Una grave negligencia informática del Ministerio de Justicia ha descubierto material privado de todo el colectivo judicial español. ¿Ha sido un incidente aislado? Algunos avisan: esto se veía venir.

No se lo puede creer. «¡Eso quiere decir que no tenía seguridad ninguna!«. Hablamos de LexNet, el sistema telemático del Ministerio de Justicia para intercambiar información de casos entre juzgados, abogados, procuradores y otros colectivos. Ayer sufrió un grave fallo de seguridad que permitía a cualquier usuario de la plataforma acceder a información de miles de casos abiertos, datos altamente sensibles y secretos. Especialista de ciberseguridad y ‘hackers’ no dan crédito a que un error «tan elemental» haya dejado fuera de juego a un sistema en el que hasta 2016 se había invertido más de 7 millones de euros en dinero público. Con solo cambiar los IDs que identifican a cada usuario en la URL era posible acceder a la bandeja de entrada privada de otra persona (y a sus documentos). «Es una enorme chapuza».

La voz de alarma saltó este jueves al mediodía cuando varios abogados comenzaron a publicar en redes sociales el fallo de LexNet. «Unos amigos me alertaron de ello y el miércoles por la noche me puse a comprobarlo por mí mismo. Efectivamente, era así. Con solo cambiar los IDs de usuario en la URLpude entrar en todas las notificaciones de otros abogados», explica a Teknautas José Muelas, decano del Colegio de Abogados de Cartagena y el primero en denunciar públicamente el fallo.

Horas antes se había puesto en contacto con el Ministerio para reportar el problema. Pero, ante la falta de respuesta, decidió publicar su queja en Facebook. Y comenzó la bola de nieve. Poco después la cuenta oficial de LexNet en Twitter reconocía el fallo y aseguraba estar trabajando en resolverlo. Luego llegó el cierre temporal del sistema y, tras cinco horas desde el aviso de Muelas, el Ministerio aseguró haber resuelto por fin la incidencia. Hoy, los responsables de LexNet han confirmado que la plataforma estará casi tres días fuera de servicio, desde las 16:30 de hoy viernes al lunes 31 a las 8:00, por tareas de «mantenimiento». ¿Qué ha ocurrido para llegar hasta aquí?

«Hubo una actualización de LexNet el 21 de julio para añadir nuevas funciones como un multibuzón. Un error en la programación del código provocó un problema en el control de accesos, pero se solucionó en solo cinco cinco horas. No tenemos constancia de que haya habido accesos indebidos a los buzones de LexNet de usuarios que no fueran legítimos. Y tampoco a expedientes judiciales, solo se podía acceder a las bandejas de entrada», explica un portavoz del Ministerio de Justicia a Teknautas, quien confirma, eso sí, que para acceder a buzones ajenos bastaba con cambiar el ID de usuario en la URL de la plataforma.

Un análisis de la seguridad de la página devuelve la peor nota posible: de la A a la F, una F. No metería ahí ni mi nombre

«Mienten cuando dicen que no ha habido accesos ilegítimos a otros buzones. Yo accedí a las notificaciones de otros colegas con su permiso para comprobar el fallo. Y otros compañeros de profesión también», señala Muelas. «Y cuando digo notificaciones digo las copias de los expedientes al completo. Tengo los pantallazos que lo demuestran pero de momento me los reservo en caso de recibir acciones legales por parte del Ministerio. Creo que no he hecho nada malo, todo lo contrario, les he avisado del problema».

Horas después de anunciar el Ministerio la supuesta resolución del problema, abogados como David Maeztu reportaban todavía serios problemas técnicosen LexNet. «Un análisis del protocolo https que usa la web para transmitir los datos devuelve la peor nota posible: de la A a la F, una F. El sistema cifra los datos, pero lo hace de forma muy pobre y con procedimientos obsoletos. En determinadas circunstancias sería fácilmente ‘hackeable’. Vamos, yo no metería ahí ni mi nombre».

Lo más preocupante de LexNet es que el fallo de hoy es solo la punta del iceberg. Prácticamente todas las fuentes consultadas coinciden en señalar decenas de errores técnicos y de diseño en la plataforma desde el inicio. Y uno muy importante de concepto: que esté en manos del Ministerio de Justicia y no del Consejo General del Poder Judicial. ¿Cómo hemos llegado hasta aquí después de millones de euros de inversión?