Imagínate que el Gobierno de España gasta 7 millones de euros en un sistema telemático para el Ministerio de Justicia, que sirve para que abogados, juzgados y procuradores (entre otros) intercambien información. Ahora imagínate que tras toda esa inversión es facilísimo hackearlo y acceder a una información tan sensible.
Esto es lo que ha ocurrido con LexNET, plataforma que en el día de ayer demostró que tiene más agujeros que un queso Gruyère. El principal problema es que sólo era necesario cambiar el ID de cada usuario en la URL para poder acceder al área privada de esa persona (pudiendo ver la bandeja de entrada, documentos, etcétera).
Cómo hemos llegado a este desastre
Uno de los puntos negros de LexNET es que nunca se supo quién está detrás de su desarrollo. Varios partidos políticos al Ministerio de Justicia un informe que revelara todos los entresijos de este sistema.
Como suele ocurrir en este tipo de casos, no hubo respuesta directa alguna. Lo que sí sabemos es que, entre los años 2010 y 2016, el Gobierno utilizó 7,28 millones de euros de dinero público en esta plataforma.
Esa cantidad se puede desglosar en diferentes apartados:
- 1,5 millones en mantenimiento y mejora del sistema
- 1,9 millones para la interconexión de diferentes áreas
- 855.000 euros para actualizaciones
- 2,92 millones en otros servicios de mejoras
¿Cuál fue el detonante?
El 21 de julio, LexNET recibió una actualización que añadía nuevas funciones, entre ellas la del multibuzón. Debido a un error de programación, se pudo acceder a las cuentas personales de cualquier usuario de la plataforma.
Un portavoz del Ministerio aseguró a Teknautas que "sólo se podía acceder a las bandejas de entrada" y que "no existía constancia de que hubiera accesos indebidos a los buzones de LexNet de usuarios que no fueran legítimos".
El abogado Jose Muelas, decano del Colegio de Abogados de Cartagena, les llama mentirosos y afirma que él mismo pudo "acceder a las notificaciones de otros colegas". Dice tener capturas que demuestran que pudo ver copias de los expedientes al completo, aunque se las reserva en caso de recibir acciones legales por parte del Ministerio.
Precisamente él fue uno de los primeros en darse cuenta del gravísimo fallo en LexNET, poniéndose en contacto con el Ministerio pidiendo que actuaran con urgencia. Como no hubo respuesta, decidió publicarlo en las redes sociales y ahí explotó esta historia.
Tras su queja en Facebook, LexNET decidió ofrecer un comunicado mediante su cuenta de Twitter, reconociendo que existía este error y asegurando que ya estaban trabajando en ello:
Frente al aviso del posible fallo en #LexNET, estamos revisándolo. Os mantendremos informados @SGJusticia
— LexNET Justicia (@lexnetjusticia) 27 de julio de 2017
Tocó cerrar temporalmente el sistema y, cuando pasaron cinco horas desde el aviso de Muelas, la cuenta de Twitter de LexNET regresaba para informar que ya habían solucionado el fallo:
La vulnerabilidad identificada en #LexNET ya está resuelta. El servicio ya está funcionando con normalidad @justiciagob @SGJusticia
— LexNET Justicia (@lexnetjusticia) 27 de julio de 2017
Es preocupante que la justicia sea tan poco transparente, tan poco celosa con su información y tarden tanto en reaccionar ante algo tan grave. Esperemos que este grave fallo en LexNET sirva para que por fin se destape todo lo que es necesario saber de esta plataforma y no haya más errores indeseados.
En Genbeta | Preguntas y respuestas, ¿qué supone la sentencia a favor de BlaBlaCar en España?
Ver 11 comentarios
11 comentarios
yllelder
Como todo lo público en España, otro agujero de dinero... dinero público, dinero de todos nosotros.
Bien aborregados nos tienen para que año tras año sigan gobernando incompetentes que no hablan ni inglés.
Usuario desactivado
Será otra de las obras maestras de Indra? Es secreto, el PP nos oculta quién es el autor de este sistema, pero tarde o temprano se sabrá y para mi que Indra tiene muchas papeletas, esta chapuza lleva su firma.
Además que este sistema esté en manos del Gobierno en vez de en manos de la Justicia es un atentado contra la separación de poderes. Tienen acceso a todo sin ningún tipo de control.
Es un auténtico escándalo. Pero les habéis votado, a ellos o a quienes les mantienen en el poder, así que nos toca seguir aguantándoles unos cuantos años desgraciadamente. Qué pena de país, lo que estáis haciendo no tiene nombre.
Lecquio
Se gastaron un pastizal en hacer de cero lexnet abogacía y en poco más de 1 año la cerraron y lo pasaron todo a lexnet justicia, que ya existía.
Alguien se llevó un sobre muy grande
ariasdelhoyo
Este es el típico fallo por el que mi profesor me suspendería la asignatura sin ni siquiera mirar el resto del trabajo. Sin embargo hay en sitios que cobran millones por hacerlo.
O yo tenía unos profesores muy exigente, o hay por ahí cada zote del copón.
juanmcm
No diré de un partido o de otro pues en ambos hay gente que no tiene ni idea de lo que es la tecnología ni mucho menos la sociedad digital.
Por ello para esta gente, cuando voy a presentar un proyecto al Colegio de Arquitectos de Madrid ver que lo hago en un pendrive debe ser algo como... "que poco trabaja este hombre" y no lo hago en carpetas inmensas pues por una circular ya no se admiten.
Es decir, ellos no entienden que eso de tener estanterías llenas de papeles y sin orden ni concierto y no tenerlo todo digitalizado en un disco duro o en un NAS o en la nube es algo que clama al cielo.
Para ellos, esto de la seguridad informática no merece la pena pues no son conscientes que ahora todo viaja por este medio.
Parece mentira pero he tenido experiencias de este tipo, que más da, e incluso uno ni corto ni perezoso me dijo "eso de intrerné [habrá mezclado internet con intranet] es una mierda ya que no tiene seguridad alguna" y yo le dije que obvio que es inseguro, si nadie quiere invertir en esto.
No sé a que esperan, pero no sé si serán conscientes que hay datos míos y suyos así como de su familia por ahí pululando y que deberían invertir en seguridad informática, ya que de lo contrario, lo van a flipar.
Esto de LexNET es una chapuza, pero a saber las que habrá por ahí que aún no han saltado...
alberto
No voy a entrar en si es culpa del PP o del PSOE por que con ambos pasa lo mismo.
Siempre que hay un proyecto público el coste es enorme y el resultado es penoso. En el caso de un sistema tan delicado como este debería de haberse contratado a una empresa de seguridad externa que auditase el resultado. Esto no es una web del gobierno que si la hackean lo más que se consigue es pasar vergüenza. Se ha podido hacer mucho daño durante mucho tiempo y seguramente sigan existiendo agujeros de seguridad sin destapar que seguir explotando.
P.D. 7 millores. Lo que se puede hacer por 7 millones en una empresa privada no tiene nombre.
karrtojal
Corruptela. Los jefes engordan las facturas para quedarse con el dinero y contratan a becarios o gente con poca experiencia. Pasa esto. Y los culpables de verdad son los que se llevaron la pasta.