Un gravísimo fallo de seguridad en LexNet ha provocado que durante horas abogados y procuradores de España pudieran acceder libremente a todos los procedimientos judiciales del resto de profesionales del sector.

¿Qué es LexNet?

LexNet es la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y administraciones para comunicarse con los órganos judiciales. A través de este sistema, los operadores jurídicos pueden enviar demandas, sentencias y cualquier otro tipo de documentos judiciales, incluidas pruebas de los casos en los que están trabajando.

La intención es digitalizar gran parte de los servicios ofrecidos por la Administración de Justicia. De esta manera no sólo se pretende ahorrar en papel, sino permitir que la administración funcione 24 horas los siete días de la semana.

Para hacerse una cuenta en LexNet un abogado tiene que hablar con su colegio, y éste le da sus datos al Consejo General de la Abogacía para que le den parte a quienes gestionan LexNet para crear una ID única que le identifique como usuario. No cualquiera puede acceder al sistema si no es con las credenciales de algún trabajador del sector judicial.

¿Qué ha pasado con LexNet recientemente?

Se ha descubierto una gravísima vulnerabilidad que permitía que cualquier usuario de la plataforma pudiera entrar en los perfiles de otros abogados y cuentas registradas, y acceder a todos sus documentos. Lo único que tendría que hacer un abogado, estando en su perfil, es cambiar en la barra de direcciones el número de tu ID por el de la persona cuyos datos quisiera consultar.

Varios abogados han querido comprobar esto y decidieron verificar que efectivamente existía esta vulnerabilidad. Uno de ellos le pidió permiso a compañeros suyos de su despacho, pues entrar sin permiso en los directorios de otro está prohibido, y confirmó que desde su propia cuenta podía entrar a sus directorios y ver todos sus archivos.

Según un comunicado oficial del Ministerio de Justicia, tras actualizar LexNet a una nueva versión identificaron un defecto en el control de accesos al sistema ocasionado por un error en la programación del código, el cual aseguran que fue solucionado antes de cinco horas.

También han asegurado que no han identificado acceso indebido alguno a los buzones de LexNet de un usuario que no fuera el legítimo. Con lo cual, insinúan que no es cierto lo que dicen estos abogados, lo que provocó quejas.

Que digan que no ha habido ningún acceso indebido se debe a que no tienen un sistema para detectar si alguien ha accedido. Incluso organismos como FACUA lanzaron comunicados tildando de gravísima la negligencia cometida por el Ministerio de Justicia con LexNet.

¿Qué implicaciones tiene este fallo de seguridad?

Las implicaciones de este fallo de seguridad son inmensas. En LexNet tienen cuentas la Guardia Civil o Policía Nacional, por lo que cualquier abogado podría acceder a la información de los atestados que están reportando en los juzgados.

Esta vulnerabilidad puede haber permitido que los 150.000 usuarios de la plataforma hayan podido acceder a datos de terceros, como nombres, apellidos o DNI, que estén registrados en los procedimientos del resto de usuarios. También habrían tenido acceso a los datos fiscales o números de cuentas bancarias de los ciudadanos que tengan procedimientos judiciales iniciados.

En los procedimientos de LexNet no se oculta el nombre de las partes, lo que permitiría descubrir, por ejemplo, los datos de mujeres maltratadas, de parejas en vía de divorcio, de trabajadores despedidos o los antecedentes penales de cualquier de cualquier ciudadano que haya pasado por cualquier juzgado.

Es posible ingresar en la cuenta de un procurador o un abogado que esté llevando un caso de terceras personas y, por ejemplo, un periodista o un grupo criminal, enterarse de algo que no debería saber.

FUENTES: