Es noticia
La gran "chapuza" informática de LexNet en Justicia que ha costado más de 7 millones
  1. Tecnología
el sistema telemático de justicia sufre un grave fallo

La gran "chapuza" informática de LexNet en Justicia que ha costado más de 7 millones

Una grave negligencia informática del Ministerio de Justicia ha descubierto material privado de todo el colectivo judicial español. ¿Ha sido un incidente aislado? Algunos avisan: esto se veía venir

Foto:

Jorge suelta al teléfono una sonora y larga carcajada. Unos diez segundos. No se lo puede creer. "¡Eso quiere decir que no tenía seguridad ninguna!", dice atónito. Habla de LexNet, el sistema telemático del Ministerio de Justicia para intercambiar información de casos entre juzgados, abogados, procuradores y otros colectivos. Ayer sufrió un grave fallo de seguridad que permitía a cualquier usuario de la plataforma acceder a información de milles de casos abiertos, datos altamente sensibles y secretos. Jorge SoydelBierzo es especialista de ciberseguridad y 'hacker' y no da crédito a que un error "tan elemental" haya dejado fuera de juego a un sistema en el que hasta 2016 se había invertido más de 7 millones de euros en dinero público. Con solo cambiar los IDs que identifican a cada usuario en la URL era posible acceder a la bandeja de entrada privada de otra persona (y a sus documentos). "Es una enorme chapuza", dice Jorge.

Foto:

La voz de alarma saltó este jueves al mediodía cuando varios abogados comenzaron a publicar en redes sociales el fallo de LexNet. "Unos amigos me alertaron de ello y el miércoles por la noche me puse a comprobarlo por mí mismo. Efectivamente, era así. Con solo cambiar los IDs de usuario en la URL pude entrar en todas las notificaciones de otros abogados", explica a Teknautas José Muelas, decano del Colegio de Abogados de Cartagena y el primero en denunciar públicamente el fallo.

Horas antes se había puesto en contacto con el Ministerio para reportar el problema. Pero, ante la falta de respuesta, decidió publicar su queja en Facebook. Y comenzó la bola de nieve. Poco después la cuenta oficial de LexNet en Twitter reconocía el fallo y aseguraba estar trabajando en resolverlo. Luego llegó el cierre temporal del sistema y, tras cinco horas desde el aviso de Muelas, el Ministerio aseguró haber resuelto por fin la incidencia. Hoy, los responsables de LexNet han confirmado que la plataforma estará casi tres días fuera de servicio, desde las 16:30 de hoy viernes al lunes 31 a las 8:00, por tareas de "mantenimiento". ¿Qué ha ocurrido para llegar hasta aquí?

placeholder

"Hubo una actualización de LexNet el 21 de julio para añadir nuevas funciones como un multibuzón. Un error en la programación del código provocó un problema en el control de accesos, pero se solucionó en solo cinco cinco horas. No tenemos constancia de que haya habido accesos indebidos a los buzones de LexNet de usuarios que no fueran legítimos. Y tampoco a expedientes judiciales, solo se podía acceder a las bandejas de entrada", explica un portavoz del Ministerio de Justicia a Teknautas, quien confirma, eso sí, que para acceder a buzones ajenos bastaba con cambiar el ID de usuario en la URL de la plataforma.

Un análisis de la seguridad de la página devuelve la peor nota posible: de la A a la F, una F. No metería ahí ni mi nombre

"Mienten cuando dicen que no ha habido accesos ilegítimos a otros buzones. Yo accedí a las notificaciones de otros colegas con su permiso para comprobar el fallo. Y otros compañeros de profesión también", señala Muelas. "Y cuando digo notificaciones digo las copias de los expedientes al completo. Tengo los pantallazos que lo demuestran pero de momento me los reservo en caso de recibir acciones legales por parte del Ministerio. Creo que no he hecho nada malo, todo lo contrario, les he avisado del problema".

Horas después de anunciar el Ministerio la supuesta resolución del problema, abogados como David Maeztu reportaban todavía serios problemas técnicos en LexNet. Jorge SoydelBierzo va más allá. "Un análisis del protocolo https que usa la web para transmitir los datos devuelve la peor nota posible: de la A a la F, una F. El sistema cifra los datos, pero lo hace de forma muy pobre y con procedimientos obsoletos. En determinadas circunstancias sería fácilmente 'hackeable'. Vamos, yo no metería ahí ni mi nombre".

Lo más preocupante de LexNet es que el fallo de hoy es solo la punta del iceberg. Prácticamente todas las fuentes consultadas coinciden en señalar decenas de errores técnicos y de diseño en la plataforma desde el inicio. Y uno muy importante de concepto: que esté en manos del Ministerio de Justicia y no del Consejo General del Poder Judicial. ¿Cómo hemos llegado hasta aquí después de millones de euros de inversión?

placeholder Un análisis del protocolo https que usa LexNet web para transmitir los datos devuelve la peor nota posible, una F. (ssllabs.com)
Un análisis del protocolo https que usa LexNet web para transmitir los datos devuelve la peor nota posible, una F. (ssllabs.com)

Crónica de una negligencia anunciada

El grave error informático de LexNet no ha pillado precisamente por sorpresa a muchos. Y es que, desde que el Ministerio de Justicia decidiera implantarlo, fueron muchas las voces discordantes que alzaron la voz en contra de este sistema.

Los primeros avisos llegaron a finales de 2015, apenas dos semanas antes de que entrase en funcionamiento. El portavoz del sector de Justicia de la Central Sindical Independiente y de Funcionarios (CSIF), Juan José Carral, ya lo manifestaba a este periódico: "Nosotros lo vemos inviable para el 1 de enero. A fecha de hoy, en la Comunidad de Madrid no estamos preparados ni informados, los funcionarios no saben más que lo que ven en los medios", aseguraba.

LexNet ya nació con polémica: "No estamos preparados ni informados, y las Comunidades Autónomas tampoco"

Tampoco otras Comunidades Autónomas, algunas de las cuales tenían asumidas las competencias de Justicia, se veían preparadas. Existían muchos sistemas distintos de gestión procesal (Adriano, Minerva, Cicerone...) y la mayoría eran incompatibles entre sí. "La mitad de los de Madrid utilizan Libra, un programa que el Ministerio dejó de usar hace una década", aseguraba Carral. En el registro de los juzgados de Plaza de Castilla, donde desfilan abogados para depositar documentos, la sensación era la misma: "No sabemos nada, aquí no tenemos LexNet". Otras CCAA, como Andalucía, Aragón, Cataluña, Comunidad Valenciana o Canarias, ya manifestaron no estar en condiciones de implantar LexNet. Se avecinaba una tormenta.

Dicho y hecho. A finales de enero de 2016, Cantabria, País Vasco, Cataluña y la Comunidad Valenciana no podían cumplir con el reglamento, mientras que otras Comunidades Autónomas lo hacían a medias o con muchísimas dificultades.

placeholder Javier de la Cueva. Foto: Enrique Villarino.
Javier de la Cueva. Foto: Enrique Villarino.

El abogado que predijo el fracaso

Hay un abogado que vio venir todos estos problemas desde el principio: Javier de la Cueva. El letrado que en su momento saltó a la luz pública por combatir el canon digital español (que acabó siendo declarado ilegal) ha sido también el responsable de que nuestro país fuese denunciado ante la UE por el sistema LexNet.

“En 2006 nos entrevistamos con el que iba a ser el responsable de LexNet y ya le dijimos que esto vulneraba la separación de poderes, que no se podía permitir que el Gobierno pudiera acceder a las carpetas de los usuarios. ¿Qué le parecería al PP, por ejemplo, que Bildu pudiera acceder a todos los procedimientos judiciales abiertos en el País Vasco?”, se pregunta de manera irónica en conversación con este periódico.

"Pueden saber qué juicios has tenido, quién los juzgó, qué abogado tuviste... Pueden saberlo todo y hacer un perfil con tus datos"

Pero para De la Cueva había otro problema capital: “Al tener el sistema organizado y centralizado, aunque el Gobierno no entre en las carpetas de los usuarios –que puede hacerlo–, puede hacer perfiles de los casos que llevan según qué jueces, abogados, etc. LexNet es un Gran Hermano judicial. Pueden saber qué causas judiciales has tenido, quién las juzgó, qué abogado tuviste, a quién llevaste de testigo... Pueden saberlo todo y hacer un perfil con tus datos. Antes esos datos no salían del juzgado, pero ahora LexNet lo tiene todo centralizado. El Ministerio de Justicia les ha quitado el control a los juzgados".

"El Gobierno no tiene por qué saber qué casos estoy defendiendo yo", asegura, "ni qué jueces están tratando esas causas. Porque entonces puede orquestar campañas para 'formar' a esos jueces en esos temas e influir en ellos". Precisamente De la Cueva fue uno de los letrados que más criticó que hace unos años, cuando la totalidad de juicios contra webs de descargas daban sentencias a favor de dichas webs, el Ministerio de Educación y el CGPJ organizasen cursos para jueces en los que se les 'formaba' en cuestiones de propiedad intelectual.

"Es un sistema oculto, no sabemos si hay más fallos"

Para Javier de la Cueva, lo peor de todo es que no se puede saber si el descubierto este jueves es el único fallo grave de seguridad de LexNet ni el más preocupante: "No podemos saber los fallos técnicos porque es un sistema oculto, no conocemos el código fuente. Lo hemos pedido y nos lo han denegado. Nos econtramos ante una absoluta imposibilidad de saber cuáles son los agujeros de seguridad: puede ser un queso gruyer, y no lo sabemos. No sabemos ni cómo se ha hecho el desarrollo".

En su opinión, "el Ministerio de Justicia debería informar de cuáles han sido las causas, cuántos los posibles afectados, etc. Además, habría que hacer un análisis 'postmortem' para saber qué ha fallado, igual que con los accidentes de aviación. Esto no es un fallo cualquiera: son fallos de seguridad que vulneran nuestros derechos fundamentales".

"Hay que hacer un análisis para saber qué ha fallado, son fallos de seguridad que vulneran nuestros derechos fundamentales"

Lo que parece evidente es que, desde el principio, LexNet ha provocado diversos dolores de cabeza a muchos abogados: "Para empezar, solo funciona con Windows. ¿Por qué un Ministerio diseña una plataforma que solo funciona con el sistema operativo de una multinacional? Es como si me obligan a comprar un boli especial para rellenar las instancias judiciales. Todos los sericios de la administración pública tendrían que valer para software libre, esto es una negligencia y una falta de comunicación de cómo funcionan los sistemas tecnológicos", explica Javier.

José Muelas también se manifestaba en este sentido hace tiempo en este periódico: "LexNet está obsoleto, es lento, no tenemos acceso al código fuente para ver si es seguro... El problema es que todo se ha llevado con secretismo y no podemos auditar la tecnología", aseguraba.

placeholder Javier de la Cueva. Foto: Enrique Villarino.
Javier de la Cueva. Foto: Enrique Villarino.

¿Quién ha hecho Lexnet y cuánto ha costado?

Son las dos preguntas que se hace todo los agentes del colectivo judicial de este país. En primer lugar, ¿qué empresa fue la encargada de desarrollar LexNet, viendo la negligencia que se ha cometido? Y en segundo, ¿a cuánto ascienden los contratos de adjudicación establecidos con dicha empresa?

Ninguna de las dos preguntas han tenido nunca respuesta, pese a la insistencia de grupos parlamentarios como Ciudadanos y Unidos Podemos. El 14 de abril de 2016, Ciudadanos solicitó expresamente al Ministerio de Justicia un "informe de los contratos suscritos con empresas públicas y privadas desde el año 2000 en orden al análisis, diseño, desarrollo, construcción, implantación, mejora o mantenimiento de Lexnet". Nunca obtuvieron respuesta.

Solo entre 2010 y 2016 el Gobierno se ha gastado 7,28 millones de dinero público en LexNet

Javier de la Cueva también ha llevado a cabo varias acciones legales para obtener información sobre LexNet. Además, el Letrado de la Administración de Justicia José Carlos Sánchez Alfonso solicitó al Ministerio de Justicia no solo el código fuente de LexNet, sino también la relación de contrataciones hechas para este sistema, así como el nombre de las empresas adjudicatarias y las cantidades que les fueron pagadas.

En su respuesta, el Ministerio solo ofreció datos de contratación entre 2010 y 2016, dejando en suspense aquellas adjudicaciones realizadas entre 2000 y 2010. Entre los números ofrecidos, el Ministerio dio cuenta de 1,5 millones de euros por el mantenimiento y mejora de LexNet, 1,9 millones por la interconexión de los diversas sistemas de gestión judicial, 855.000 euros por las actualizaciones del sistema y 2,92 millones en otros servicios de mejoras y actualización. En total, 7,28 millones de euros de dinero público gastados entre 2010 y 2016, sin incluir las contrataciones hechas entre 2000 y 2010.

La pregunta ahora es: ¿han servido de algo? La negligencia y la "chapuza" acaecida este jueves en LexNet es de una gravedad que ha indignado a aquellos que ya desconfiaban del sistema. Y lo peor, según dicen todos, es que ni siquiera sabemos si es el mayor agujero de seguridad que tiene ni si volverá a haber problemas que pongan en riesgo los datos privados de los jueces, abogados y procuradores de todo el sistema judicial de nuestro país.

__

¿Tienes información sobre este u otros casos? Envíanosla de forma anónima y segura a través de buzon.elconfidencial.com o ponte en contacto con nosotros en investigacion@elconfidencial.com.

Jorge suelta al teléfono una sonora y larga carcajada. Unos diez segundos. No se lo puede creer. "¡Eso quiere decir que no tenía seguridad ninguna!", dice atónito. Habla de LexNet, el sistema telemático del Ministerio de Justicia para intercambiar información de casos entre juzgados, abogados, procuradores y otros colectivos. Ayer sufrió un grave fallo de seguridad que permitía a cualquier usuario de la plataforma acceder a información de milles de casos abiertos, datos altamente sensibles y secretos. Jorge SoydelBierzo es especialista de ciberseguridad y 'hacker' y no da crédito a que un error "tan elemental" haya dejado fuera de juego a un sistema en el que hasta 2016 se había invertido más de 7 millones de euros en dinero público. Con solo cambiar los IDs que identifican a cada usuario en la URL era posible acceder a la bandeja de entrada privada de otra persona (y a sus documentos). "Es una enorme chapuza", dice Jorge.

El redactor recomienda