Por @Wicho — 31 de Julio de 2017

Todo empezó con este tuit de José Muelas el jueves 27 de julio de 2017 en el que avisaba públicamente de un posible fallo crítico de seguridad en LexNet –aunque lógicamente sin dar detalles– tras varios intentos infructuosos mediante comunicaciones privadas de que fuera corregido.

De Ingenio2010:

Lexnet es un sistema de gestión de notificaciones telemáticas entre los juzgados y los profesionales de la justicia (abogados y procuradores) usado en la Administración de Justicia española que sin embargo está gestionado por el Ministerio de Justicia (poder ejecutivo). Lexnet interopera con Minerva, Adriano (Andalucia) y Cicerone (Comunidad Valenciana). Su funcionamiento es similar a un sistema de correo webmail que permite, previa identificación con certificado y firma electrónica con una tarjeta criptográfica, enviar notificaciones a profesionales desde los juzgados y viceversa con efectos legales plenos.

El fallo era tan serio que dejó sin protección datos y documentos de los sumarios que se instruyen en toda España, pues el fallo permitía suplantar a cualquiera de sus 140.000 usuarios mediante un sencillo truco.

Como dice Matthew Bennett:

En ese sistema, si usted tiene algún pleito civil o demanda administrativo contencioso, o si está acusado o víctima de de algo a nivel penal, están sus datos: nombre, DNI, domicilio, cuentas bancarias, Seguridad Social, antecedentes penales, sociedades, y todo lo demás.

Tras el tuit en cuestión LexNet estuvo cerrado durante unas horas el mismo jueves, lo que según los responsables del sistema y del Ministerio de Justicia sirvió para corregir el fallo.

Pero el viernes 28 a las 16:30 volvió a ser cerrado, en principio para no ser abierto hasta el lunes 31 a las 8:00, aunque al final volvió a ser activado el domingo 30 por la tarde, con el objetivo de terminar de bloquear el agujero con un nuevo sistema de seguridad actualizado, lo que sugiere que el fallo era bastante más complicado de corregir.

Además, como los accesos realizados usando este truco no quedan registrados como accesos ilegales, nunca habrá forma de saber cuanta información se filtró mientras ese hueco de seguridad estuvo abierto y habrá que ver qué consecuencias tiene en cuanto a denuncias por violación de la LOPD y similares. Y no hay que olvidar que no sabemos desde cuando existe ese hueco de seguridad porque, entre otras cosas, el código fuente de LexNet no es público, con lo que no se puede estudiar para determinar esto.

De todas formas este clamoroso fallo no es más que la gota que ha colmado el vaso, porque en realidad hace tiempo que muchos abogados, entre ellos el mismo José Muelas, vienen protestando por los múltiples problemas técnicos, pero sobre todo conceptuales de este sistema, obligatorio en España desde el 1 de enero de 2016.

Como muestra, la anotación del propio José Muelas del 9 de enero de 2016 titulada LexNet: siete pecados capitales (el peor de ellos, que todo está en manos del Ministerio de Justicia, lo que se lleva por delante la separación de poderes), ésta de David Maeztu, Qué está mal con Lexnet y la separación de poderes, o la denuncia que hay en marcha contra el sistema, Lexnet: Así, no.

Es un tema que, lógicamente está dando mucho de qué hablar entre los abogados que tengo fichados en Twitter; habrá que ver cómo evoluciona.

Compartir en Flipboard Publicar / Tuitear