Borrar
Carteles para protestar contra el sistema LexNET en un juzgado. :: Clara Larrea
Protección de Datos revela que 74 usuarios se aprovecharon del fallo de seguridad en LexNET

Protección de Datos revela que 74 usuarios se aprovecharon del fallo de seguridad en LexNET

La Agencia concluye que el Ministerio de Justicia cometió una infracción grave tras el agujero en el sistema de intercambio de información judicial

MATEO BALÍN

Miércoles, 11 de abril 2018, 00:36

Necesitas ser suscriptor para acceder a esta funcionalidad.

Compartir

madrid. La Agencia Española de Protección de Datos (AEPD) ha hecho públicas sus conclusiones sobre la vulnerabilidad de datos personales tras el fallo de seguridad del sistema LexNET (la plataforma digital de intercambio de información entre órganos judiciales y operadores jurídicos) durante la jornada del pasado 28 de julio.

Según la AEPD, en aquel crítico día para decenas de miles de usuarios -procuradores, abogados y graduados sociales fueron los afectados- 284 accedieron a 692 buzones ajenos que no les pertenecían y realizaron 1.438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 accedieron a 79 buzones de terceros y se descargaron 432 documentos sin permiso. Fueron notificaciones judiciales ya practicadas o pendientes y limitadas a los 60 días anteriores al 28 de julio.

Protección de Datos, sin embargo, ha dado por probado que no se pudieron manipular documentos presentados en juzgados, por ejemplo, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo ni presentar escritos en nombre de otros participantes. Tampoco pudieron visualizarse mensajes anteriores a los 60 días dado que LexNET borra esos datos de forma automática.

Este problema de seguridad se produjo al solicitar numerosos usuarios (identificados por el Ministerio de Justicia en su auditoria interna) labores de «sustitución legítima» de otros usuarios y de aquellos que tenían distintos roles para que fuese posible acceder a los buzones de los sustituidos sin necesidad de cerrar la sesión. De esta forma, se podrían consultar varios buzones de forma simultánea, a modo de multibuzón.

No obstante, según la Agencia nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica necesariamente la comisión de la otra. Esto es, si una documentación que contiene información personal sale del ámbito de la responsable de su confidencialidad (caída de LexNET), se está produciendo un incumplimiento de las medidas de seguridad exigidas al responsable (Ministerio de Justicia).

Mejoras de seguridad

Por lo tanto, aplicando el artículo 29.5 de la Ley de Régimen Jurídico del Sector Público -señala que «cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida»- se procede subsumir ambas infracciones en una sola.

Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h de la Ley Orgánica de Protección de Datos (LOPD) y también un incumplimiento del deber de guardar secreto, «procede imputar únicamente la infracción del artículo 9 de la LOPD» a la Subdirección General de Nuevas Tecnologías, perteneciente a la Secretaría General de la Administración de Justicia.

En concreto, el incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de terceros. Dicha identificación consta de 10 dígitos, por lo que para acceder a un buzón concreto había que conocer el identificador de dicho usuario.

Desde aquel grave problema de seguridad, el Ministerio de Justicia ha diseñado 69 medidas de mejoras «para mitigar el incidente y evitar situaciones similares en el futuro», de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y/o pruebas. Una circunstancia que ha valorado de forma positiva Protección de Datos, que ha remitido sus conclusiones al Defensor del Pueblo.

Reporta un error en esta noticia

* Campos obligatorios