www.onemagazine.es
Mitos y verdades de la brecha de seguridad del Ministerio de Justicia
Ampliar
(Foto: Almonroth)

Mitos y verdades de la brecha de seguridad del Ministerio de Justicia

¿Es un delito haber entrado en el servidor que tenía información para llegar a acceder datos personales y forenses de casos judiciales?¿Hizo bien su trabajo el Ministerio de Justicia en ciberseguridad?¿Qué multa puede imponerle la Agencia Española de Protección de Datos? Y lo más importante: si consideras que te afecta esta brecha.... ¿a quién puedes recurrir? Te lo cuenta el tecnoabogado Pablo Fernández Burgueño.

Pablo Fernández Burgueño es uno de los abogados tecnológicos de referencia en España. "Se trata de una de las ramas del Derecho más jóvenes que cada vez tiene más demanda, ya que afecta a campos tan dispares como las criptomonedas, los eSports o la inteligencia artificial", explica a la vez que recuerda que también la ciberseguridad está dentro del tecnoderecho. ¿Qué ha pasado, según explica Burgueño, con el sistema LexNET del Ministerio de Justicia? Toma nota de su análisis​ para saber las verdades y 'mentiras' que últimamente se han publicado.

1.- ​Apuesta arriesgada. "Cuándo comenzó LexNET y por qué es vulnerable. El sistema informático que utiliza el ministerio de Justicia para el intercambio de archivos entre jueces, procuradores y abogados ha sido desarrollado desde 2010 a 2016 y en él se ha invertido algo más de siete millones de euros. Ha sido liderado por la empresa estatal Isdefe junto con otros desarrolladores e integradores contratados por ella", destaca Burgueño.​

​"Sus responsables optaron por programarla en código cerrado, que no abierto (ni libre). Renunciaron a publicar el código fuente en lo que se conoce como el 'youtube' de la informática, Gibhub. De esta forma evitaban que la gente supiera cómo funcionaba... pero también que, a través de su estudio, los investigadores encontraran vulnerabilidades y gracias a que las reportasen se pudiera mejorar la ciberseguridad de LexNET. Así que su punto fuerte... es también su punto débil. ¿Qué suele pasar? Los código de programación publicados en Gibhub suelen ser siempre más seguros gracias a la aportación de los hackers y expertos en ciberseguridad".

2.-Situación peculiar​. A través de LexNET el Ministerio de Justicia ofrece y gestiona una herramienta de gran utilidad a los miembros del poder judicial y el mundo del Derecho. Sin embargo, esta iniciativa choca con la separación de poderes que marca la Constitución. A través de esta herramienta el ministerio –poder ejecutivo- puede tener acceso a información confidencial de los procedimientos judiciales –poder judicial-. Una situación atípica que ha sido criticada por considerarla que vulnera la separación de poderes.

3.-El primer problema del Lexnet. El sistema permite el intercambio de ficheros entre abogados, jueces y procuradores de forma telemática. Para acceder a él tienes que tener una clave de acceso -firma electrónica-. La brecha de seguridad detectada es que, una vez dentro, si se cambiaba un número de la URL de cada caso se podía acceder a expedientes de otros abogados sin clave alguna. Eso sí, esto puede ser sancionable según la Ley Orgánica de Protección de Datos en vigor, en relación con el acceso y apertura de ficheros ajenos y la consecuente lectura y tratamiento de datos de carácter personal. Una situación que puede suponer hasta 600.000 euros de multa.

O dicho de otra forma: se podían consultar expedientes judiciales de casos de otras personas. Por ello el ministerio, tras cerrar provisionalmente la plataforma durante tres días, volvió a dar acceso a la misma el último día de julio para que se pudieran terminar de enviar ficheros antes del cierre total en agosto.

4.-Problemas de notificación. Qué pasa si a un abogado le ha llegado la notificación de otro por error. Pues que seguramente la abriría y la borraría al ver que no era para él. El problema es que estas notificaciones, que también se enviaron de esta forma errónea, pueden suponer que un abogado no recurriera un caso en los plazos marcados por no haber tenido acceso a la notificación. En estos casos el ministerio debería comprobar qué notificaciones se enviaron de forma errónea -o en caso de que un abogado vea que no le ha llegado recurrir mostrando que a él no le llegó-.​

5.-Fuga de datos personales críticos. Un investigador -ha trascendido que de 20 años- a través de un buscador de dispositivos conectados -Shodan- encontró, pocos días después, un servidor del Ministerio de Justicia lleno de contenido. Lo peculiar es que el servidor no tenía clave de acceso alguna. O dicho de otra forma: se podía acceder a su información igual que se puede acceder a cualquier página web. Incluso mi blog, pablofb.com, tiene más seguridad! En este servidor encontró -y se descargó- el código fuente de LexNET, así como los archivos que usa el sistema judicial sobre autopsias, valoraciones médicas en caso de maltrato... en total se calcula que más de 10.000 archivos.

6.-Qué se considera delito. Entrar en el servidor abierto y sin contraseña del Ministerio de Justicia no es delito. El Ministerio de Justicia, a través de un portavoz, ha dado a conocer que ha presentado una querella por considerar que la persona que accedió a su servidor cometió un delito. Sin embargo, según el texto del Código Penal, no es castigable: ya que no vulneró medida de seguridad alguna para acceder al sistema -simplemente accedió-. Tampoco es delito ni puede imponérsele sanción alguna por descargarse los archivos si, para su lectura, era el proceso adecuado y no había impedimento alguno, además de que no explotó la información ni obtuvo beneficio directo ni indirecto por ello.

7.-Un mes para mejorar LexNET. Tras darse a conocer la vulnerabilidad -y supuestamente subsanarla- el ministerio abrió el acceso al sistema el 31 de julio, último día del año judicial. Al final de ese día, técnicamente a partir de las 00:00 horas del siguiente, volvió a cerrarlo hasta el 1 de septiembre, por interrumpirse durante agosto el curso judicial por vacaciones. Así que este mes de agosto las empresas que trabajan en LexNET están implementando la seguridad necesaria para volver a evitar cualquier brecha de seguridad.

8.-¿Puede sancionar la Agencia Española de Protección de Datos al ministerio de Justicia? La Agencia está estudiando el caso según ha conocido One hacker. ¿La razón? ha podido haber una brecha de seguridad que ha puesto en riesgo datos personales sensibles -sanitarios- de personas en procesos judiciales o relacionadas con casos que se investigan.

Sin embargo, a diferencia de lo que pasa con las empresas privadas, la Agencia no puede imponer multa económica a los organismos de la Administración -en el caso de las empresas, desde el 25 de mayo de 2018 puede alcanzar los 20 millones de euros-. Sería como multarse a si misma. Sí puede realizar un apercibimiento al responsable de gestionar el sistema que ha sufrido la brecha de seguridad. Que podría ser el caso.

​9.-​Qué cambios debe acometer el ministerio para hacer seguro Lexnet. Además de estudiar fallos de seguridad en su código hay varias medidas de seguridad que utilizan la mayoría de las empresas que son consideradas seguras. Entre ellas destaca:

  • Cifrar los archivos para que solo puedan ser abiertos por su emisor o su destinatario con una clave segura.
  • Mejorar los certificados de seguridad del sistema -a través de la web de análisis de seguridad Qualys SSL Labs se podía comprobar que tenía un nivel muy bajo -cualquier periódico y empresa de medio tamaño tiene más nivel-.
  • Implementar sistemas para que se exija una firma añadida al abrir un fichero -no tras recibirlo-. Así se puede saber qué realmente lo ha abierto el destinatario correcto, ya que con el sistema actual podía por error hacerlo cualquier otro abogado.
  • Implementar tecnologías de protección del dato -IRM-. Empresas españolas como Sealpath, de Bilbao, distribuida por el mayorista Ingecom, comercializan una tecnología que permite tener el control de cualquier fichero que sea enviado. Por ejemplo, se puede autorizar su lectura unicamente a su destinatario -si lo envia a otra persona no podrá leerlo- e, incluso, se puede retirar el permiso de lectura. Así, ante cualquier robo de fichero, basta activarlo para hacerlos ilegible para el criminal que se ha apoderado de ellos -o si le ha sido remitido a alguien por error.

Así que los responsables de Lexnet tienen un mes de agosto para subsanar nuevos errores en un sistema por el que pasan muchos datos personales críticos, ya que pertenecen a todo tipo de causas judiciales que van desde embargos hasta delitos de sangre. Algo que no debería pasar, si se dedica el presupuesto correcto, sobre todo teniendo en cuenta los grandes profesionales y empresas de ciberseguridad que hay en España.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

Foro(s) asociado(s) a esta noticia:

  • Mitos y verdades de la brecha de seguridad del Ministerio de Justicia

    Últimos comentarios de los lectores (2)

    2129 | luis domin - 07/08/2017 @ 17:13:38 (GMT+1)
    Muy bueno el articulo, exacto y razonado, echaba algo parecido sobre el tema
    2127 | onethatknowsomething - 05/08/2017 @ 11:00:26 (GMT+1)
    Y he visto cosas aún peores. Cómo VPN para sub contratas con contraseñas del tipo empresa-añosdeconcesión, que te vas al boe teniendo el certificado de acceso y puedes acceder a servidores de aplicaciones que no tienen nada que ver contigo.
    Lo de los certificados SSL no tiene nombre, ¿Cómo es posible que la administración pública use certificados self-signed? Pues así son la mayoría de servicios de intranet, que para más inri no está segmentada, un ataque desde dentro es tan fácil que no da ninguna satisfacción ¿Inyección de ARP con el móvil, en 2017? ¡Venga ya!.
    Frontales para balancear aplicaciones con autenticación por certificado, que no están aisladas, permitiendote acceder a los servidores desde la intranet sin pasar por certificado, por tanto permitiendote cambiar la cabecera y hacerte pasar por cualquiera sin necesidad de tener su certificado.
    No era de esperar menos, para ser funcionario hay que pasar un examen de procedimientos de la administración pública, para lo que no hay que ser precisamente un experto en tu profesión.
    Eso sin contar el intrusismo profesional que supone que la administración pública haga desarrollos própios, no veo que haga pan para el que tiene hambre, no sea que las panaderías se le pongan en contra.
    Con los profesionales que hay en españa, que los hay en cantidad y muy buenos y los tenemos mirando a europa, porque aquí conseguir un sueldo decente o que no te traten como al 'informático' personajes que no saben ni hacer su propio trabajo mejor que tú, es algo así como una guerra diaria.
    Y así seguiremos, gobernados por inútiles, votados por atontados y gestionados por incompetentes.

  • Normas de uso

    Esta es la opinión de los internautas, no de Desarrollo Editmaker

    No está permitido verter comentarios contrarios a la ley o injuriantes.

    La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

    Tu dirección de email no será publicada.

    Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.