“Jamás nadie pudo tener acceso a millones de documentos a través de Lexnet”, según el ministro de Justicia
El ministro de Justicia, Rafael Catalá, compareció ante los miembros de la Comisión del ramo del Congreso de los Diputados con los deberes hechos para explicar a los diputados lo ocurrido con Lexnet el 27 de agosto y entre el 28 y el 30 del mismo mes, después de que el que el decano del Colegio de Abogados de Cartagena, José Muelas, diera la voz la alarma.
La mejor prueba “forense” fue el uso de frases categóricas como “Jamás nadie pudo tener acceso a millones de documentos a través de Lexnet, como se ha dicho”. O “Lexnet es un sistema consolidado, seguro. Es imposible acceder a una información que no sea propia, de un profesional”; “Es la herramienta más segura y más garantista que existe en nuestro sistema actual” o “Lexnet es muchísimo más eficaz y seguro que un fax, una carta o entregar papeles a través de las ventanillas”.
De acuerdo con Catalá, el “agujero” -término que evitó pronunciar en favor de “defecto”- había tenido su origen en una mejora de Lexnet, en su última versión, y estaba relacionado con la petición de un colectivo de profesionales para que se crease “una especie de acceso multibuzón”.
“Buscando una solución que diera un mejor acceso a los profesionales, se produjo el error de la programación del software”, explicó Catalá.
“¿Esto quiere decir que una persona podía ver la información de otra contenida en Lexnet? En absoluto. Para eso había que dar una serie de pasos que no estaban al alcance de cualquiera”, añadió.
Primero, el “hacker” tenía que autentificarse. Tenía que ser un profesional, por lo tanto. Debía acceder con su tarjeta profesional.
Una vez en el sistema, debía modificar la URL de acceso a su buzón. La URL es un número de 10 dígitos. Los 4 últimos conforman el número de ese buzón.
“Ese era el número que debía modificar para poder acceder. Pero para hacer esa alteración debía conocer la URL de la persona habilitada”, señaló Catalá. “No se vieron expuestos millones de documentos. Hablamos de un fallo. De un número limitado de profesionales y de un número de documentos”.
49 intentos de acceso
Catalá reveló a los miembros de la Comisión un dato que le disgustaba de sobremanera: “Conociéndose públicamente que el defecto había sido subsanado a las 16.25 de la tarde del 27 de julio, durante las 16 horas siguientes se reportaron 49 intentos de información de otros buzones. Intentos infructuosos y perfectamente identificados. 49 profesionales del mundo de la justicia con nombres y apellidos identificados intentaron acceder a los buzones de otros tantos compañeros, conscientes de que ni es ético ni es legal”.
“Me parece muy grave”, señaló.
Esa misma tarde del 27 de julio, contó, se constituyó un Comité de Seguimiento y dio instrucciones para abrir una auditoria interna para aclarar las circunstancias.
Según el ministro, notificaron el incidente a la Agencia Española de Protección de Datos (AEPD) y al Consejo General del Poder Judicial.
“Requerimos la colaboración inmediata del Centro Criptológico Nacional (CCN) que venía colaborando con nosotros y nos está ayudando con esta materia”, reveló.
Dar mayor estabilidad al sistema
El día 28 mantuvieron una reunión con el CCN y con Ingeniería de Sistemas para la Defensa de España, S.A. (ISDEFE), empresa pública de consultoría e ingeniería que da servicios a organismos públicos nacionales e internacionales -una referencia en el ámbito de Defensa y Seguridad, de la Administración General del Estado- y concluyeron que a fin de dar mayor estabilidad al sistema era necesario “proceder a la reparación del defecto de una manera todavía más minuciosa”.
Ese mismo día se detectó un intento de “hackeo” que, por un elemental sentido de la responsabilidad, no quisieron dar a conocer en aquel momento. Porque se produce un efecto llamada muy importante en estas cuestiones.
“El intento fracasó en su deseó de obtener información valiosa. Consiguió una información obsoleta que era parte de un código fuente de una versión obsoleta de Orfila, que es el sistema de gestión de los Institutos de Medicina Legal, no confidencial. Es un interfaz con otras instituciones públicas. Y no es información sensible porque ni contenía informes de forenses ni datos personales ni confidenciales”, indicó.
Detectada esa intromisión fue bloqueada. El martes 1 de agosto pusieron una denuncia contra el supuesto autor ante la Brigada de Investigación Tecnológica “Porque una persona que accede sin autorización a un servidor, descarga información y la difunde debe ser objeto de investigación por parte de las fuerzas de seguridad”.
En este sentido, los diputados Artemi Rallo (PSOE), Mikel Legarda (PNV) y Marcial Gómez(C’s) reprocharon al ministro que su departamento presentara esa denuncia.
Para Rallo llama la atención que el fallo fuera detectado por un operador y que, tras serle revelado el Ministerio ni le contestara y en cambio se “ensañara contra el mensajero”, mientras que Gómez también señaló a esa circunstancia por tratarse además de un estudiante de ingeniería.
“No fue un fallo técnico, sino un fallo inadmisible en la seguridad del sistema”, indicó el diputado socialista, ex director general de la AEPD, alertando que se pusieron en riesgo contenidos sensibles.
No hay ningún sistema que sea perfecto
Catalá reconoció que no existe el sistema perfecto “ni completamente seguros, ni totalmente protegidos” y además el malo no es el sistema sino “quien delinque y malo es quien le muestra al delincuente el camino para delinquir”.
Sobre el funcionamiento de LexNET en general, Catalá admitió quíea habido problemas de sobrecarga y lentitud si bien desde el inicio de obligatoriedad de su uso en enero de 2016 hasta el 31 julio de 2017 ha estado disponible 13.600,53 horas, un 98,21% del total del tiempo.
El período de interrupción del sistema no llega a las 250 horas (en concreto, 247,47 horas), de las cuales 107,09 horas fueron por anomalías imprevisibles del sistema por lo que “sólo un 0’75% del tiempo total de funcionamiento el sistema ha fallado por causas sobrevenidas”, relató.
Fuente: confilegal.com
No hay comentarios:
Publicar un comentario