Ciberseguridad: Los guardianes de Lexnet: Volverá a fallar o lo hackearán, hay agujeros gravísimos. Noticias de Tecnología
LOS EXPERTOS NO DUDAN: "ESTO NO HA ACABADO"

Los 'guardianes' de Lexnet: "Volverá a fallar o lo 'hackearán', hay agujeros gravísimos"

Casi todos hemos conocido Lexnet este verano, pero varios informáticos, abogados e ingenieros llevan años criticando su desarrollo. Hemos hablado con ellos y coinciden: los problemas volverán

Foto:

El desastre del Ministerio de Justicia con Lexnet, que ocasionó negligencias graves de acceso, la paralización del servicio durante varios días y hasta la filtración de 11.000 documentos públicos, nos ha pillado por sorpresa a todos. ¿A todos? No exactamente. Hace poco más de un año, este periódico publicó un reportaje en el que varios miembros del sistema judicial español daban la voz de alarma y apuntaban no solo su posible vulneración de la separación de poderes, sino también los fallos informáticos que podría albergar.

No eran los únicos. Desde que comenzase el desarrollo de Lexnet, en torno al año 2000, varias personas de sectores como la abogacía, la ingeniería, la consultoría y la ciberseguridad han seguido de manera crítica y con preocupación las evoluciones y desarrollo de este sistema. Hemos hablado con varias de ellas y todas coinciden en la misma conclusión: los problemas de Lexnet no han acabado.

"No es algo aislado, volverá a pasar"

Joaquín (nombre modificado) supera los 40 años de edad y, en toda su trayectoria profesional, ha pasado por varias consultoras tecnológicas y empresas del sector. Una de sus etapas laborales transcurrió precisamente en dos de las grandes compañías que formaron parte del desarrollo de Lexnet. En aquella época, con un cargo medio-bajo dentro de una de esas empresas, tuvo acceso directo a Lexnet.

"Lo que ha pasado no es algo aislado, no es puntual", asegura a Teknautas. "Lexnet es uno de los muchos proyectos informáticos públicos que han pasado por mil manos: por una parte, las de todas las grandes consultoras que han estado en su desarrollo; por otra, las de las empresas de informática a las que las consultoras fueron subcontratando trabajo".

Que haya fallos es normal, lo anormal es que no se solucionen. Si alguien intenta 'hackearlo', yo no daría un duro por Lexnet

"Que haya fallos es normal", afirma, "lo que no es normal es que no se solucionen. Cada empresa que ha participado en Lexnet se ha encontrado con los fallos que traía la anterior. Ha faltado uniformidad: lo que la mayoría de empresas ha hecho es poner parches, en vez de solucionar los problemas de fondo".

Joaquín no tiene dudas: "Volverá a haber fallos, por supuesto. No tienen por qué ser fallos que pueda ver el ciudadano de la calle, pero sí pueden surgir problemas similares al de la url que te mandaba al perfil privado de otra persona. El gran problema de Lexnet es que nadie ha sido diligente a la hora de evaluar los posibles fallos. Y si alguien con el tiempo y las ganas suficientes intenta 'hackearlo', yo no daría un duro por Lexnet".

"Cualquiera se pudo bajar el código"

También se muestra crítico Epsilon, uno de los miembros del blog 'ingenio2010', que ha seguido de cerca los pasos de Lexnet: "Todo el mundo dice ahora que ha sido un 'error', pero es mucho más: es un problema de malos sistemas informáticos. Algunos de los fallos de Lexnet son de 1º de Ingeniería Informática y de 1º de Formación Profesional".

Además, tras los fallos de Lexnet, "el código está ahí fuera, cualquiera que sepa usar un buscador se lo ha podido bajar. Estoy seguro de que los problemas no se han solucionado".

Algunos de los fallos de Lexnet son de 1º de Ingeniería Informática y de 1º de FP

Algo más prudente se muestra Román Ramírez, fundador de RootedCON y una de las figuras más conocidas dentro de la comunidad 'hacker' española: "Mantener sin vulnerabilidades los sistemas es muy complejo. Con el poco tiempo que ha pasado, no creo que hayan podido abordar todas las posibles vulnerabilidades de Lexnet".

Eso sí: "Dada la gravedad de lo ocurrido, imagino que estarán dedicando recursos a ello en el menor tiempo posible". Y es que la dificultad "no es un descargo de responsabilidad para nadie: que algo sea difícil de hacer no implica que no haya responsabilidad y obligación de hacerlo bien", asegura.

Román Ramírez, fundador de RootedCON y miembro de la comunidad 'hacker' española.
Román Ramírez, fundador de RootedCON y miembro de la comunidad 'hacker' española.

¿Ha habido robo de información?

Tras el 'desastre Lexnet', el Ministerio de Justicia trasladó el mensaje de que lo ocurrido apenas se correspondía con un mero 'error informático', un concepto que ha podido calar medianamente en la sociedad española. Sin embargo, lo cierto es que la negligencia ha ido mucho más allá.

No hay más que irse a los hechos: en los primeros problemas de acceso, cualquier miembro del sistema judicial español habría podido entrar al perfil de otra persona y acceder a documentación privada, ya fuera de un simple hurto, de una prevaricación o de la Gürtel entera.

Lo de Lexnet no ha sido un mero 'error informático': decenas de miles de documentos públicos han quedado comprometidos

En el caso de Galicia, tres cuartos de lo mismo: los fallos en Minerva (sistema conectado con Lexnet) habrían permitido "a cualquier juez, letrado o empleado público consultar datos de testigos protegidos, menores de edad, víctimas de delitos de agresión sexual o violencia machista y casos de corrupción en instrucción".

Para el abogado Sergio Carrasco, uno de los primeros en detectar los fallos de Lexnet, se trata de una negligencia grave: "Pensemos en lo que puede suceder si se tiene acceso a información de testigos protegidos: estas personas creen estar protegidas, y en realidad su identificación puede resultar mucho más sencilla de lo que creen. No se trata de desconfiar de los funcionarios o fiscales, sino de que el sistema no puede permitir que nadie acceda a documentación de otros".

Puede haber nombres de presuntos culpables, direcciones físicas de personas maltratadas, cuentas de empresas...

Y es que, en los documentos privados de Lexnet, puede haber cualquier tipo de datos: "Puede haber nombres de presuntos culpables, direcciones físicas de personas maltratadas [con el evidente riesgo de que esa información caiga en malas manos], números de cuenta de empresas, etc. Basta con echar un vistazo a las resoluciones judiciales para extrapolar el tipo de datos que se podrían encontrar", asegura Román Ramírez.

Epsilon va mucho más allá: "Imagínate que un jefe intermedio de una consultora consigue el código, encuentra uno de sus muchísimos agujeros y le ofrece a un político imputado que se produzca un 'problema', que una notificación no sea recibida y que, por trámites judiciales, acabe quedando libre por un tema meramente procedimental. Así está la cosa".

"Es cuestión de tiempo que haya nuevos fallos"

Sergio Carrasco no tiene la menor duda: "Es solo cuestión de tiempo que se descubran nuevos fallos en Lexnet, y los habrá, sobre todo por el efecto llamada que tiene la detección de una vulnerabilidad básica como la que se ha encontrado".

Y es que la falta de información sobre los procesos de adjudicación y el desarrollo de Lexnet juega a favor de la sospecha: "Es una vulnerabilidad que ha sido detectada a través de prueba y error, no se ha realizado ningún 'pentesting' del servidor, y no sabemos cómo se ha programado la aplicación".

Estos sistemas tienen mucha mala programación, a saber cuántas vulnerabilidades han dejado ahí dentro

Además, según Epsilon, "este tipo de sistemas suelen tener mucha deuda técnica [mala programación] y muchas vulnerabilidades no resueltas. A veces, los programadores incluso ponen en los comentarios del código cosas como 'resolver luego' y lo dejan ahí... hasta que cambian de empresa. Sería interesante saber cuáles son las vulnerabilidades más absurdas que han dejado ahí dentro".

La situación, por tanto, parece augurarnos una tensa espera durante los próximos meses. Si Lexnet supuso un caos tecnológico y un negligencia informática dentro del sistema judicial español, la llegada de nuevos fallos podría ahondar más aún en esta crisis. Solo queda esperar y confiar en que no vuelva a haber problemas.

Tecnología
Escribe un comentario... Respondiendo al comentario #1
4 comentarios
Por FechaMejor Valorados
Mostrar más comentarios