Noticias
LexNet sigue siendo una plataforma insegura
Hace alrededor de una semana, supimos de un agujero de seguridad que afectaba a Lexnet, el sistema online de uso obligatorio para letrados, procuradores y juzgados en España desde 2016. Un problema que, en determinadas condiciones, permitía acceder a toda la documentación almacenada en el sistema. Para entender la gravedad del problema, es necesario saber que hablamos de la herramienta que obligatoriamente tiene que emplearse para transmitir cualquier tipo de información y comunicación del ámbito jurídico. Así, un acceso no autorizado, podría ser empleado para obtener información sobre cualquier proceso judicial abierto, espiar las comunicaciones entre juzgados y abogados, etcétera. Tras conocerse ese problema de seguridad, las autoridades afirmaron que ya lo habían detectado y que, pocas horas después, lo habían solucionado, pero según informa hoy El Confidencial, parece que una semana después los problemas no han terminado.
Y es que según este medio, los hackers habrían podido acceder a un conjunto de cerca de 11.000 documentos técnicos sobre el funcionamiento de la plataforma, a parte del código fuente de la misma, acceso completo a la intranet e, incluso, a sus certificados digitales, una filtración que ha sido confirmada por el propio Ministerio de Justicia pero que, en una respuesta una tanto cuestionable, afirma que no se ha tratado de un problema de seguridad, sino de un ataque perpetrado contra su plataforma. Un argumento que parece un «parche» para justificarse, si atendemos a las explicaciones que la persona que ha detectado el problema le ha dado a Teknautas, un estudiante de ingeniería de 20 años. Este joven, tras tener conocimiento de los problemas de la semana pasada, realizó una búsqueda de información sobre el mismo y encontró una dirección IP no securizada, al acceder al sistema al que esta estaba asignada, pudo entrar a un directorio abierto (sin contraseña y con el contenido sin cifrado alguno) en el que encontró una copia de toda la documentación sobre la plataforma, así como de Orfila (el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal).
Además, durante sus pruebas, no solo encontró esos documentos, sino que también pudo acceder a un panel de administración y motitorización del sistema, otro problema grave. Así, todo tiene el aspecto de que, en algún momento del desarrollo, los responsables del mismo guardaron toda esa documentación en esa carpeta para poder recurrir a ella en caso de necesidad, pero olvidaron algo tan básico como proteger el acceso a la misma. Y el problema es que entre que los documentos, algunos de ellos de acceso restringido, que explican al detalle el funcionamiento de las plataformas, y las partes del código fuente encontrado en dicha carpeta, cualquier otro atacante que haya hecho el mismo hallazgo que este estudiante, ya dispone de toda la información necesaria para realizar cualquier tipo de ataque a la plataforma.
Así, aunque el Ministerio afirma que ya ha eliminado esos contenidos de esa carpeta (lo que, de facto, supone el reconocimiento de que no debería haber estado ahí), el problema no es que la persona que ha hablado con Teknautas haya accedido a la misma, pues con sus actos ya ha dejado claro que su única intención era comprobar si existía algún problema de seguridad. El verdadero problema es que no hay manera de saber si toda esa documentación ha caído en otra manos que pudieran tener peores intenciones. Y es que, aunque las autoridades afirman que ya tenían constancia de la incursión del hacker en sus sistemas (es más, el borrado se produjo durante su acceso no autorizado), la falta de las medidas de seguridad apropiadas nos hace ponernos en lo peor.
Sin embargo, el Ministerio de Justicia, lejos de reconocer los fallos de la plataforma, ha optado por denunciar al estudiante por un acceso no autorizado. Según ellos, en declaraciones a El Confidencial, «Consideramos que no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la administración pública. Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido. Es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior«. Una explicación que, sin duda, deja totalmente de lado la responsabilidad de los administradores del sistema. Y es que, obviando que la comparación con el coche abierto parece más una excusa de niño de colegio que un argumento que pueda ser esgrimido por una administración pública, todos los problemas de seguridad de estos últimos días demuestran que los problemas de seguridad de LexNet no son «un delito», como afirma el Ministerio, sino el fruto de una política de seguridad singularmente deficiente.
Ayesa compra Emergya, especialista en Google Cloud
Accenture abre su dos nuevos estudios de IA generativa en Europa en Madrid y Barcelona
El Senado de EEUU aprueba la ley que obligará a ByteDance a vender TikTok
Alfonso García Muriel, nuevo presidente de DXC Technology para España y Portugal
Cátedras Chip: ya es público el programa que quiere impulsar la industria del chip en España
Cómo escoger la plataforma UEM más adecuada para tu empresa
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
Cómo la tecnología mejora el día a día en un quirófano
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
Cómo superar los desafíos a los que se enfrentan las empresas en entornos híbridos
Canva compra Affinity para convertirse en competidor de Adobe
Orange y MasMovil han cerrado su fusión en España: ya funcionan como una sola empresa
Ayesa compra Emergya, especialista en Google Cloud
Apple M-Series tienen una vulnerabilidad irremediable
Consigue gratis tu Evaluación Personalizada de Ciberresiliencia
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
La Unión Europea investiga a Apple, Google y Meta
GPT-5, con muchas mejoras para ChatGPT, puede llegar en verano
-
NoticiasHace 5 díasHuawei muestra su potencial para empresas y cloud en España en el Digital Transformation Summit
-
A FondoHace 6 díasSalesforce lleva la IA de Slack a todos los planes de pago de la plataforma
-
A FondoHace 6 díasCómo asegurarse de que se puede restaurar una copia de seguridad
-
NoticiasHace 6 díasLG Gram Pro, portátiles ligeros preparados para la IA