¿Alguna pregunta?   971.31.13.31   info@faseconsulting.es

Lexnet y el uso ético y legal de un sistema como medida de protección

Ayer fue la comparecencia del Ministro de Justicia para hablar de los graves errores de seguridad sufridos en la plataforma Lexnet. La realidad es que la comparecencia fue bastante parca en nuevo contenido, pero una afirmación resalta especialmente por la peligrosidad de la misma y el desconocimiento que supone

Esta afirmación no resulta admisible en ningún caso, mucho menos cuando la comparecencia tiene lugar para informar respecto a una vulnerabilidad real y efectiva en un sistema tan crítico como es Lexnet.

No te puedes fiar del usuario

El primero de los problemas es que esta afirmación se basa en que un sistema es seguro simplemente porque el uso “de forma legal y ética” impide el acceso a información ajena al usuario. Esta afirmación resulta absurda, dado que precisamente el control de permisos lo que busca es que un usuario no pueda actuar más allá de su área de competencias.

Un programador aprende que su código debe poder gestionar los posibles errores provocados por la acción de los usuarios, que no debe presuponer que el usuario únicamente realizará su trabajo de acuerdo con el manual y especificaciones oficiales de la plataforma. No pulsará únicamente los botoncitos, y lo hará todo en el orden que se le dé, sino que acabará tocando (por error o con conocimiento de causa) por todas partes, y debes poder anticiparte a ello para mitigar las consecuencias.

No tengo por qué fiarme del usuario. La seguridad no puede basarse en que el usuario actuará como le dices. Eso supondría que las auditorías y los expertos en seguridad no son necesarios, porque basta con la confianza en que el uso que se realizará de la plataforma será el adecuado.

No existe el sistema seguro 100%, pero no implica que no haya obligaciones de diligencia

Por otro lado, se repitió durante la comparecencia diversas veces que no se podía acceder a determinada información porque los jueces utilizan su propio sistema. Lo que no se dijo es que Minerva también sufrió recientemente un problema de seguridad, también en este caso por culpa de permisos 

La magnitud de este fallo informático es tal que permitiría a cualquier juez, letrado o empleado público consultar datos de testigos protegidos -ocultos en formato papel, pero visibles en el sistema informático-, menores de edad, víctimas de delitos de agresión sexual o violencia machista y casos de corrupción en instrucción.

La seguridad informática es algo vivo, requiere continua actualización (el sistema/librería seguro de ayer cuenta con vulnerabilidades graves hoy), pero existe una obligación de diligencia mínima que no puede permitir la dejadez que se puede observar en sistemas complejos como Lexnet.

Pensemos en un supuesto similar, pero en el ámbito privado. En vez de hablar del Ministerio de Justicia pensemos en un despacho de abogados. Imaginemos que este despacho cuenta con una solución informática que permite a sus clientes acceder a los datos del proceso, documentación y demás, pero una vulnerabilidad de este tipo permite a los clientes acceder a datos de procesos de terceros. ¿Bastaría una explicación del uso “legal y ético” de los usuarios para quedar protegidos? Mi opinión es que no, si el sistema permitiera URL tampering nos encontraríamos ante una negligencia que podría suponer la responsabilidad del despacho.

Esto podría compararse con el caso de Arsys Internet y la sanción que recibió por el ataque informático que sufrió. Este ataque fue mucho más complejo que la mera modificación de una dirección (inyección SQL, XSS y comprobaciones débiles) y, sin embargo, la motivación de la sanción de la Agencia de Protección de Datos ya nos da una indicación de lo que podemos esperar.

La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber permitido diversas entidades, el acceso a través de Internet a la información de los datos personales y bancarios de sus clientes que obra en sus ficheros.

Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.

Por lo tanto, no puede admitirse en una Administración Pública algo que resultaría inadmisible e injustificable en un sujeto de derecho privado. No se trata de impedir en todo caso lo que no se puede conocer (zero days, etc, aunque existen formas de mitigar su explotación), pero sí debemos contar con las medidas necesarias para impedir un acceso como el que se produjo, y que además era realmente sencillo, por mucho que se quiera vender una y otra vez como complejo y que requería de conocimientos avanzados.

La “lista negra de abogados”

Uno de los temas que se señaló fue que varios profesionales con acceso a Lexnet (que van más allá de los abogados) intentaron acceder utilizando dicha vulnerabilidad

Es decir, 49 profesionales de la Justicia, con nombres y apellidos, intentaron acceder a buzones de otros compañeros, conscientes de que esto no es ético ni legal, y sabiendo, además, que el problema había sido ya resuelto por el Ministerio

Sobre esto hay varias cuestiones:

  1. Es normal que se sepa quién ha accedido. Un sistema como éste debe contar con un sistema de historial de accesos, que además resulta de fácil implementación dado que el usuario debe identificarse de manera previa al acceso a la plataforma. Para mí no hay problema en la existencia de dicho historial, sin perjuicio de los usos que pueda hacerse posteriormente de dicha información.
  2. No es ético ni legal acceder a buzones de otros compañeros, pero también es cierto que muchos lo hicieron pidiendo permiso previamente para comprobar la existencia de la vulnerabilidad. A esto deberíamos añadir que simplemente cambiar los dígitos en la barra de dirección del navegador sin posteriormente realizar ninguna acción adicional difícilmente puede ser tan reprochable como lo que se ha indicado.
  3. Si los usuarios “sabían” que el problema había sido resuelto, ¿por qué iban a probarlo? ¿por qué iba a dejar de ser ético y legal si se presuponía que la vulnerabilidad había sido solucionada?
  4. Se dice que se ha remitido la información a los Colegios correspondientes para que se actúe. El problema es que si únicamente se ha indicado la identificación de los abogados, y no si el acceso realmente fue efectivo (o se produjo tras solventar el fallo) esta comunicación es papel mojado.

Al final, la comparecencia me pareció inadmisible. No hubo explicaciones reales del problema, aunque seguimos a la espera de lo que encuentre la Agencia y el Poder Judicial, no se propusieron mejoras de cara al futuro, y únicamente se hicieron alabanzas vacías de contenido y acusaciones tanto al chico que encontró el servidor abierto (lleno de archivos obsoletos e información sin relevancia, repetido una y otra vez, pese a lo cual se cursó la denuncia) como a estos abogados.

Una oportunidad perdida para asumir el problema existente y plantear mejoras en la comunicación de fallos y gestión de nuevas versiones, con participación de todos los operadores jurídicos, y que demuestra que la seguridad informática sigue sin contar con la importancia que debería tener.

Recordemos, además, que algunas vulnerabilidades siguen presentes en el sistema Lexnet, sin perjuicio de las que una auditoría en profundidad podría revelar. Esto no es admisible.

 

Sergio Carrasco Mayans
Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Últimas publicaciones

En los medios

Dada nuestra especialización, participamos regularmente en artículos en medios de comunicación.
Voz Pópuli
El Español
Hipertextual
Crea Cultura
Xataka
Eldiario

Contáctanos

Calle des Cubells 33, Esc 3, 3A
Teléfono: 971.31.13.31
Móvil: 625.93.81.24
Website: https://www.faseconsulting.es
Email: info@faseconsulting.es