Un gravísimo fallo de seguridad ha provocado que durante horas o incluso días abogados o procuradores de España pudieran acceder libremente a todos los procedimientos judiciales del resto de profesionales del sector. Esta supone la enésima polémica de LexNet, el sistema telemático para el ámbito judicial impuesto en 2016 por Ministerio de Justicia.
Es posible que muchos de nosotros de nuestros lectores no sepan qué es exactamente LexNet. Por eso hoy os vamos a contar qué es exactamente esta plataforma, para qué se utiliza y qué implicaciones tiene este fallo de seguridad que el Ministerio de Justicia ha asegurado que ni siquiera ha existido.
Para ayudarnos a explicarlo todo de la mejor manera posible nos hemos puesto en contacto con José Muelas, uno de los primeros abogados en detectar el error y que acabó dando la voz de alarma en redes sociales al ver que el tiempo pasaba y no se solucionaba. También os vamos a contar otros de los pecados capitales que lleva meses y años arrastrando esta plataforma.
¿Qué es exactamente LexNet?
LexNet es la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y administraciones empleamos para comunicarse con los órganos judiciales. A través de este sistema, los operadores jurídicos pueden enviar demandas, sentencias y cualquier otro tipo de documentos judiciales, incluidas pruebas de los casos en los que están trabajando.
La intención de esta plataforma es la de digitalizar gran parte de los servicios ofrecidos por la Administración de Justicia y ofrecerlos también a través de Internet. De esta manera no sólo se pretende ahorrar en papel, sino permitir que la administración funcione 24 horas los siete días de la semana con un sistema que se supone que debía ser seguro.
Para hacerse una cuenta en LexNet un abogado tiene que hablar con su colegio, y este le da tus datos al Consejo General de la Abogacía para que le den parte a quienes gestionan LexNet para crearte una ID única que le identifique como usuario. Vamos, que cualquiera no puede acceder al sistema si no es con las credenciales de algún trabajador del sector judicial.
Una vez hecho esto, el portal funciona como un webmail, aunque técnicamente es algo más complejo que eso (no se sabe cuánto porque no se han dado detalles al respecto). Te identificas con tu ID y contraseña, y entras a un perfil en el que puedes tienes un árbol de directorios desde el que acceder a tus notificaciones, expedientes guardados o cualquier tipo de documento que estés utilizando en tus procedimientos.
¿Qué ha pasado con LexNet esta semana?
A vueltas con #Lexnet. Añades a un compañero a tu libreta y el sistema te da su DNI sin necesidad de su permiso cc @josemuelas pic.twitter.com/azikFAWLFA
— Javier de la Cueva (@jdelacueva) 28 de julio de 2017
Y precisamente lo que ha pasado es que se ha descubierto una gravísima vulnerabilidad que permitía que cualquier usuario de la plataforma pudiera entrar en los perfiles de otros abogados y cuentas registradas, y acceder a todos sus documentos. Lo único que había que hacer es, cuando estás en tu perfil, cambiar en la barra de direcciones el número de tu ID por el de la persona cuyos datos quieres consultar.
Uno de los primeros en dar la voz de alarma en redes sociales fue el abogado José Muelas, que decidió hacerlo después de comprobar que la Administración de Justicia estaba tardando más de la cuenta en solucionar la vulnerabilidad después de que ya la hubiera reportado por medios internos varios días antes.
Tal y como nos ha contado el propio Muelas tras ponernos en contacto con él, otras personas le habían avisado ya de que esto era algo que se estaba pudiendo hacer, por lo que decidió verificar que efectivamente existía esta vulnerabilidad. Para ello le pidió permiso a compañeros suyos de su despacho, entrar sin permiso en los directorios de otro está prohibido, y confirmó de primera mano que desde su propia cuenta podía entrar a sus directorios y ver todos sus archivos.
Según un comunicado oficial del Ministerio de Justicia, tras actualizar LexNet a una nueva versión identificaron "un defecto en el control de accesos al sistema ocasionado por un error en la programación del código", el cual aseguran que fue solucionado antes de cinco horas.
También han asegurado que no han identificado acceso indebido alguno a los buzones de LexNet de un usuario que no fuera el legítimo. Vamos, que han dicho que lo que estaban diciendo varios abogados en redes sociales era mentira, una negación que ha enfadado bastante a quienes se han estado preocupando por el problema.
"Yo tengo la sospecha de que ese informe de que nadie ha accedido no es exacto".
"Al Ministerio tiene que salirle como accesos indebidos los míos y los de esta otra gente dos días antes por lo menos", nos explica José Muelas. "Que me digan que no ha habido ningún acceso indebido, lo que me están diciendo es que no tienen un sistema para detectar si alguien se ha metido, porque por lo menos tendrían que tener los míos. Yo tengo la sospecha de que ese informe de que nadie ha accedido no es exacto".
Otros abogados como Javier de la Cueva han verificado que este error ha sido real, e incluso organismos como FACUA han lanzado comunicados tildando de gravísima la negligencia cometida por el Ministerio de Justicia con LexNet. Además, en Twitter se ha lanzado el hashtag #LexNetNoSeguro en el que se centralizan decenas de críticas de usuarios y profesionales.
¿Qué implicaciones tiene este fallo de seguridad?
Las implicaciones de este fallo de seguridad, en palabras del propio José Muelas, "son todas las que tu imaginación le ponga". Por ejemplo, en LexNet tienen cuentas la Guardia Civíl o Policía Nacional, por lo que cualquier abogado podría acceder a la información de los atestados que están reportando en los juzgados.
Tal y como ha expuesto en Twitter el abogado Fabián Valero, esta vulnerabilidad puede haber permitido que los 150.000 usuarios de la plataforma hayan podido acceder a datos de terceros, como nombres, apellidos o DNI, que estén registrados en los procedimientos del resto de usuarios. También habrían tenido acceso a los datos fiscales o números de cuentas bancarias de los ciudadanos que tengan procedimientos judiciales iniciados.
5. Esto quiere decir que cualquiera de los 150.000 usuarios de #LEXNET ha podido acceder a datos de terceros (nombre, apellidos, DNI)
— FabianValeroABG (@FabianValeroABG) 27 de julio de 2017
Valero también asegura que en los procedimientos de LexNet no se oculta el nombre de las partes. Esto te permitiría descubrir, por ejemplo, los datos de mujeres maltratadas, de parejas en vía de divorcio, de trabajadores despedidos o los antecedentes penales de cualquier de cualquier ciudadano que haya pasado por cualquier juzgado.
"Puedes ingresar en la cuenta de un procurador o un abogado que esté llevando un caso de terceras personas y tú, como periodista, ilustrarte y enterarte de algo que no deberías saber", nos explica también José Muelas. "Y si en vez de periodista ya piensas en un grupo criminal pues entonces hasta lo que tu imaginación te lleve.
Otro ejemplo que nos pone Muelas es que si por ejemplo alguien quisiera informarse de procesos judiciales como la Púnica o Gürtel, sólo tendría que acceder a la cuenta de algún abogado y desde allí acceder al directorio del que esté llevando el caso. "Podría ver todos los autos que le ha notificado el juzgado, mas todos los escritos que le ha presentado, mas todas las copias de los escritos que le han dado las otras partes. Todo".
Separación de poderes y otros pecados capitales
Y por si todo esto no fuera suficiente, en el fondo de todo hay un debate aún mayor que tiene que ver con la separación de poderes en España. Y es que LexNet no está controlado por el Poder Judicial, sino que está en manos del Ministerio de Justicia, y son los políticos los que custodian los expedientes de los juzgados.
"El Gobierno, que está metido en varios juicios, es el que custodia los expedientes de los juicios", nos ha explicado Muelas, diciéndonos que a nivel provincial pasa lo mismo. "Por ejemplo imagínate Euskadi, ¿te parece normal que el Consejero de Justicia de Bildu custodie todos los expedientes judiciales?"
"Tenemos todos los expedientes judiciales en manos del poder ejecutivo o de las comunidades autónomas", concluye Muelas. "Deberían ser controlados por el Poder Judicial y no estar en manos de personas que pueden tener intereses directos en las causas a cuya información pueden acceder.
Además, alrededor de LexNet también hay mucho oscurantismo. Por poner el ejemplo más evidente, el Gobierno se gastó 7,28 millones de euros de dinero público en esta plataforma, y ni se sabe del todo quién está detrás de su desarrollo ni se han querido dar detalles sobre su funcionamiento interno.
Para colmo de males, cuando se impuso LexNet el año pasado ya era un programa viejo y obsoleto. Por poner un ejemplo, tiene un ancho de banda de sólo 15 megas, por lo que ni siquiera se pueden enviar fotos a color. El manual del portal les dice a los usuarios que tienen que escanear las fotos en blanco y negro y con baja resolución.
También está el hecho de que para funcionar vía web necesite un applet de Java que lo convierte un portal obsoleto. Tal y como nos ha contado el propio José Muelas, que lo usa a diario, ningún Chrome los soporta, Internet Explorer pronto dejará de hacerlo, y a final tienes que utilizar el Mozilla Firefox pero no en una de sus últimas versiones, sino en una anterior para que no te de problemas.
Y hay varios otros pecados capitales. Como hemos mencionado es totalmente opaco, también es poco neutral por sólo funcionar bien con Windows y no con otros sistemas operativos como los móviles. En definitiva, son tantos los problemas que ya arrastraba esta plataforma que su último gran error de privacidad ni siquiera ha pillado por sorpresa.
En Genbeta | Todos los errores que permitieron que LEXNet fuese un agujero online en la justicia española
Ver 39 comentarios
39 comentarios
pabloj
De todo lo que he leido, lo que ha hecho llevarme las manos a la cabeza no es el fallo de seguridad, ni que se hayan gastado 7,28 millones de euros en esta herramienta, ni que esté más obsoleta que el W95... ha sido enterarme de esto, si es real, me parece demencialmente grave lo que ocurre en este país:
"LexNet no está controlado por el Poder Judicial, sino que está en manos del Ministerio de Justicia, y son los políticos los que custodian los expedientes de los juzgados. [...] Tenemos todos los expedientes judiciales en manos del poder ejecutivo o de las comunidades autónomas".
bensiveroach
Soy abogado en ejercicio y mi experiencia con Lexnet es la siguiente:
El programa es una buena basura. No deja de dar problemas, la espera por carga de archivos es insufrible y utilizar el navegador de Windows indescriptible. ESTO SOLO ES EL PRINCIPIO.
En cuanto a la teoría judeo masónica del redactor de la noticia acerca de la disponibilidad de expedientes por parte de los políticos es cuanto menos ridícula e insultante a alguien que tenga un mínimo grado de sentido común... sensacionalismo barato puro y duro.
Saludos
(PD: Es la segunda vez que escribo porque borran mi comentario...)
cs122
Por la mitad de ese dinero, hago una plataforma moderna y segura (cifrado individual por usuarios sin puertas traseras e invulnerable por ahora) y la mantengo de por vida pagando luz e internet.
No es broma, si me está leyendo alguien del Gobierno, espero que considere esta propuesta.
Usuario desactivado
Me imagino que algun dia saltara un escandalo al estilo de "un funcionario que solo estudio medio curso de Java en 2003 ha cobrado 7,3 millones por hacer una pagina" . Y despues se descubrira que el funcionario era familia de un politico o un sindicalista. Lo de siempre, vamos.
cs122
Por lo que tengo entendido, el término "ancho de banda" no es aplicable en este contexto.
Seguramente el límite de 15 megas (¿mega qué?) se refiere a uno de estos límites:
* Tamaño máximo de un archivo subido al servidor
* Capacidad total de almacenamiento para cada usuario
* Tamaño máximo por cada subida, que puede incluir varios archivos, siempre y cuando no se exceda el límite.
bensiveroach
Soy abogado en ejercicio y uso Lexnet todos los días.
Conclusiones de Lexnet: es una auténtica basura y esto solo es el comienzo. El programa no para de fallar una y otra vez y trabajar con el explorador de Windows es tercer mundista... veremos cosas peores en un futuro.
En relación con la absurda y lamentable teoría del escritor del artículo sobre conspiraciones judeomasonicas acerca de que los expedientes judiciales están en manos de los políticos es insostenible y atenta contra el sentido común. Infórmese antes de escribir sandeces.
Saludos
warp68
¿De qué os extrañáis? Lo raro es que no pase más veces.
r080
Deberían haber mandado hacer esa plataforma a Facebook, seguro que la hacían mil veces mejor y era mil veces más privada.
tonikrs
La Administración si que se gasta dinero en plataformas, pero sólo en las que aportan dinero como es la Tributaria. La de Justicia, lamentablemente, para ellos no es importante.
osesno89
7 millones de euros para el partido y el pico para el informático que es mi cunyado que es una máquina.
Esa debió ser la frase de como empezo todo, tenemos a muchos hackers, ingenieros de todo tipo y terminan haciendo esta chapuza, lo del poder judicial y la separación de poderes y demás es un cuento chino, me lo creí cuando iba al cole junto con la democracia.
asdfvv
http://www. satec.es/es-ES/NuestraActividad/CasosdeExito/Paginas/ProyectoLEXNET.aspx
Esta es la empresa que desarrolló la aplicación. Conociéndola. Basura. Dar gracias si el usuario 1234 no sigue activo.
usergeek
"Gobierno se gastó 7,28 millones de euros de dinero público en esta plataforma, y ni se sabe del todo quién está detrás de su desarrollo ni se han querido dar detalles sobre su funcionamiento interno."
Vamos la misma historia de siempre, pagamos un servicio con sobre costes y para colmo de baja calidad, huele a otra trama de favoritismo. Lo mismito que con las obras publicas.
alons0
Otra prueba más de que la administración española, a nivel telematico, funciona como una mierd*.
Sistemas, plataformas y aplicaciones obsoletas.
Preguntadle a cualquier administravo de cualquier empresa qué tal les va con el uso de los certificados cuando tienen que hacer algún trámite.
En mi empresa tengo que estar cada dos por tres acudiendo a los diferentes departamentos para ver por qué narices no funcionan los certificados.
Yo se que hacer cambios a nivel estructural en en los sistemas telematico de la administración supone mucho trabajo, esfuerzo y recursos, pero cohone que estamos hablando de la Administración del Estado, y tenemos a gente cualificada en paro.
Si no se modernizan las plataformas digitales de la Administración es porque no se quiere. No me extraña que pasen estas cosas.
dabelo
Que fuerte, una cosa es que hackers con alto conocimiento de programación te encuentre una vulnerabilidad en código mediante script injection, sql inject u otras técnicas y otra muy diferente es la dejadez, se pensaban que los usuarios no probarian la ID en la Url de otro usuario?
Aquí hay 2 fallos gordos:
1. Mostrar la Id única de otro usuario.
2. No comparar esa Id con los datos de sesión.
Aparte de la usabilidad, Applets Java? si lo que quieren es firmar, que firmen un formulario pdf y validen esa firma como hace Gencat, al menos es compatible con todos los exploradores.
perelengo
De primeras, utilizar un navegador web ya es un gran error, seguro que lo decidió alguien que no era ingeniero. No implicar lo suficiente a los usuarios es otra gran cagada, y finalmente, no hacer un triste test unitario ni siquiera para cuestiones de seguridad, se merecen una gran multa por responsabilidad.
La agencia LOPD ya debería haber requerido una auditoría después de saberse esto.
manuelbarrionuevo
Tendrían que utilizar Dataprius ( dataprius.com/ ) para gestionar los archivos del juzgado. Con ellos tendrían las cosas seguras de base y con trazabilidad de quién accede a qué. Saludos
muscardino
Vamos, salvando las distancias, algo parecido (por los resultados finales) a lo que ocurrió hace un tiempo con la web de contactos Ashley Madison.
Es inviolable, tenemos una encriptación que no se la salta ni Hulk tras comer durante cuatro meses las espinacas del de la pipa, bla, bla, bla... y, luego, caquitas.
Saludos.