Conecta con nosotros

Noticias

LexNet sigue siendo una plataforma insegura

Publicado el

LexNet

Hace alrededor de una semana, supimos de un agujero de seguridad que afectaba a Lexnet, el sistema online de uso obligatorio para letrados, procuradores y juzgados en España desde 2016. Un problema que, en determinadas condiciones, permitía acceder a toda la documentación almacenada en el sistema. Para entender la gravedad del problema, es necesario saber que hablamos de la herramienta que obligatoriamente tiene que emplearse para transmitir cualquier tipo de información y comunicación del ámbito jurídico. Así, un acceso no autorizado, podría ser empleado para obtener información sobre cualquier proceso judicial abierto, espiar las comunicaciones entre juzgados y abogados, etcétera. Tras conocerse ese problema de seguridad, las autoridades afirmaron que ya lo habían detectado y que, pocas horas después, lo habían solucionado, pero según informa hoy El Confidencial, parece que una semana después los problemas no han terminado.

Y es que según este medio, los hackers habrían podido acceder a un conjunto de cerca de 11.000 documentos técnicos sobre el funcionamiento de la plataforma, a parte del código fuente de la misma, acceso completo a la intranet e, incluso, a sus certificados digitales, una filtración que ha sido confirmada por el propio Ministerio de Justicia pero que, en una respuesta una tanto cuestionable, afirma que no se ha tratado de un problema de seguridad, sino de un ataque perpetrado contra su plataforma. Un argumento que parece un “parche” para justificarse, si atendemos a las explicaciones que la persona que ha detectado el problema le ha dado a Teknautas, un  estudiante de ingeniería de 20 años. Este joven, tras tener conocimiento de los problemas de la semana pasada, realizó una búsqueda de información sobre el mismo y encontró una dirección IP no securizada, al acceder al sistema al que esta estaba asignada, pudo entrar a un directorio abierto (sin contraseña y con el contenido sin cifrado alguno) en el que encontró una copia de toda la documentación sobre la plataforma, así como de Orfila (el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal).

Además, durante sus pruebas, no solo encontró esos documentos, sino que también pudo acceder a un panel de administración y motitorización del sistema, otro problema grave. Así, todo tiene el aspecto de que, en algún momento del desarrollo, los responsables del mismo guardaron toda esa documentación en esa carpeta para poder recurrir a ella en caso de necesidad, pero olvidaron algo tan básico como proteger el acceso a la misma. Y el problema es que entre que los documentos, algunos de ellos de acceso restringido, que explican al detalle el funcionamiento de las plataformas, y las partes del código fuente encontrado en dicha carpeta, cualquier otro atacante que haya hecho el mismo hallazgo que este estudiante, ya dispone de toda la información necesaria para realizar cualquier tipo de ataque a la plataforma.

Así, aunque el Ministerio afirma que ya ha eliminado esos contenidos de esa carpeta (lo que, de facto, supone el reconocimiento de que no debería haber estado ahí), el problema no es que la persona que ha hablado con Teknautas haya accedido a la misma, pues con sus actos ya ha dejado claro que su única intención era comprobar si existía algún problema de seguridad. El verdadero problema es que no hay manera de saber si toda esa documentación ha caído en otra manos que pudieran tener peores intenciones. Y es que, aunque las autoridades afirman que ya tenían constancia de la incursión del hacker en sus sistemas (es más, el borrado se produjo durante su acceso no autorizado), la falta de las medidas de seguridad apropiadas nos hace ponernos en lo peor.

Sin embargo, el Ministerio de Justicia, lejos de reconocer los fallos de la plataforma, ha optado por denunciar al estudiante por un acceso no autorizado. Según ellos, en declaraciones a El Confidencial, “Consideramos que no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la administración pública. Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido. Es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior“. Una explicación que, sin duda, deja totalmente de lado la responsabilidad de los administradores del sistema. Y es que, obviando que la comparación con el coche abierto parece más una excusa de niño de colegio que un argumento que pueda ser esgrimido por una administración pública, todos los problemas de seguridad de estos últimos días demuestran que los problemas de seguridad de LexNet no son “un delito”, como afirma el Ministerio, sino el fruto de una política de seguridad singularmente deficiente.

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!