Cuando pensábamos que el desastre de LexNET no podía ser peor, hace dos días se confirmó la filtración de 11.000 documentos internos de los servidores del Ministerio de Justicia. Estos documentos tenían información sobre la arquitectura de sus sistemas informáticos, Orfila y LexNET, así como parte de su código fuente.
El Ministerio aseguró que no era culpa suya sino de unos "hackers" que habían accedido a su sistema, y denunciaron a uno de ellos, mientras que una de las personas que accedió se defendía diciendo que el servidor no tenía ni contraseña. Hemos hablado con un abogado especializado para que nos aclare qué hay de legal o ilegal en acceder a archivos no protegidos y en poder difundirlos después en la red.
Como recordaréis, la crisis se inició el 20 de julio tras destaparse un error informático en LexNET, la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y órganos judiciales, que permitía a cualquier usuario acceder a los documentos de los demás. Aunque en un principio se negó el error, el servicio estuvo offline todo el fin de semana sin dar demasiadas explicaciones.
El caso de los atacantes está relacionado por afectar también a LexNET además de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España. Sin embargo, desde el Ministerio se ha apuntado a que estos accesos no tienen relación con los problemas sufridos por LexNET.
¿Qué ha pasado exactamente?
Lo que ha pasado es que hace dos días el Ministerio de Justicia confirmaba se habían filtrado más de 11.000 documentos (unos 600MB). En estos archivos se podía conocer la arquitectura de sus sistemas informáticos, como Orfila y LexNET, y parte de su código fuente.
Lo peor de todo es que según le dijo una de las personas que accedió a los servidores del Ministerio a El Confidencial, para entrar sólo hizo falta utilizar un sencillo buscador como Shodan, en el que encontró una IP pública de Justicia que daba acceso a un directorio abierto y sin contraseña, y es en ese directorio en el que se encontraba la información.
El Ministerio de Justicia reaccionó denunciando ayer a un usuario sin identificar que supuestamente accedió de manera irregular a uno de sus servidores un día después del fallo de LexNET. Desde el Ministerio aseguran que detectaron la intrusión "en tiempo real", y que inmediatamente cortaron el acceso y retiraron el contenido almacenado.
Concretamente se podía acceder a documentos internos que explicaban el funcionamiento de LexNET y Orfila, y de hecho el ministerio asegura que parte del código fuente del primero fue revelado en la red. Desde Justicia aseguraron que el impacto fue mínimo, ya que el atacante sólo pudo obtener información "obsoleta y no confidencial".
Sin embargo, eso no ha evitado que haya un cruce de acusaciones entre el Ministerio y una de las personas que accedió a los servidores, tal y como recogió también El Confidencial. Una parte defiende que todo ha sido ilegal, mientras que la otra que no ha habido ilegalidad porque el Ministerio tenía las puertas abiertas.
Cuáles son los argumentos de cada uno
Por una parte, el Ministerio de Justicia aseguró que no ha habido ningún error por su parte, sino un delito de acceso ilícito. "Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido", aseguran.
Mientras, el joven que supuestamente accedió a los servidores se defiende asegurando que no ha hecho nada ilegal porque todo estaba abierto y sin securizar. "Es igual que si entras en Google y descargas un documento", ha asegurado en declaraciones a El Confidencial. Decía incluso que había avisado al ministerio del error vía Twitter y borrado después los tuits para que nadie pudiera utilizar esa puerta de acceso.
En el momento de este cruce de declaraciones, el abogado e ingeniero Sergio Carrasco exponía que no era un hackeo porque no se han saltado medidas de seguridad, aunque otra cosa era lo que esa persona se hubiera descargado. Por eso hemos hablado con el mismo Sergio Carrasco para que nos explique qué sería legal y qué sería ilegal en todo este asunto.
Qué dice la ley de todo esto
"El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido", esa es la frase conflictiva del Ministerio de Justicia. Le hemos preguntado por ella al abogado Sergio Carrasco, a lo que nos ha dicho que es un argumento totalmente insostenible.
"El código penal exige, como requisito, el eludir medidas de seguridad"
"El código penal exige, como requisito, el eludir medidas de seguridad", nos explica asegurando que esto es así independientemente de que se descarguen archivos o no. "En este caso se trataba de un servidor de archivos totalmente abierto, y de hecho indexado en buscadores como Shodan".
También nos asegura que el servidor incluso sigue estando operativo aunque vacío, y que como no había indicación alguna de que los archivos fuesen privados no se puede considerar como un acceso ilegal y punible. Lo único que aparecía dentro era el logo del ministerio y los documentos.
El tema complicado es que el aludido le decía a El Confidencial que estaba dispuesto a liberar el código fuente completo de LexNET. Ahí sí que las leyes podrían interpretarse en su contra y definir su acción de difusión como algo ilegal.
"Ahí podría haber más dudas, más cuando quien parece que es el titular se ha opuesto a dicha publicación de código", nos explica Carrasco. "Podría entrar, aunque de forma forzada en mi opinión, en el tema de revelación de secretos de empresas. Sería el 278 del código penal, con pena de 2 a 4 años de prisión".
Esto se debería a que publicando el código fuente de LexNET en contra de los intereses de su propietario, se podría interpretar la ley de manera que se considerase una difusión de contenido que revela secretos de empresa. Esa ley tiene un segundo apartado que habla de difundir, revelar o ceder los secretos descubiertos, y en el caso de que se aplicase la pena podría subir hasta entre 3 y 5 años de prisión.
Sin embargo, hay declaraciones del propio Ministerio que podrían jugar en favor del acusado. Como hemos dicho antes, desde Justicia se afirmó que se trataba de código obsoleto y documentación sin relevancia, por lo que difícilmente podría entenderse que se cumplen los requisitos para revelar secretos de empresa.
Además, tal y como nos explica Carrasco, también se ha dicho que los datos filtrados de Orfila pertenecen a una versión de 2013. Sin embargo, el abogado nos expresa sus dudas respecto a la versión del Ministerio. "Se le resta importancia, pero se eliminó contenido y se ha corrido a denunciar a quien accedió", nos explica. "Si es contenido sin relevancia, ¿por qué se ha actuado así?"
Estas dudas dan a entender que todavía no está todo dicho en este caso, y que todavía nos quedan muchas cosas por saber tanto del propio error sucedido en LexNET como de la posible filtración de los documentos internos.
En Xataka | Qué ha pasado en LexNet y qué implicaciones tiene su grave fallo de seguridad
Ver 14 comentarios