparadas. Existían muchos sistemas distintos de gestión procesal (Adriano, Minerva, Cicerone…) y la mayoría eran incompatibles entre sí. “La mitad de los de Madrid utilizan Libra, un programa que el Ministerio dejó de usar hace una década”, aseguraba Carral. En el registro de los juzgados de Plaza de Castilla, donde desfilan abogados para depositar documentos, la sensación era la misma: “No sabemos nada, aquí no tenemos LexNet“. Otras CCAA, como Andalucía, Aragón, Cataluña, Comunidad Valenciana o Canarias, ya manifestaron no estar en condiciones de implantar LexNet. Se avecinaba una tormenta.
Dicho y hecho. A finales de enero de 2016, Cantabria, País Vasco, Cataluña y la Comunidad Valenciana no podían cumplir con el reglamento, mientras que otras Comunidades Autónomas lo hacían a medias o con muchísimas dificultades.
Fuente: El Confidencial