La falla de LexNET dejó sin protección datos de todos los sumarios de España

El Gobierno nunca podrá saber hasta dónde ha llegado la fuga de información porque el sistema no registró las entradas indebidas

MELCHOR SÁIZ-PARDO

Madrid. Los peores presagios se han confirmado. La falla de ciberseguridad en el sistema LexNET del Ministerio de Justicia detectada el pasado jueves fue todo lo «profunda» que podía temerse. Esto es: dejó sin protección datos y documentos de los sumarios que se instruyen en toda España. Y ello es porque todos y cada uno de los más de 140.000 perfiles abiertos en esta red por abogados, procuradores y funcionarios pudo ser suplantado con un truco sencillísimo. Ninguno de los millares de usuarios fue inmune a la posibilidad de que su identidad fuera 'robada', según han confirmado responsables de la ciberseguridad nacional, que han comprobado que todos los perfiles pudieron ser suplantados durante el tiempo que estuvo activo el agujero.

La vulnerabilidad fue denunciada públicamente el jueves por el decano del Colegio de Abogados de Cartagena, José Muelas, tras varios intentos infructuosos de que Justicia taponara la brecha en su seguridad. Bastaba con cambiar manualmente el número de identificación en la barra de dirección del navegador para acceder al perfil de cualquier otro usuario. Y, a partir de ahí, consultar todas sus notificaciones y documentos.

LexNET es desde enero de 2016 el único sistema que los letrados y procuradores para comunicarse con la Administración de Justicia, tanto para entregar documentación como para recibir las notificaciones, entre ellas sumarios completos o parciales.

Justicia cerró durante una hora el jueves LexNET para parchear la falla. Luego lo volvió a reabrir para volver a cerrarlo desde las 16:30 horas del viernes hasta las 8 de la mañana del próximo lunes a fin de terminar de bloquear el 'agujero' con un nuevo sistema de seguridad actualizado. Al ser final de mes y cumplirse muchos plazos judiciales, la medida del cierre cautelar provocó el enfado de los colegios de abogados. Ayer mismo, el ministro de Justicia, Rafael Catalá, colgó una foto en su perfil de Twitter en la que aparecía rodeado de sus colaboradores en el gabinete de crisis creado al efecto. «Reunido con mi equipo para prestar un mejor y más seguro servicio de LexNET en las próximas horas», apuntó.

El departamento que dirige Catalá ha asegurado que «los sistemas de auditoría y control del Ministerio no han identificado acceso indebido alguno a los buzones de LexNET de un usuario que no fuera el legítimo», en el tiempo que perduró la falla de seguridad. Pero esta afirmación, según los especialistas de ciberseguridad del Estado que trabajan en reparar el 'agujero', esconde otra realidad: no hubo «identificaciones de accesos indebidos» porque las entradas suplantando directamente en la barra del navegador el número de identificación de otro usuario no se computan como intrusiones ilegales, «sino como simples utilizaciones del servicio por parte del usuario legal».

Esto supone -de acuerdo con los técnicos- que el Gobierno nunca podrá saber hasta dónde ha llegado la fuga de información de LexNET porque el sistema no registró las entradas indebidas. Solo requiriendo uno a uno a los 140.000 usuarios si identifican sus accesos en esos días podría saberse el alcance de las filtraciones.

De hecho, numerosos abogados consultados por este periódico -y que fueron alertados de la falla por el aviso de Muelas- comprobaron que la vulnerabilidad era cierta introduciendo números de identificación al azar. Al menos esa riada de «intrusiones ilegales» tras el aviso de Muelas sí que debía constar el base de datos de Justicia, pero el Ministerio asegura no hubo ningún acceso indebido.

El Ministerio de Justicia tampoco ha desvelado cuánto tiempo LexNET fue vulnerable a una suplantación masiva de identidades. Su código es cerrado, por lo que nadie, más allá de su administrador, puede saber cuánto tiempo llevaba la brecha de seguridad abierta en este sistema en el que el Gobierno se ha gastado 7,2 millones de euros entre 2010 y 2016.

El fallo del LexNET ya ha llegado al Parlamento. PSOE y Ciudadanos han pedido al Gobierno que explique la «dimensión» de la brecha y cuanto tiempo estuvo activa este agujero de seguridad. Varios abogados, además, ya han denunciado esta falla ante la Agencia de Protección de Datos. Y el Poder Judicial ha abierto una investigación propia.

LexNET, según vienen denunciado desde hace meses numerosos abogados, era ya un sistema obsoleto cuando se impuso como obligatorio el año pasado. El sistema, que ni siquiera permite enviar fotografías en color, tiene un ancho de banda de solo 15 megas. Además no funciona con buena parte de los navegadores más modernos.

Fotos

Vídeos