No sé si te pasó como a mí y descubriste LexNET a principios de verano, cuando salió la noticia de la vulnerabilidad que había obligado a suspender el servicio un par de días. Las noticias publicadas comentaban que había caído el sistema debido a un fallo grave de seguridad que comprometía la confidencialidad de la información que contiene: casos abiertos, datos altamente sensibles y secretos. Pensé erróneamente que se trataba de un nuevo sistema telemático que había implementado el Ministerio de Justicia, y que una mala programación o previsión de incidentes había conseguido dejarla en evidencia justo en su estreno. Nada más lejos de la realidad.
LexNet: 13 años de andadura
El sistema LexNET(1) (que traducido sería “la Ley en la Red”) empezó a funcionar en 2004 para permitir que las notificaciones entre los órganos judiciales y los profesionales de la abogacía se hicieran telemáticamente dejando de lado el papel.
Logo extraído de: https://lexnet.justicia.es
El objetivo principal, eliminar las montañas de documentación que colapsan los juzgados y despachos, y que ésta esté disponible a través de un dispositivo electrónico, ya sea ordenador, móvil o tablet. La imagen que nos viene a la cabeza cuando pensamos en cualquier abogado entrevistado en su despacho, con su mesa repleta de papeles, ya tiene los días contados.
Desde principios de 2016 todos los profesionales que se relacionen con la Administración de Justicia han de relacionarse obligatoriamente con ella a través de LexNET. Cualquier documento judicial (escrito, demanda o notificación) que intercambien diariamente se ha de hacer telemáticamente.
Si hablamos de números, actualmente LexNET es utilizado por más de 3.500 órganos judiciales, tiene más de 52.000 usuarios registrados, y ha permitido el intercambio de más de 160.000.000 de comunicaciones. A día de hoy permite tanto el intercambio seguro e inmediato de información, el acceso vía web a la información las 24h los siete días de la semana, y el uso de firma electrónica, a parte de un claro ahorro de papel.
LexNET: distinto uso en provincias españolas
En la página de lexnetjusticia.gob.es aparece un mapa de España donde se puede ver el Mapa de Comunicaciones Electrónicas implantado actualmente en cada provincia.
En verde aparecen aquellas provincias donde para todas las jurisdicciones y colectivos es posible el uso de LexNET tanto para la presentación de escritos, como para la recepción electrónica de notificaciones.
En el resto de provincias rojas o amarillas actualmente está limitado el uso de LexNET para ciertas jurisdicciones y colectivos, o bien no está disponible. Por ejemplo en las cuatro provincias catalanas sí se usa para la recepción electrónica, pero no para la presentación que se realiza a través del portal Justicia.cat, y en cambio en el País Vasco tanto la presentación como la recepción se realiza a través de su propio sistema JustiziaSip.
¿Que pasó el 28 de julio de 2017?
Un fallo de permisos en LexNET permitió que durante horas tanto abogados como procuradores pudieran acceder a cualquier documentación de casos judiciales abiertos del resto de profesionales de la abogacía. Cualquier usuario del sistema con sólo cambiar los IDs de usuario en la propia URL podía entrar a las carpetas privadas de otros usuarios y acceder a todo su contenido.
Parece ser que el error lo detectaron algunos abogados y fue reportado al Ministerio, pero ante la falta de respuesta de éste los usuarios de LexNET empezaron a quejarse en las redes sociales del fallo. Posteriormente la cuenta de LexNET en Twitter admitió el malfuncionamiento del sistema y aseguró que estaban trabajando para resolver el problema que lo ocasionaba. Después cerraron temporalmente el sistema y volvieron abrir a las cinco horas indicando que el problema ya estaba resuelto. Al día siguiente los responsables de LexNET informaban que el sistema permanecería cerrado casi tres días para poder realizar tareas de mantenimiento.
El Ministerio de Justicia ante la gravedad de los hechos hizo un comunicado explicando que el error informático se produjo tras una actualización del sistema. La nueva versión tenía un fallo en el control de accesos al sistema por culpa de un error en la programación del código. También comentaba el comunicado que “los sistemas de auditoría y control del Ministerio no habían identificado acceso indebido alguno a los buzones de LexNET de un usuario que no fuera el legítimo”(2).
Esto último fue al momento cuestionado por usuarios que aseguraban haber accedido a documentación de colegas a los que previamente habían pedido permiso para poder corroborar que lo que se estaba comentaba, sobre el fallo de seguridad de LexNET, era realmente cierto.
Novedades a día de hoy
A principios de semana se hacía público que el Gobierno había aprobado una inversión de 61,2 millones de euros para solucionar los problemas derivados de LexNET, no sólo las vulnerabilidades informáticas, sino también las deficiencias que algunas comunidades autónomas están teniendo a la hora de integrarse en el sistema.
Y hoy mismo, 31 de agosto, el ministro de Justicia, Rafael Català, ha revelado durante su comparecencia ante la Comisión de Justicia del Congreso, que 49 abogados intentaron acceder a documentos de otros letrados cuando se hizo público el fallo que afectaba a LexNET. Así pues su declaración es totalmente contraria a la realizada inicialmente después del fallo cuando se dijo que no había habido accesos indebidos.
LexNET en el futuro
Parecer ser que ya desde que empezó a desarrollarse LexNET hacia el año 2000 ya aparecieron las primeras preocupaciones sobre el tema de la ciberseguridad, según algún experto en el tema el fallo en LexNET de finales de julio no es algo aislado. Dicho experto puntualiza que el sistema del Ministerio de Justicia de notificaciones telemáticas es un proyecto informático público más que ha acabado desarrollándose entre múltiples grandes consultoras informáticas, que a la vez han subcontratado a empresas de informática para hacer el trabajo.
¿Cuál es el problema de que haya mil manos diferentes tras la programación del sistema? Pues al trabajar de esta manera lo que se consigue es que cuando una empresa detecta un fallo en el código que le ha llegado de la otra empresa anterior, en lugar de solucionarlo de raíz, lo que hace poner un parche para que el programa haga lo que se supone que ha de hacer. Según el experto ha faltado uniformidad, y está convencido que volverá a haber problemas puesto que nadie ha sido diligente y ha evaluado los potenciales fallos y vulnerabilidades de LexNET.
Habrá que ver si esta vez desde el Ministerio de Justicia se muestran proactivos y, antes de esperar que vuelva a producirse un fallo en un sistema tan crítico como este (contiene desde datos de testigos protegidos, a informes forenses por violaciones, asesinatos etc.), se realiza un buen análisis de riesgos y vulnerabilidades del sistema, que junto con una auditoría externa, permita certificar y mejorar el estado de la seguridad de la información jurídica que contiene LexNET, y disponer de medidas y controles para garantizar su protección y seguridad no sólo ante fallos del propio sistema, sino ante posibles ciberataques que pueda sufrir.
Noticia de último minuto (en desarrollo)… LexNet se vuelve a caer hoy 1ero de septiembre 2017
Por la tarde, desde Justicia han explicado que el fallo se ha debido a una serie de ciberataques dirigidos al servicio de internet proporcionado por Telefónica. “Sobre las 11:00 se ha detectado un primer intento de bloqueo del acceso a LexNet”, explican desde el ministerio. “El objetivo del ataque ha sido intentar colapsar y hacer inaccesible LexNet a los usuarios legítimos del mismo”.
Formación profesional de tu interés
El curso Ciberseguridad: Gestión de incidentes y Continuidad del Negocio, el alumno podrá estudiar los peligros y riesgos más habituales que puede tener la empresa en el entorno cibernético y como puede solventar estos problemas a través de conocerlos y saber reaccionar a los mismos.
Este programa pertenece al Máster en Dirección y Gestión de Ciberseguridad.
Fuentes referenciadas
(2) https://www.elconfidencial.com/tecnologia/2017-07-27/lexnet-justicia-sistema-telematico_1421771/
Fuentes consultadas
https://lexnetjusticia.gob.es/web/guest/inicio
https://cso.computerworld.es/proteccion-de-datos/descubriendo-lexnet