Qué ha pasado en LexNet y qué implicaciones tiene su grave fallo de seguridad

Autor: | Posteado en Actualidad Sin comentarios

Lexnet

Un gravísimo error de protección ha provocado que durante horas o inclusive días juristas o procuradores de España pudieran entrar libremente a todos los procedimientos judiciales del resto de profesionales del sector. Esta cree la enésima polémica de LexNet, el metodo telemático para el ámbito judicial impuesto en 2016 por Ministerio de Justicia.

Es factible que muchos de nosotros de nuestros lectores no sepan qué es exactamente LexNet. Por eso hoy os vamos a contar qué es exactamente esta plataforma, para qué se maneja y qué implicaciones tiene este error de seguridad que el Ministerio de Justicia ha reforzado que ni siquiera ha existido.

Para ayudarnos a explicarlo todo de la preferible forma factible nos hemos puesto en contacto con José Muelas, uno de los primeros juristas en detectar el error y que terminó dando la voz de alarma en redes sociales al visualizar que el tiempo pasaba y no se solucionaba. También os vamos a contar otros de los pecados capitales que lleva períodos y años arrastrando esta plataforma.

¿Qué es exactamente LexNet?

LexNet es la plataforma de intercambio de información y documentos que usan abogados, procuradores y administraciones empleamos para transmitirse con los órganos judiciales. A través de este sistema, los operadores jurídicos pueden enviar demandas, sentencias y cualquier otro tipo de documentos judiciales, incluidas pruebas de los casos en los que están trabajando.

La finalidad de esta plataforma es la de digitalizar enorme parte de los beneficios ofrecidos por la Administración de Justicia y ofrecerlos además a través de Internet. De esta forma no sólo se intenta economizar en papel, sino permitir que la administración funcione 24 horas los siete días de la semana con un metodo que se cree que debía ser seguro.

Para hacerse una cuenta en LexNet un jurista tiene que hablar con su colegio, y este le da tus documentos al Consejo General de la Abogacía para que le den parte a quienes gestionan LexNet para crearte una ID unica que le identifique como usuario. Vamos, que cualquiera no puede entrar al sistema si no es con las credenciales de algún trabajador del sector judicial.

Una vez hecho esto, el portal sirve como un webmail, pese a que técnicamente es algo mas complejo que eso (no se sabe cuánto porque no se han dado fragmentos al respecto). Te identificas con tu ID y contraseña, y entras a un perfil en el que podrias teneis un árbol de directorios desde el que entrar a tus notificaciones, expedientes guardados o cualquier tipo de documento que estés usando en tus procedimientos.

¿Qué ha pasado con LexNet esta semana?

Y exactamente lo que ha pasado es que se ha revelado una gravísima vulnerabilidad que permitía que cualquier cliente de la plataforma pudiera entrar en los perfiles de otros juristas y cuentas registradas, y entrar a todos sus documentos. Lo único que había que crear es, cuando estás en tu perfil, convertir en la barra de direcciones el numero de tu ID por el de la persona cuyos documentos deseas consultar.

Uno de los primeros en dar la voz de alarma en redes sociales fue el jurista José Muelas, que decidió realizarlo después de comprobar que la Administración de Justicia estaba tardando mas de la cuenta en solucionar la vulnerabilidad después de que ya la hubiera reportado por medios internos muchos días antes.

Tal y como nos ha contado el propio Muelas tras ponernos en contacto con él, otras individuos le habían avisado ya de que esto era algo que se estaba pudiendo hacer, por lo que decidió comprobar que efectivamente existía esta vulnerabilidad. Para ello le pidió permiso a compañeros suyos de su despacho, entrar sin permiso en los directorios de otro esta prohibido, y afirmó de 1ª mano que desde su propia cuenta podía entrar a sus directorios y visualizar todos sus archivos.

Según un informado oficial del Ministerio de Justicia, tras modificar LexNet a una nueva version identificaron “un defecto en el dominio de accesos al metodo ocasionado por un error en la programación del código”, el cual aseguran que fue solucionado antes de 5 horas.

También han reforzado que no han reconocido camino indebido alguno a los buzones de LexNet de un cliente que no fuera el legítimo. Vamos, que han dicho que lo que estaban diciendo muchos juristas en redes sociales era mentira, una negación que ha enfadado bastante a quienes se han estado preocupando por el problema.

“Yo tengo la sospecha de que ese documento de que nadie ha accedido no es exacto”.

Al Ministerio tiene que salirle como accesos indebidos los míos y los de esta otra masa 2 días antes por lo menos”, nos expone José Muelas. “Que me digan que no ha habido ningun camino indebido, lo que me están diciendo es que no tienen un metodo para detectar si alguien se ha metido, porque por lo menos tendrían que tener los míos. Yo tengo la sospecha de que ese documento de que nadie ha accedido no es exacto”.

Otros juristas como Javier de la Cueva han verificado que este error ha sido real, e inclusive entidades como FACUA han lanzado comunicados tildando de gravísima la negligencia cometida por el Ministerio de Justicia con LexNet. Además, en Twitter® se ha lanzado el hashtag #LexNetNoSeguro en el que se centralizan miles de críticas de visitantes y profesionales.

¿Qué implicaciones tiene este error de seguridad?

Las implicaciones de este error de seguridad, en frases del propio José Muelas, “son todas las que tu imaginación le ponga”. Por ejemplo, en LexNet tienen cuentas la Guardia Civíl o Policía Nacional, por lo que cualquier jurista podría entrar a la información de los atestados que están reportando en los juzgados.

Tal y como ha expuesto en Twitter el jurista Fabián Valero, esta vulnerabilidad puede haber permitido que los 150.000 visitantes de la plataforma hayan conseguido entrar a documentos de terceros, como nombres, apellidos o DNI, que estén registrados en los procedimientos del resto de usuarios. También habrían tenido acceso a los documentos fiscales o números de cuentas bancarias de los ciudadanos que tengan procedimientos judiciales iniciados.

Valero además afirma que en los procedimientos de LexNet no se oculta el nombre de las partes. Esto te permitiría descubrir, por ejemplo, los documentos de mujeres maltratadas, de parejas en vía de divorcio, de trabajadores despedidos o los antecedentes penales de cualquier de cualquier ciudadano que haya pasado por cualquier juzgado.

“Puedes ingresar en la cuenta de un procurador o un jurista que este llevando un caso de terceras individuos y tú, como periodista, ilustrarte y enterarte de algo que no deberías saber“, nos expone además José Muelas. “Y si en vez de periodista ya analizas en un clan asesino pues entonces hasta lo que tu imaginación te lleve.

Otro ejemplo que nos pone Muelas es que si por ejemplo alguien quisiera informarse de procesos judiciales como la Púnica o Gürtel, sólo tendría que entrar a la cuenta de algún jurista y desde allí entrar al directorio del que este llevando el caso. “Podría visualizar todos los coches que le ha notificado el juzgado, mas todos los escritos que le ha presentado, mas todas las copias de los escritos que le han dado las otras partes. Todo”.

Separación de poderes y otros pecados capitales

Y por si todo esto no fuera suficiente, en el fondo de todo hay un debate todavía mayor que tiene que visualizar con la separación de poderes en España. Y es que LexNet no esta controlado por el Poder Judicial, sino que esta en manos del Ministerio de Justicia, y son los políticos los que custodian los expedientes de los juzgados.

“El Gobierno, que esta metido en muchos juicios, es el que custodia los expedientes de los juicios”, nos ha comentado Muelas, diciéndonos que a nivel provincial pasa lo mismo. “Por ejemplo imagínate Euskadi, ¿te parece normal que el Consejero de Justicia de Bildu custodie todos los expedientes judiciales?”

“Tenemos todos los expedientes judiciales en manos del poder ejecutivo o de las comunidades autónomas”, concluye Muelas. “Deberían ser controlados por el Poder Judicial y no estar en manos de individuos que pueden tener intereses directos en las causas a cuya información pueden acceder.

“Tenemos todos los expedientes judiciales en manos del poder ejecutivo o de las comunidades autónomas”

Además, alrededor de LexNet además hay mucho oscurantismo. Por poner el ejemplo mas evidente, el Gobierno se gastó 7,28 millones de euros de dinero público en esta plataforma, y ni se sabe del todo quién esta atras de su desarrollo ni se han querido dar fragmentos sobre su funcionamiento interno.

Para colmo de males, cuando se impuso LexNet el año pasado ya era un software viejo y obsoleto. Por poner un ejemplo, tiene un ancho de banda de sólo 15 megas, por lo que ni siquiera se pueden enviar imagenes a color. El tutorial del portal les dice a los visitantes que tienen que escanear las imagenes en blanco y negro y con baja resolución.

También esta el hecho de que para procesar vía web(www) necesite un applet de Java que lo convierte un portal obsoleto. Tal y como nos ha contado el propio José Muelas, que lo usa a diario, ningún Chrome® los soporta, Internet Explorer pronto dejará de hacerlo, y a final teneis que usar el Mozilla® Firefox® sin embargo no en una de sus ultimas versiones, sino en una anterior para que no te de problemas.

Y hay varios otros pecados capitales. Como hemos hablado es completamente opaco, además es poco neutral por sólo procesar bien con Windows y no con otros sistemas operativos como los móviles. En definitiva, son tantos los problemas que ya arrastraba esta plataforma que su último enorme error de privacidad ni siquiera ha pillado por sorpresa.

En Genbeta | Todos los errores que admitieron que LEXNet fuese un agujero online en la justicia española

También te recomendamos

El juego, cuando es libre, es mejor: así influye en el desarrollo del bebé

Un equipo USB® es todo lo que se necesita para hurtar la password de un computador

Continúan los hackeos al Internet de las cosas, el nuevo blanco son las bombillas "inteligentes"


La novedad Qué ha pasado en LexNet y qué implicaciones tiene su grave error de protección fue publicada originalmente en Xataka por Yúbal FM .


Xataka


Agradecimientos al autor original de la noticia, (fuente más arriba).

Truco del día para Android

También puedes revisar estas noticias relacionadas.

Agrega tu comentario