¿Cómo hemos llegado hasta aquí?

Este 'software' es una ruina: todo lo que tienes que saber sobre el 'desastre LexNet'

Un programa informático está poniendo contra las cuerdas al Ministro de Justicia, Rafael Catalá. Piden su dimisión por errores, filtraciones y negligencias. Esta es la cronología del 'desastre LexNet'

Foto:

Fallos de seguridad garrafales, filtraciones de miles documentos internos, interrupciones de servicio... El Ministerio de Justicia ha vivido estos días una pesadilla llamada LexNet. Ahora, con la llegada de agosto, la vida judicial queda interrumpida y también este programa informático, pero nadie duda de que volverá con muchas asignaturas pendientes en septiembre. Estas son las claves de la mayor chapuza informática de la Administración Pública española (que sepamos).

Manuel Ángel MéndezManuel Ángel Méndez

¿Qué demonios es LexNet?

LexNet es un webmail, como puede ser Gmail, de uso privado para los actores del sistema judicial. Tiene dos usos: por una parte, a través de LexNet los abogados presentan la documentación de sus casos a los procuradores y jueces. Por otra, el sistema judicial manda sus notificaciones (cuándo se realizará un juicio, plazo para recurrir una pena, etc) a abogados y procuradores a través de ese sistema.

LexNet ha tenido un rosario de errores: "puedes pasarte una hora y media para mandar un archivo"

LexNet empezó su implantación gradual en 2011 y en 2016 pasó a ser obligatorio en todo el sistema judicial español. Desde prácticamente el minuto cero recibió múltiples quejas de los profesionales de la justicia, centradas sobre todo en las paradas del sistema y los problemas con las notificaciones, como los fallos en las entregas o la inexistencia de acuses de recibo.

El rosario de errores no acaba aquí: mala implementación de uso con navegadores tan conocidos como Google Chrome y Microsoft Edge, obligación de usar el sistema operativo Windows, imposibilidad de subir archivos mayores de 15 MB y mucha lentitud, hasta el extremo de que "puedes pasarte una hora y media para mandar un archivo", asegura a Teknautas el abogado Sergio Carrasco.

El wiki Ingenio2010 tiene un largo artículo dedicado a todos los problemas que LexNet ha causado a abogados, fiscales y procuradores en todos estos años, destacando especialmente la complicada integración con sistemas parecidos de las Comunidades Autónomas.

¿Por qué se ha montado ahora este jaleo?

LexNet no cumple con los Esquemas Nacionales de Interoperabilidad y Seguridad, pero el público no lo ha sabido hasta ahora, cuando han salido a la luz importantes errores de seguridad informática. El pasado jueves se descubrió un fallo que permitía que los abogados acceder a las carpetas del resto de abogados y usuarios de LexNet y ver toda la documentación de sus casos.

Servicio LexNet en el Ministerio de Justicia.
Servicio LexNet en el Ministerio de Justicia.

Además, algunos abogados denunciaron que recibían notificaciones que iban dirigidas a otros letrados. El Ministerio de Justicia emitió un comunicado informando de que había instalado una nueva versión de LexNet, el 21 de julio, que podía estar causando estos problemas. De todas formas, los abogados más críticos no tienen claro si el error llevaría solo una semana en el sistema, como afirma el Ministerio, o más tiempo.

A raíz de este escándalo, diversos expertos en ciberseguridad realizaron investigaciones por su cuenta. Uno de ellos, de tan solo 20 años, descubrió en el buscador Shodan un servidor de Justicia conectado a Internet sin contraseña. Solo tuvo que hacer clic y entró en el directorio del sistema. Como reveló Teknautas en exclusiva, dentro había casi 11.000 documentos con, entre otra información, el código fuente de LexNet, certificados de seguridad y mapas de la topologia de las redes de LexNet y Orfila, de gran valor para planificar intrusiones en el sistema.

¿Cómo me afecta esto a mí?

No se sabe durante cuánto tiempo ha sido posible que los abogados pudiesen acceder a los documentos de casos llevados por otros abogados. Tampoco se sabe cuánto tiempo llevaba abierto a Internet el servidor del Ministerio de Justicia. La información en él contenida permitía que no solo un abogado sino cualquiera pudiese entrar en LexNet y copiar la documentación de todos los procesos judiciales activos en España.

Solo el hecho de que se haya podido entrar en carpetas ajenas, independientemente del tiempo, ya tiene una gravedad enorme

Según el abogado Fabián Valero, "solo el hecho de que se haya podido entrar en carpetas ajenas, independientemente del tiempo, ya tiene una gravedad enorme". Cualquier persona con un proceso judicial abierto en España ha sufrido el riesgo potencial de que "cualquiera pueda ver sus datos personales y los datos de su caso", afirma Valero, además de acceder a la estrategia de defensa de su abogado.

Para colmo, en el servidor descubierto por el joven 'hacker' había información que podría permitir acceder a Orfila, una base de datos que guarda toda la información de los Institutos de Medicina Legal: autopsias, informes forenses por asesinatos, violaciones, etc. En resumen: datos médicos especialmente sensibles. Otros datos sensibles también expuesos son los de identificación de los miembros de cuerpos de seguridad relacionados con los diferentes casos.

Manuel Ángel MéndezManuel Ángel Méndez

Toda esta información expuesta podría dar ventaja en un juicio a la parte que tuviese acceso a ella. Otro grave problema es el "baile" de notificaciones de los últimos días en LexNet: muchos abogados recibieron notificaciones que no eran para ellos, las leyeron y borraron. Para el sistema, la notificación consta como recibida, pero no la recibió el abogado a quien iba dirigida, que desconoce la existencia de la misma. Una notificación puede referirse por ejemplo al aviso del plazo para recurrir una pena de prisión, que en este caso no podría ser recurrida por desconocimiento del abogado.

¿Qué dice el ministro de Justicia?

Cuando se descubrieron los primeros errores de seguridad, el ministro Rafael Catalá convocó un gabinete de crisis cuya única acción pública ha sido cerrar durantes tres días LexNet para realizar una auditoría interna. El sistema se reabrió el domingo pasado, desvelando aún muchos problemas y saturaciones del servicio.

El ministro de Justicia, Rafael Catalá. (EFE)
El ministro de Justicia, Rafael Catalá. (EFE)

En cuanto al reciente descubrimiento de un servidor en la red, sin contraseñas y repleto de documentación comprometedora, el Ministerio de Justicia presentó una denuncia ante la Policía Nacional el pasado martes contra el joven que realizó esta intrusión.

"Consideramos que no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la admnistración pública. Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido. Es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior", explicó a Teknautas un portavoz de Justicia.

¿Cuánto ha costado LexNet y quién es el responsable?

Según las informaciones hechas públicas por el Ministerio a raíz de la reclamación de un grupo de abogados, cómo mínimo se habrían invertido en LexNet 7,28 millones de euros de dinero público, entre 2010 y 2016, sin incluir las contrataciones del periodo de pruebas e implantación gradual, entre 2000 y 2010.

La responsabilidad de crear LexNet la tiene desde 2010 la Subdirección General de Nuevas Tecnologías de la Justicia, que adjudicó el trabajo a la empresa pública Ingeniería de Sistemas para la Defensa de España S.A. (ISDEFE). Esta contrató su desarrollo a diferentes empresas privadas, siendo Avalon y Satec las principales responsables de su diseño, puesta en marcha y posteriores contratos de "mejora" (Satec entre 2003 y 2010; Avalon es una de las empresas que sigue hoy en día involucrada en el mantenimiento y desarrollo de LexNet).

LexNet tiene solución "como idea, pero el código es deficiente, hay que diseñar un nuevo sistema"

Según asegura en su web, Satec habría ejecutado diversas tecnologías que garantizan la seguridad de LexNet ante posibles ataques o infecciones. También Novasoft e Indra han participado del desarrollo, centrándose más en la implantación en comunidades autónomas.

Y esto, ¿tiene solución?

Todos los expertos consultados coinciden en que habría que parar el sistema y empezar de cero. Para el abogado Sergio Carrasco, LexNet tiene solución "como idea, pero el código es deficiente, hay que diseñar un nuevo sistema". Y el primer paso debería ser "certificar su seguridad con una auditoría externa completa", aún a sabiendas de que, incide Fabián Valero, "puede ser muy complicada porque es un código deficiente al que se ha aplicado parche sobre parche y a cada nuevo parche aparece una vulnerabilidad".

Otro problema estructural de LexNet es su dependencia del Ministerio de Justicia, lo que según Valero, Javier de la Cueva, David Maeztu y otros abogados provoca que "el poder ejecutivo tiene toda la documentación del poder judicial". Algo que no suena muy higiénico en una democracia. Hace tiempo que los abogados piden que LexNet depenga del Consejo General del Poder Judicial y ahora, si se hace una remodelación, sería el momento de volverlo a plantear.

¿Es posible pedir responsabilidades?

Nadie duda de que el agujero de seguridad de LexNet puede dar pie a denuncias por desprotección de datos personales, pero el organismo que podría denunciarlo no puede gestionarlas, explica Valero: "La Agencia de Protección de Datos depende del Gobierno y la administración no puede sancionarse a sí misma". Por tanto, la Agencia de Protección de Datos no puede poner una multa al Ministerio de Justicia.

M. A. MéndezM. A. Méndez

Las demandas que haya vendrán de fuera de la administración, por ejemplo de la fiscalía, que puede actuar de oficio por negligencia. De hecho la portavoz de la Fiscalía de la Audiencia Nacional denunciaba ayer la "chapuza" del sistema LexNet en un escrito donde pedía: "Explicaciones ya por la gran chapuza informática... y responsabilidades. Alguien se va a tomar en serio la JUSTICIA?"

Terror: ¿qué pasará en septiembre?

Nadie espera un septiembre tranquilo en LexNet, con abogados y fiscales en pie de guerra. "Será un desastre seguro, como todos estos años, pero además tendrás el pánico de qué pasará con tus notificaciones y los datos de tus clientes, que es lo que te preocupa como abogado", explica Fabián Valero. El Ministerio de Justicia tiene todo un mes de agosto por delante para solventar los problemas de LexNet.

El 1 de septiembre empieza lo que para muchos profesionales del sector es la última oportunidad de Justicia para demostrar que la plataforma puede funcionar. Por si acaso, recuerde estas dos palabras: Desastre LexNet. Es muy probable que las vuelva a escuchar a la vuelta de vacaciones.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
7 comentarios
Por FechaMejor Valorados
Mostrar más comentarios