Cualquier usuario del sistema de Justicia podía suplantar a otro
30 jul 2017 . Actualizado a las 05:00 h.Los peores presagios se han confirmado. La falla de ciberseguridad en el sistema LexNET del Ministerio de Justicia detectada el pasado jueves fue todo lo «profunda» que podía temerse. Esto es: dejó sin protección datos y documentos de los sumarios que se instruyen en toda España. Y ello es porque todos y cada uno de los más de 140.000 perfiles abiertos en esta red por abogados, procuradores y funcionarios pudo ser suplantado con un truco sencillísimo. Ninguno de los millares de usuarios fue inmune a la posibilidad de que su identidad fuera robada, según han confirmado responsables de la ciberseguridad nacional, que han comprobado que todos los perfiles pudieron ser suplantados durante el tiempo que estuvo activo el agujero.
La vulnerabilidad fue denunciada públicamente el jueves por el decano del Colegio de Abogados de Cartagena, José Muelas, tras varios intentos infructuosos de que Justicia taponara la brecha en su seguridad. Bastaba con cambiar manualmente el número de identificación en la barra de dirección del navegador para acceder al perfil de cualquier otro usuario. Y, a partir de ahí, consultar todas sus notificaciones y documentos. LexNET es desde enero del 2016 el único sistema que los letrados y procuradores para comunicarse con la Administración de Justicia, tanto para entregar documentación como para recibir las notificaciones, entre ellas sumarios completos o parciales.
Justicia cerró durante una hora el jueves LexNET para parchear la falla. Luego lo volvió a reabrir para volver a cerrarlo desde 16.30 horas del viernes hasta las 8 de la mañana del próximo lunes a fin de terminar de bloquear el agujero con un nuevo sistema de seguridad actualizado. Al ser final de mes y cumplirse muchos plazos judiciales, la medida del cierre cautelar provocó el enfado de los colegios de abogados. Ayer mismo, el ministro de Justicia, Rafael Catalá, colgó una foto en su perfil de Twitter en la que aparecía rodeado de sus colaboradores en el gabinete de crisis creado al efecto. «Reunido con mi equipo para prestar un mejor y más seguro servicio de LexNET en las próximas horas», apuntó.
El departamento que dirige Catalá ha asegurado que «los sistemas de auditoría y control del ministerio no han identificado acceso indebido alguno a los buzones de LexNET de un usuario que no fuera el legítimo», en el tiempo que perduró la falla de seguridad. Pero esta afirmación, según los especialistas de ciberseguridad del Estado que trabajan en reparar el agujero, esconde otra realidad: no hubo «identificaciones de accesos indebidos» porque las entradas suplantando directamente en la barra del navegador el número de identificación de otro usuario no se computan como intrusiones ilegales, «sino como simples utilizaciones del servicio por parte del usuario legal». Esto supone, de acuerdo con los técnicos, que el Gobierno nunca podrá saber hasta dónde ha llegado la fuga de información de LexNET porque el sistema no registró las entradas indebidas. Solo requiriendo uno a uno a los 140.000 usuarios si identifican sus accesos en esos días podría saberse el alcance de las filtraciones.
El Ministerio de Justicia tampoco ha desvelado cuánto tiempo LexNET fue vulnerable a una suplantación masiva de identidades. Su código es cerrado, por lo que nadie, más allá de su administrador, puede saber cuánto tiempo llevaba la brecha de seguridad abierta en este sistema en el que el Gobierno se ha gastado 7,2 millones de euros entre el 2010 y el 2016.
Un sistema obsoleto
LexNET es el sistema que usan todos los operadores judiciales para comunicarse y acceder a los sumarios. Operativo como sistema único desde enero del 2016, ha costado 7,2 millones de euros, pero ha sido criticado por obsoleto por sus usuarios.