A final de julio, justo antes del receso de verano, un grupo de abogados detectó un fallo de seguridad en LEXNET, el sistema telemático que utiliza el Ministerio de Justicia para intercambiar información sobre casos y documentos (sumarios, sentencias y otras resoluciones, etc.) entre tribunales, abogados, fiscales y otros actores judiciales.
Se cae el sistema
Desde que empezó a funcionar LEXNET, un gran número de profesionales del derecho y asociaciones de jueces han criticado tanto la seguridad del sistema como cuestiones de separación de poderes.
En concreto, la vulnerabilidad detectada el 27 de julio permitía que cualquier usuario tuviera acceso a cualquier caso o archivo del sistema, podía descargar, borrar o modificar los archivos de cualquier otro usuario (incluso archivos con información privada y confidencial como documentos de identificación, datos financieros y bancarios, expedientes médicos, pruebas, etc.).
Cinco horas después de la identificación de la vulnerabilidad, el Ministerio de Justicia cerró el servicio. Una hora después, informó que el problema había sido resuelto y afirmó que no había habido acceso indebido.
El viernes 28 de julio, el Ministerio anunció que el sistema se cerraría de nuevo desde las 4:30 pm hasta las 8:00 am del lunes 31 de julio para realizar mantenimiento técnico. El ministro de Justicia convocó a un gabinete de crisis el domingo 30 de julio.
Cuestiones de transparencia
Tras la reunión, el Ministerio anunció que abriría una investigación interna. Además, el Consejo General del Poder Judicial afirmó que investigaría si se produjo algún incumplimiento de la legislación de protección de datos, una investigación que requiere la cooperación del Ministerio de Justicia.
Sin embargo, dada la falta de transparencia (solo el propietario tiene acceso, y cualquier investigación independiente depende únicamente de lo que este decida revelar), los evaluadores externos no podrán evaluar qué se ha hecho realmente, cuánto duró la vulnerabilidad, y quién tuvo acceso no autorizado.
Solo el Ministerio de Justicia (es decir, el gobierno) puede realmente confirmar qué sucedió, la magnitud y las consecuencias del fallo de seguridad de datos.
Piden que la ONU intervenga
Según los expertos, aunque la vulnerabilidad específica o la brecha puede haberse arreglado, esto no impide que otras posibles brechas o fallos de seguridad importantes ocurran en el futuro. Durante todo el día (31 de julio), LEXNET siguió experimentando problemas, por ejemplo, notificaciones cruzadas (enviadas a un abogado cuando estaban destinadas a otros profesionales/colegas), lo que parece indicar serios problemas de raíz.
Debido a que se han podido violar los derechos de privacidad, RIS espera que los expertos pertinentes de la ONU presenten un solicitud a las autoridades españolas.
