Un gravísimo fallo de seguridad ha provocado que durante horas o incluso días abogados o procuradores de España pudieran acceder libremente a todos los procedimientos judiciales del resto de profesionales del sector. Esta supone la enésima polémica de LexNet, el sistema telemático para el ámbito judicial impuesto en 2016 por Ministerio de Justicia.
¿Qué es LexNet?
LexNet es la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y administraciones, se emplea para comunicarse con los órganos judiciales. A través de este sistema, los operadores jurídicos pueden enviar demandas, sentencias y cualquier otro tipo de documentos judiciales, incluidas pruebas de los casos en los que están trabajando.
La propósito de esta plataforma es el de digitalizar gran parte de los servicios ofrecidos por la Administración de Justicia y ofrecerlos también a través de Internet. De esta manera no sólo se pretende ahorrar en papel, sino permitir que la administración funcione 24 horas los siete días de la semana.
Para hacerse una cuenta en LexNet un abogado tiene que hablar con su colegio, y este le da sus datos al Consejo General de la Abogacía para que le den parte a quienes gestionan LexNet para crearte una ID única que le identifique como usuario.
Una vez hecho esto, el portal funciona como un webmail, aunque técnicamente es algo más complejo. Te identificas con tu ID y contraseña, y entras a un perfil en el que tienes un árbol de directorios desde el que acceder a tus notificaciones, expedientes guardados o cualquier tipo de documento que estés utilizando en tus procedimientos.
¿Qué ha pasado con LexNet?
El problema ocurrido es que se ha descubierto una gravísima vulnerabilidad que permitía que cualquier usuario de la plataforma pudiera entrar en los perfiles de otros abogados y cuentas registradas, y acceder a todos sus documentos. Lo único que había que hacer es, cuando estás en tu perfil, cambiar en la barra de direcciones el número de tu ID por el de la persona cuyos datos quieres consultar.
Según un comunicado oficial del Ministerio de Justicia, tras actualizar LexNet a una nueva versión identificaron “un defecto en el control de accesos al sistema ocasionado por un error en la programación del código”, el cual aseguran que fue solucionado antes de cinco horas.
También han asegurado que no han identificado acceso indebido alguno a los buzones de LexNet de un usuario que no fuera el legítimo.
¿Qué implicaciones tiene este fallo de seguridad?
Las implicaciones de este fallo de seguridad, “son todas las que tu imaginación le ponga”. Por ejemplo, en LexNet tienen cuentas la Guardia Civíl o Policía Nacional, por lo que cualquier abogado podría acceder a la información de los atestados que están reportando en los juzgados.
Tal y como ha expuesto en Twitter el abogado Fabián Valero, esta vulnerabilidad puede haber permitido que los 150.000 usuarios de la plataforma hayan podido acceder a datos de terceros, como nombres, apellidos o DNI, que estén registrados en los procedimientos del resto de usuarios. También habrían tenido acceso a los datos fiscales o números de cuentas bancarias de los ciudadanos que tengan procedimientos judiciales iniciados.
Valero también asegura que en los procedimientos de LexNet no se oculta el nombre de las partes. Esto te permitiría descubrir, por ejemplo, los datos de mujeres maltratadas, de parejas en vía de divorcio, de trabajadores despedidos o los antecedentes penales de cualquier de cualquier ciudadano que haya pasado por cualquier juzgado.
Fuente: Genbeta