LexNet: La eterna duda
Parece que la polémica alrededor del programa LexNet y la gestión con respecto al tema de la seguridad cibernética por parte del Ministerio de Justicia nunca va a terminar. Y con razón. Pues el gobierno no es capaz de dar solución a un problema que se lleva arrastrando años. Además, no hablamos de cualquier aspecto burocrático banal o de importancia menor. Sino de documentos esenciales y material sensible: pruebas, investigaciones, fichas policiales, perfiles criminales.. en definitiva, un sinfín de documentos e información privada que, al parecer, no está debidamente protegida.
Las críticas y el foco mediático aumentan a cada día que pasa puesto que, tras los recientes incidentes (gravísimos) que explicaremos más adelante, se han pedido explicaciones sobre cuáles son las empresas encargadas de crear, diseñar y gestionar el sistema LexNet, así como las responsables. La enigmática respuesta se basa en una compleja serie de adjudicaciones las cuales, y según Javier De La Cueva (abogado), están hechas para «eludir responsabilidades«. A nosotros nos sorprende la escasa claridad en todo este asunto.
No se sabe a ciencia cierta qué empresas son las encargadas del programa LexNet, ni de su seguridad exactamente (El Confidencial publica algunos nombres según sus fuentes). Algo que mosquea a los entendidos del sector puesto que se supone que, en primera instancia, se le adjudicó la tarea a la empresa que sirve a Justicia: Ingeniería de Sistemas para la Defensa de España SA (ISDEFE). Por lo que el dinero usado debería tener su reflejo en el BOE. Sin embargo, aquí es cuando descubrimos que esta empresa pública vuelve a subcontratar a otras empresas, en este caso privadas, todo lo que concierne a LexNet. ¿En qué se traduce esto? Mediante la fórmula conocida como encomienda de gestión, las administraciones que contratan a otras no están obligadas a mostrar públicamente detalles sobre las adjudicaciones que estas hagan. En resumen y añadiendo cifras. Justicia (administración pública) realiza 9 adjudicaciones a ISDEFE (administración pública) por valor de más de 7 millones de euros, y esta última, subcontrata a empresas privadas el trabajo de LexNet. Así de sencillo. Por lo tanto, aquí nadie sabe nada, más allá de la escasa profesionalidad de las empresas encargadas.
¿Qué es LexNet y para qué se utiliza?
Una vez abordada la polémica actualidad del caso, vamos a comprender el calado de este suceso explicando para qué sirve en realidad LexNet y por qué es tan importante. En la página web de la Administración de Justicia nos lo explican perfectamente «Es una plataforma de intercambio seguro de información entre los órganos judiciales y operadores jurídicos que diariamente necesitan diferentes documentos (notificaciones, escritos, demandas..)». Aunque realmente se equivocan, pues eso de intercambio seguro no está para nada justificado, sino todo lo contrario.
Este sistema lleva operativo desde el año 2004 y obviamente ha agilizado mucho el trabajo de justicia, así como un ahorro considerable en papel. Todos tenemos en mente las películas policíacas norteamericanas donde el inspector de turno accedía a los archivos apilados en cientos de estanterías para buscar «X» caso. Tras horas de búsqueda por fin topaba con ellos. Con LexNet este proceso de búsqueda no debe durar más de 5 minutos, evitando el desplazamiento puesto que se puede acceder de manera remota. Este programa también permite firmar electrónicamente y sellar documentos oficiales y con validez jurídica, a parte de informaciones judiciales, por lo que su gestión debe ser impoluta.
Entendemos ahora que LexNet es muy importante por el contenido que maneja y comparte. Cada usuario acreditado para acceder y usar el sistema debe identificarse oficialmente mediante certificado y firma electrónica (usando una tarjeta criptográfica) y usarlo para enviar notificaciones oficiales. Además, cada profesional entra a su bandeja o apartado dentro del sistema, siempre identificado, y sin poder acceder al panel de terceros. Las notificaciones tienen efectos legales plenos, por lo que no deben caer en manos equivocadas o ser prestadas a modificaciones. También, LexNet aloja información confidencial de procesos judiciales que están en curso entre otros datos cruciales y privados.
Problemas históricos de LexNet
Desgraciadamente, la plataforma promovida por el Ministerio de Justicia no ha estado exenta de problemas en su historia. El sistema de operación telemática ha fallado varias veces y no han sido pocas las recomendaciones de mejora y actualización que tanto sus usuarios como profesionales del sector de la informática han recomendado. Por ejemplo, en el año 2011 la versión de LexNet requería que a la hora de firmar documentos se usara el navegador Internet Explorer y el sistema operativo Windows. Debido al uso del componente ActiveX, lo cual planteaba problemas con el resto de plataformas (OS X, Linux) y navegadores (Mozilla Firefox o Chrome). Incluso en determinadas versiones de Internet Explorer daba fallos. Esto impedía su uso automatizado en otras plataformas, necesitando la intervención de un tercero de manera manual, ya que la mayoría de estos documentos tienen que ser acreditados, no solo por el emisor, sino también por un Juez o Secretario Judicial. Por lo tanto el proceso se ralentizaba muchísimo.
Tiempo después, LexNet se vio obligado a actualizarse y expandir sus servicios por el enorme crecimiento que estaba experimentando. Se desarrolló una versión nueva la cual gozaba de una arquitectura con mejores prestaciones y la capacidad de adaptarse a otras plataformas. Cual fue la sorpresa cuando esta nueva versión volvió a fracasar. Las incontables incidencias que aparecieron en los años posteriores a 2011 bloquearon juzgados por todo el territorio nacional. Y a comienzos de 2016, cuando por ley se tenían que subir los documentos al sistema, esta obligación tuvo que posponerse hasta 3 y 4 meses por la inoperancia del programa.
Desastre en 2017: 11.000 documentos confidenciales al descubierto y denuncia al salvador
Hace poco más de una semana LexNet y su régimen de seguridad se convirtieron en el foco de la polémica una vez más. Y es que José Muelas, decano del Colegio de Abogados de Cartagena, detectó un fallo garrafal en el portal de justicia. Comprobó personalmente que con solo cambiar la ID de usuario en la URL pudo acceder a toda la información confidencial de otros profesionales que trabajan con LexNet. Una vez comprobado esto, José intentó ponerte en contacto con el Ministerio de Justificar para avisar del fallo. Ante la imposibilidad de reportar el problema, el decano decidió compartir en redes sociales su descubrimiento. Tan pronto se hizo viral el incidente la plataforma telemática echaba el cierre. 5 horas después del aviso, quizás demasiado tarde para los más de 11.000 documentos que estuvieron al descubierto.
Otra historia digna de compartir y analizar es la del estudiante anónimo de 20 años que descubrió la incidencia en LexNet. El joven se percató de la existencia de un servidor abierto, conectado a internet y sin cifrado o contraseña alguna al que se podía acceder. Dicho servidor contenía documentos con los archivos de arquitectura completa del sistema Orfila, así como información de gran parte del código fuente de LexNet y de la intranet del Ministerio. Palabras mayores.
Esta persona se pone en contacto por Twitter con Justicia y el soporte de LexNet avisando del suceso. Horas después el servidor es deconectado de la red y su salvador no recibe respuesta alguna. Tras ver el problema solucionado, el joven decide borrar sus tweets para evitar que se hagan virales. No sin antes haber descargado y compartido con amigos de confianza el contenido desprotegido. Unos días después, por fin llega la respuesta del Ministerio, pero no como esperaba. El joven ha sido denunciado por «acceso ilegal y difusión de contenido confidencial a terceros». Si bien es cierto que quizás no debía haber descargado esos archivos, el hecho de emprender acciones legales contra la persona que avisa de un error tan garrafal no es para nada comprensible. Parece que el Ministerio de Justicia no asume errores, ni siquiera compensa, sino que castiga a la persona que los encuentra.
¿Y ahora qué?
La esperanza de una mejora significativa en el sector de seguridad cibernética español está muy apagada. Esta acción que nosotros calificamos como lamentable y vergonzosa demuestra el rumbo que toman los acontecimientos. En otros países, con otras empresas.. pagan a las personas que descubren fallos o errores de código o seguridad. En la mayoría de los casos, estas personas son contratadas por dichas empresas para que ayuden en la mejora de su software o para que trabajen en el soporte del mismo. Opción más que lógica por dos cosas. La primera por haber actuado más rápido que los propios trabajadores de X empresa u organismo. Y la segunda por haber demostrado tener conocimientos amplios en la materia, además de buenas intenciones. Detalle que parece escasear en nuestras cúspides.
De cualquier manera, poco se puede hacer ya. Los profesionales del sector arropan al joven anónimo y la opinión pública centra sus críticas en una gestión deficiente que durante años lastra a unos y otros. Nosotros nos quedamos con el titular que Manuel Ángel Méndez en El Confidencial: «Mientras otros gobiernos y empresa tecnológicas animan a especialistas en seguridad a encontrar fallos en sus sistemas (pagándoles por ello), en España el Ministerio de Justicia les denuncia».
Si te ha gustado este artículo no olvides compartirlo en tus redes sociales. No olvides visitar nuestro Blog de Informática.