Cuando pensábamos que el desastre de LexNET no podía ser peor, hace dos días se confirmó la filtración de 11.000 documentos internos de los servidores del Ministerio de Justicia. Estos documentos tenían información sobre la arquitectura de sus sistemas informáticos, Orfila y LexNET, así como parte de su código fuente.
El Ministerio aseguró que no era culpa suya sino de unos "hackers" que habían accedido a su sistema, y denunciaron a uno de ellos, mientras que una de las personas que accedió se defendía diciendo que el servidor no tenía ni contraseña. Hemos hablado con un abogado especializado para que nos aclare qué hay de legal o ilegal en acceder a archivos no protegidos y en poder difundirlos después en la red.
Como recordaréis, la crisis se inició el 20 de julio tras destaparse un error informático en LexNET, la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y órganos judiciales, que permitía a cualquier usuario acceder a los documentos de los demás. Aunque en un principio se negó el error, el servicio estuvo offline todo el fin de semana sin dar demasiadas explicaciones.
El caso de los atacantes está relacionado por afectar también a LexNET además de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España. Sin embargo, desde el Ministerio se ha apuntado a que estos accesos no tienen relación con los problemas sufridos por LexNET.
¿Qué ha pasado exactamente?
Lo que ha pasado es que hace dos días el Ministerio de Justicia confirmaba se habían filtrado más de 11.000 documentos (unos 600MB). En estos archivos se podía conocer la arquitectura de sus sistemas informáticos, como Orfila y LexNET, y parte de su código fuente.
Lo peor de todo es que según le dijo una de las personas que accedió a los servidores del Ministerio a El Confidencial, para entrar sólo hizo falta utilizar un sencillo buscador como Shodan, en el que encontró una IP pública de Justicia que daba acceso a un directorio abierto y sin contraseña, y es en ese directorio en el que se encontraba la información.
El Ministerio de Justicia reaccionó denunciando ayer a un usuario sin identificar que supuestamente accedió de manera irregular a uno de sus servidores un día después del fallo de LexNET. Desde el Ministerio aseguran que detectaron la intrusión "en tiempo real", y que inmediatamente cortaron el acceso y retiraron el contenido almacenado.
Concretamente se podía acceder a documentos internos que explicaban el funcionamiento de LexNET y Orfila, y de hecho el ministerio asegura que parte del código fuente del primero fue revelado en la red. Desde Justicia aseguraron que el impacto fue mínimo, ya que el atacante sólo pudo obtener información "obsoleta y no confidencial".
Sin embargo, eso no ha evitado que haya un cruce de acusaciones entre el Ministerio y una de las personas que accedió a los servidores, tal y como recogió también El Confidencial. Una parte defiende que todo ha sido ilegal, mientras que la otra que no ha habido ilegalidad porque el Ministerio tenía las puertas abiertas.
Cuáles son los argumentos de cada uno
Por una parte, el Ministerio de Justicia aseguró que no ha habido ningún error por su parte, sino un delito de acceso ilícito. "Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido", aseguran.
Mientras, el joven que supuestamente accedió a los servidores se defiende asegurando que no ha hecho nada ilegal porque todo estaba abierto y sin securizar. "Es igual que si entras en Google y descargas un documento", ha asegurado en declaraciones a El Confidencial. Decía incluso que había avisado al ministerio del error vía Twitter y borrado después los tuits para que nadie pudiera utilizar esa puerta de acceso.
En el momento de este cruce de declaraciones, el abogado e ingeniero Sergio Carrasco exponía que no era un hackeo porque no se han saltado medidas de seguridad, aunque otra cosa era lo que esa persona se hubiera descargado. Por eso hemos hablado con el mismo Sergio Carrasco para que nos explique qué sería legal y qué sería ilegal en todo este asunto.
Qué dice la ley de todo esto
"El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido", esa es la frase conflictiva del Ministerio de Justicia. Le hemos preguntado por ella al abogado Sergio Carrasco, a lo que nos ha dicho que es un argumento totalmente insostenible.
"El código penal exige, como requisito, el eludir medidas de seguridad"
"El código penal exige, como requisito, el eludir medidas de seguridad", nos explica asegurando que esto es así independientemente de que se descarguen archivos o no. "En este caso se trataba de un servidor de archivos totalmente abierto, y de hecho indexado en buscadores como Shodan".
También nos asegura que el servidor incluso sigue estando operativo aunque vacío, y que como no había indicación alguna de que los archivos fuesen privados no se puede considerar como un acceso ilegal y punible. Lo único que aparecía dentro era el logo del ministerio y los documentos.
El tema complicado es que el aludido le decía a El Confidencial que estaba dispuesto a liberar el código fuente completo de LexNET. Ahí sí que las leyes podrían interpretarse en su contra y definir su acción de difusión como algo ilegal.
"Ahí podría haber más dudas, más cuando quien parece que es el titular se ha opuesto a dicha publicación de código", nos explica Carrasco. "Podría entrar, aunque de forma forzada en mi opinión, en el tema de revelación de secretos de empresas. Sería el 278 del código penal, con pena de 2 a 4 años de prisión".
Esto se debería a que publicando el código fuente de LexNET en contra de los intereses de su propietario, se podría interpretar la ley de manera que se considerase una difusión de contenido que revela secretos de empresa. Esa ley tiene un segundo apartado que habla de difundir, revelar o ceder los secretos descubiertos, y en el caso de que se aplicase la pena podría subir hasta entre 3 y 5 años de prisión.
Sin embargo, hay declaraciones del propio Ministerio que podrían jugar en favor del acusado. Como hemos dicho antes, desde Justicia se afirmó que se trataba de código obsoleto y documentación sin relevancia, por lo que difícilmente podría entenderse que se cumplen los requisitos para revelar secretos de empresa.
Además, tal y como nos explica Carrasco, también se ha dicho que los datos filtrados de Orfila pertenecen a una versión de 2013. Sin embargo, el abogado nos expresa sus dudas respecto a la versión del Ministerio. "Se le resta importancia, pero se eliminó contenido y se ha corrido a denunciar a quien accedió", nos explica. "Si es contenido sin relevancia, ¿por qué se ha actuado así?"
Estas dudas dan a entender que todavía no está todo dicho en este caso, y que todavía nos quedan muchas cosas por saber tanto del propio error sucedido en LexNET como de la posible filtración de los documentos internos.
En Xataka | Qué ha pasado en LexNet y qué implicaciones tiene su grave fallo de seguridad
Ver 14 comentarios
14 comentarios
dabelo
Los políticos todavía no saben lo que significa Internet, ellos creen que entrar en el servidor es como si dejas la puerta de casa abierta, entrar y hacen una copia de tus documentos, a lo que llamarían allanamiento de morada.
Pero señores políticos, internet, por suerte, funciona de una forma diferente, en un contexto abierto es TU responsabilidad securizar el acceso a ese servidor, porque antes que el chico, seguramente han entrado Google, Shodan, Baidu, Bing, etc... han indexado los archivos y posiblemente su contenido.
Señores del ministerio, no intenteis desviar vuestra incompetencia culpando al chaval, porque si ese material era tan sensible, quizás la denuncia tendría que ir hacia vosotros por dejar el código fuente de unos de los portales más críticos (sentencias, procudaroes, leyes...) sin protejer
cs122
Esto ya es de vergüenza.
En primer lugar, me parece escandaloso que se haya contratado a gente sin nociones básicas de seguridad informática (y con escasos conocimientos de programación) para implantar y mantener un servicio del estado que mantiene información altamente sensible.
También me causa vergüenza ajena saber que -por extensión- no haya ningún funcionario especialista en seguridad informática que revise el trabajo de los desarrolladores.
Sin ánimo de ofender a los pocos que no hacen honor a la descripción: tenemos una mayoría de funcionarios de la administración, que (entre otras virtudes) son amantes del cafetito hasta las 11:30, la excursión al supermercado en horas de trabajo, el solitario (o buscaminas -según preferencias) y una ineptitud prosaica. Por suerte no son todos así.
Espero que retiren a los desarrolladores y mantenedores de esa aplicación que hayan demostrado claramente su incompetencia. En cuanto a los demás, creo que deberían ser pasados por un filtro de aptitudes, para descartar a los imprudentes y a los ignorantes.
Tengo la impresión de que la contratación de informáticos sin comprobar sus conocimientos, es un craso error. Incluso si presentan una titulación brillante. La cuestión es tener a alguien, lo suficientemente versado en la materia, que pueda examinar nuevamente a los candidatos a contratación antes de que pongan sus manos sobre información sensible.
juanmcm
El problema del acceso no es otro más que es una analogía a un allanamiento (no hubo consentimiento por parte del Ministerio pero tampoco hubo impedimento alguno) pero al tiempo que se ha hecho para verificar la seguridad.
Es como ver que alguien dejó el coche abierto, al tiempo que se ha entrado a buscar algo que es de tu propiedad.
No es punible (es más bien el aprovechamiento de un descuido) pero el juez tendrá que valorar detalles que pueden ser atenuantes y agravantes (en caso que haya alguno de ambos o no) y ahí decidir.
En el caso que nos ocupa veo poco sostenible que haya accedido a dicho servidor, sino más bien veo punible el tener información sensible y de gran valor sin el debido cuidado y la mínima diligencia, que se exige a quien custodie este tipo de información.
Si hago público o facilito el acceso a alguien a secretos o información sanitaria se me puede caer el pelo, por lo que imaginen que puede pasar si esa información está sin ningún tipo de control o con una seguridad nula.
Que fácil es acusar a otros de la torpeza propia.
muscardino
De república bananera.
Ahora, con la canícula estival, hasta queda más real.
Saludos.
cs122
Tal como he dicho en la primera publicación de Xataka acerca de LexNet:
manuelcr
Según leí en Twitter y en una noticia, la cosa no es como la contáis.
Alguien encontró ese directorio con libre acceso, y lo notificó a Justicia para que lo solucionasen.
Tras esperar un agradecimiento, decide descargarse la información (¿quizás por despecho?) y compartirla con otras personas, notificándolo a Justicia.
Y es ahí cuando Justicia le denuncia, no por haber encontrado el directorio, sino por compartir los contenidos con terceras personas.
Luego esto dista de lo que se cuenta aquí y de lo que afirman muchos comentaristas.
Es como encontrar un móvil sin contraseña en la calle, accedes, ves a quien pertenece y le avisas.
Pero luego como no te da las gracias, le dices que te has copiado el contenido y que vas a compartirlo con más gente para que vean lo desastre que eres.
whisper5
Sigue el culebrón del desastre LexNET. Todo lo relacionado con la Justicia está muy abandonado y se manejan presupuestos de risa. Esto jamás ocurrirá con Hacienda, que probablemente tiene los mejores presupuestos y la mejor informática del Estado.
juanjofm
A mí lo de culebrón me parece algo muy serio que atenta contra la "democracia occidental" y la separación de poderes. El ver que no se está diciendo nada en los medios como se debería creo que quiere decir que o lo ocultan o que los periodistas, como es algo tecnológico, no le dan importancia o no lo entienden para darle la importancia que tiene.
Si Rajoy o el Ministro de justicia del PP fuera al juzgado de Gürtel y viera todas las pruebas, espiara a los abogados y acusaciones de Gürtel y Púnica, viendo las estrategias que van a seguir y las nuevas pruebas que aportarán ¿que pasaría?
Aquí con Lexnet es lo que está pasando. Lexnet está en poder del PP por decirlo claro.
fortkan
¿Es delito entrar en una casa y llevarse lo que contiene si vemos que se han dejado abierta la puerta? Pues eso...