Una “vulnerabilidad”, una “becha de seguridad”, un “fallo”. La parálisis del sistema de intercambio de comunicaciones en el ámbito de la Justicia española, denominado LexNet, ha puesto al descubierto una cadena de problemas de seguridad e, incluso, dudas sobre la concesión de la creación y mantenimiento de la plataforma, de quien es responsable el Ministerio de Justicia. Ese “caos”, como muchos usuarios han denominado al problema que estalló el pasado jueves con LexNET no ha sorprendido a muchos expertos conocedores del sistema y de la gestión que hacen las empresas que están detrás del proyecto.
Pero la lista de problemas con la seguridad informática en el Ministerio de Justicia no se queda ahí. Este jueves, ese ministerio ha anunciado, además, que ha puesto una denuncia al autor de un supuesto ataque a un servidor interno de su web el pasado viernes. Desde Justicia aseguran que no afectó a información relevante o de carácter privado, según fuentes del departamento citadas por la agencia EFE. Sin embargo, expertos informáticos descartan que el problema sea que exista un ‘hacker’ que ha entrado en los sistemas sino la mera existencia de un servidor abierto a cualquier persona en la Red. “Me metí en Shodan y encontré una IP de Justicia no securizada. Entré y te daba acceso a un directorio, estaba abierto y sin contraseña. Otro fallo de configuración hacía que pudieras acceder con permisos de administrador al panel de monitorización de LexNet y a carpetas con miles de documentos sobre esta plataforma y sobre Orfila”, ha explicado un estudiante de ingeniería de 20 años en el diario ‘El Confidencial’.
El Ministerio insiste en que los documentos no fueron descargados ya que se paralizó el «ataque» al detectarse y que, en ningún caso afectaban a asuntos confidenciales, tampoco en el caso de Orfila -que conecta a los tribunales con los Institutos de Medicina Legal– ya que es un sistema de 2013 que ya no se utiliza, según las mismas fuentes del Ministerio de Justicia. Sin embargo, la posibilidad de acceder a ese tipo de información, que permite conocer las entrañas de los sistemas del ministerio, supone un gran agujero de seguridad que se suma al vivido recientemente con el sistema que utilizan, de manera obligatoria, los abogados para recibir notificaciones y gestionar documentación de diversos casos. Justicia ha denunciado a la persona que accedió a esa información al ser externa al ámbito de la Justicia y, por tanto, sin autorización para acceder a esos datos.
El “desastre” de LexNET
El caos comenzó el jueves 27 de julio. Ese día cualquier usuario del sistema podía acceder a documentos de otros usuarios (abogados, fundamentalmente), tener información de casos abiertos y cerrados e, incluso, gestionar sus notificaciones. Fue el decano del Colegio de Abogados de Cartagena, José Muelas, quien alertó de este problema al Ministerio de Justicia y puso en alerta a otros usuarios en las redes sociales. El Ministerio reaccionó rápido, clausuró el sistema y apenas una hora después lo volvió a poner en marcha.
La vulnerabilidad identificada en #LexNET ya está resuelta. El servicio ya está funcionando con normalidad @justiciagob @SGJusticia
— LexNET Justicia (@lexnetjusticia) 27 de julio de 2017
Aun así, un día después se anunciaba el cierre durante el fin de semana de este sistema “por tareas de mantenimiento”. El caos generado fue tal que el ministro de Justicia, Rafael Catalá, convocó ese viernes un gabinete de crisis para tratar de resolver el “problema en las próximas horas”.
Reunido con mi equipo para prestar un mejor y más seguro servicio de @lexnetjusticia en las próximas horas. RC pic.twitter.com/aECXWOtDgi
— Rafael Catalá Polo (@RafaCatalaPolo) 29 de julio de 2017
Desde el Ministerio, justifican el fallo a una actualización del sistema y en diversas comunicaciones aseguran que el sistema ya funciona sin problemas. Sin embargo, el ‘caso Lexnet’ ha hecho reflotar un gran número de críticas que aparecieron nada más iniciarse su implantación. Ha sido uno de los proyectos estrella en el Ministerio de Justicia de los gobiernos de Mariano Rajoy, con los que se buscaba la eliminación del papel en la tramitación de diversos procedimientos judiciales. A partir de enero de 2016, su uso ha sido obligatorio.
La portavoz de la Fiscalía de la Audiencia Nacional, Dolores Delgado, ha denunciado este caso como una “chapuza informática” en Twitter y ha pedido que se asuman responsabilidades. También el Sindicato de Trabajadores de la Administración de Justicia han pedido la dimisión de los máximos responsables de este fallo de seguridad y piden que su gestión pase al Consejo General del Poder Judicial (CGPJ). Tanto el máximo órgano judicial, como el Ministerio de Justicia han abierto una investigación interna por lo sucedido y la oposición ha pedido la comparecencia del ministro de Justicia, Rafael Catalá, para explicar el desaguisado.
Costes y adjudicación
No solo el desarrollo y los fallos de uso de este sistema han sido polémicos. Tampoco están claros los costes del proyecto y las empresas que se encuentran tras el mismo. Su contratación se realizó a través de una ‘encomienda de gestión’, de modo que las contrataciones se realizan a través de otra administración, en este caso Hacienda. Justicia solo reconoce el gasto de unos 7,2 millones en nueve adjudicaciones a ISDEFE (Ingeniería de Sistemas para la Defensa de España S.A.), según ‘El Confidencial’. Las subcontrataciones de esa empresa pública pasan por varias empresas, aunque solo se reflejan las contrataciones realizadas entre 2010 y 2016.
PPC