El sistema de notificaciones judiciales, paralizado tras un fallo de seguridad

A las 10.53 de la mañana del jueves José Muelas, decano de Colegio de Abogados de Cartagena, avisó en Twitter de "posible fallo crítico de seguridad en LexNet". Había avisado -sin respuesta-, al Ministerio de Justicia, responsable de este sistema informático con el que se comunican abogados, fiscales, procuradores, etc. y juzgados. Modificando la URL del navegador cualquiera de las más de 160.000 personas autorizadas a entrar podía acceder al buzón de cualquier usuario del sistema, incluyendo las notificaciones, sentencias, diligencias y demás documentación que tuviera en su cuenta. "La puerta de entrada estaba protegida, pero una vez dentro, podías acceder a buzones para los que no estabas autorizado; como si entrases con llave en un edificio y después pudieses entrar a cualquier casa", explica el ingeniero informático y abogado Sergio Carrasco.

El Ministerio de Justicia se da por avisado del grave problema y apaga LexNet. Por la tarde, después de instalar un parche de seguridad y asegurarse de que la brecha de seguridad está cerrada, LexNet vuelve a funcionar cinco horas después.

En las redes sociales el ambiente entre abogados estaba ya bastante encendido. Denuncian que el problema informático ha podido exponer los datos personales y detalles de causas judiciales de miles de personas cuando el viernes, también a través de Twitter, la cuenta oficial de LexNet avisa a las 16.05 de la tarde de que 20 minutos después suspenderá de nuevo el servicio, hasta las ocho de la mañana del lunes 31 de julio, "por tareas de mantenimiento técnico".

La fecha es crítica: el 31 de julio es el último día hábil, hasta agosto, para los juzgados de lo civil (salvo medidas urgentes) y los abogados y procuradores apuran plazos. Además, está estipulado que cualquier interrupción en el servicio debe advertirse con 24 horas de antelación y para no interferir en la actividad profesional de los usuarios, se hará a partir de las ocho de la tarde.

La Comisión Permanente del Consejo General del Poder Judicial se entera de la suspensión y de la brecha de seguridad por la prensa y en redes sociales. Se reúne el viernes en sesión extraordinaria y acuerda abrir diligencias informativas para esclarecer si la quiebra de seguridad "produjo una violación de la normativa en materia de protección de datos de carácter personal". El Ministerio de Justicia dirigido por Rafael Catalá, que anuncia que ha abierto una auditoria interna por si procede depurar responsabilidades por el fallo del jueves, asegura que el error está subsanado pero a la vez, convoca un gabinete de crisis para el sábado, según han informado la Abogacía Española y el Consejo General de Procuradores de España (CGPE).

Carmen Pérez Andújar, vicesecretaria de Medios Tecnológicos del Consejo General de la Abogacía Española, está en permanente contacto con el Ministerio, a quien ha trasladado su malestar por la gravedad del incidente, por el momento en que se ha realizado la suspensión del servicio y la forma en que se ha notificado. "El Consejo ha exigido, exige y exigirá, como no puede ser de otra manera, que todos los medios que pongan a disposición de los operadores jurídicos funcionen y tengan garantías de seguridad", asegura Pérez. El problema del jueves, según les ha comunicado el Ministerio, fue fruto de la última actualización de LexNet, que incorporaba la posibilidad de que un abogado pudiese acceder a varios buzones en distintas ciudades, como habían pedido los usuarios. De forma preventiva, tras haber hecho varios cambios, el departamento de Justicia decidió realizar una actualización urgente, consciente de que no se produce en un buen momento.

El CGAE ha recibido críticas en redes sociales por la "tibieza" de su respuesta. El CGAE entiende, según Pérez, que "quien tiene que valorar si denuncia o no denuncia al Ministerio es quien haya sufrido una entrada no autorizada en sus datos". La información que le ha trasladado el departamento que dirige Catalá es que no se han producido ningún acceso ilegal a la plataforma.

El consultor Sergio Carrasco no cree que un usuario pueda saber fácilmente si su buzón de comunicaciones ha sido allanado. "El sistema no permite al usuario revisar este tipo de acceso y si el Ministerio hace una actuación de este tipo, lo hará a nivel global", opina. En un artículo en su blog, Carrasco critica varios problemas de seguridad de un sistema que es especialmente sensible por el tipo de información que contiene. "Existe un cifrado teórico, pero no se encuentra adecuadamente configurado y el cifrado es antiguo". Eso en lo que se refiere al acceso exterior, a la comunicación entre el operador judicial y el juzgado, por ejemplo. En el servidor, Carrasco critica que los documentos almacenados no están cifrados. "Un informático que administra el sistema no tiene por qué tener acceso directo a los documentos de una demanda, a la respuesta de los juzgados, etc".

El sistema funciona con Java, un software que algunos navegadores bloquean. "Tienes que tener un equipo con un sistema inseguro para poder utilizar LexNet", critica Carrasco. El sistema, en su opinión, es obsoleto: tiene un límite para adjuntar documentos de 15 megabytes y tiende a bloquearse cuando muchos usuarios se conectan a la vez.

Carrasco critica además que no sea de código abierto, lo cual permitiría auditorías externas para garantizar su seguridad. "No sabemos el alcance de la vulnerabilidad. No sabemos cuando ha comenzado ni si cualquier persona podía acceder a estos buzones", critica el abogado informático, que añade: "Es muy sospechoso que cuando han dicho que la vulnerabilidad ya estaba solucionada, hayan cerrado el servicio sin previo aviso hasta el lunes".