1 de septiembre de 2017
SPJ-USO: Prensa. Comparecencia Ministro de Justicia.
“Jamás nadie pudo tener acceso a millones de documentos a través de Lexnet”, según el ministro de Justicia
El ministro
de Justicia, Rafael Catalá, compareció ante los miembros de la Comisión del ramo
del Congreso de los Diputados con los deberes hechos para explicar a los
diputados lo ocurrido con Lexnet el 27 de agosto y entre el 28 y el 30 del mismo mes, después de
que el que el decano del Colegio de Abogados de Cartagena, José Muelas, diera la
voz la alarma.
La mejor prueba “forense” fue
el uso de frases categóricas como “Jamás nadie pudo tener acceso a millones de
documentos a través de Lexnet, como se ha dicho”. O “Lexnet es un sistema
consolidado, seguro. Es imposible acceder a una información que no sea propia,
de un profesional”; “Es la herramienta más segura y más garantista que existe
en nuestro sistema actual” o “Lexnet es muchísimo más eficaz y seguro que un
fax, una carta o entregar papeles a través de las ventanillas”.
De acuerdo con Catalá,
el “agujero” -término que evitó pronunciar en favor de
“defecto”- había tenido su origen en una mejora de Lexnet, en
su última versión, y estaba relacionado con la petición de un colectivo de
profesionales para que se crease “una especie de acceso multibuzón”.
“Buscando una solución que
diera un mejor acceso a los profesionales, se produjo el error de la
programación del software”, explicó Catalá.
“¿Esto quiere decir que una
persona podía ver la información de otra contenida en Lexnet? En absoluto. Para
eso había que dar una serie de pasos que no estaban al alcance de cualquiera”,
añadió.
Primero, el “hacker” tenía que
autentificarse. Tenía que ser un profesional, por lo tanto. Debía acceder con
su tarjeta profesional.
Una vez en el sistema, debía
modificar la URL de acceso a su buzón. La URL es un número de 10 dígitos. Los 4
últimos conforman el número de ese buzón.
“Ese era el número que debía
modificar para poder acceder. Pero para hacer esa alteración debía conocer la
URL de la persona habilitada”, señaló Catalá. “No se vieron expuestos millones
de documentos. Hablamos de un fallo. De un número limitado de profesionales y
de un número de documentos”.
49 intentos de acceso
Catalá reveló a los miembros
de la Comisión un dato que le disgustaba de sobremanera: “Conociéndose públicamente
que el defecto había sido subsanado a las 16.25 de la tarde del 27 de julio,
durante las 16 horas siguientes se reportaron 49 intentos de información de
otros buzones. Intentos infructuosos y perfectamente identificados. 49
profesionales del mundo de la justicia con nombres y apellidos identificados
intentaron acceder a los buzones de otros tantos compañeros, conscientes de que
ni es ético ni es legal”.
“Me parece muy grave”, señaló.
Esa misma tarde del 27 de
julio, contó, se constituyó un Comité de Seguimiento y dio instrucciones para
abrir una auditoria interna para aclarar las circunstancias.
Según el ministro, notificaron
el incidente a la Agencia Española de Protección de Datos (AEPD) y al Consejo
General del Poder Judicial.
“Requerimos la colaboración
inmediata del Centro Criptológico Nacional (CCN) que venía colaborando con
nosotros y nos está ayudando con esta materia”, reveló.
Dar mayor estabilidad al
sistema
El día 28 mantuvieron una
reunión con el CCN y con Ingeniería de Sistemas para la Defensa de España, S.A.
(ISDEFE), empresa pública de consultoría e ingeniería que da servicios a
organismos públicos nacionales e internacionales -una referencia en el ámbito
de Defensa y Seguridad, de la Administración General del Estado- y concluyeron
que a fin de dar mayor estabilidad al sistema era necesario “proceder a la
reparación del defecto de una manera todavía más minuciosa”.
Ese mismo día se detectó un
intento de “hackeo” que, por un elemental sentido de la responsabilidad, no
quisieron dar a conocer en aquel momento. Porque se produce un efecto llamada
muy importante en estas cuestiones.
“El intento fracasó en su
deseó de obtener información valiosa. Consiguió una información obsoleta que
era parte de un código fuente de una versión obsoleta de Orfila, que es el
sistema de gestión de los Institutos de Medicina Legal, no confidencial. Es un
interfaz con otras instituciones públicas. Y no es información sensible porque
ni contenía informes de forenses ni datos personales ni confidenciales”,
indicó.
Detectada esa intromisión fue
bloqueada. El martes 1 de agosto pusieron una denuncia contra el supuesto autor
ante la Brigada de Investigación Tecnológica “Porque una persona que accede sin
autorización a un servidor, descarga información y la difunde debe ser objeto
de investigación por parte de las fuerzas de seguridad”.
En este sentido, los
diputados Artemi Rallo (PSOE), Mikel Legarda (PNV)
y Marcial Gómez(C’s) reprocharon al ministro que su departamento
presentara esa denuncia.
Para Rallo llama la atención
que el fallo fuera detectado por un operador y que, tras serle revelado el
Ministerio ni le contestara y en cambio se “ensañara contra el mensajero”,
mientras que Gómez también señaló a esa circunstancia por tratarse además de un
estudiante de ingeniería.
“No fue un fallo técnico, sino
un fallo inadmisible en la seguridad del sistema”, indicó el diputado
socialista, ex director general de la AEPD, alertando que se pusieron en riesgo
contenidos sensibles.
No hay ningún sistema que sea
perfecto
Catalá reconoció que no existe
el sistema perfecto “ni completamente seguros, ni totalmente protegidos” y
además el malo no es el sistema sino “quien delinque y malo es quien le muestra
al delincuente el camino para delinquir”.
Sobre el funcionamiento de
LexNET en general, Catalá admitió quíea habido problemas de sobrecarga y
lentitud si bien desde el inicio de obligatoriedad de su uso en enero de 2016
hasta el 31 julio de 2017 ha estado disponible 13.600,53 horas, un 98,21% del
total del tiempo.
El período de interrupción del
sistema no llega a las 250 horas (en concreto, 247,47 horas), de las cuales
107,09 horas fueron por anomalías imprevisibles del sistema por lo que “sólo un
0’75% del tiempo total de funcionamiento el sistema ha fallado por causas
sobrevenidas”, relató.
Fuente: confilegal.com