Con este tweet (ES) saltaban todas las alarmas.

LexNet es el sistema de gestión de notificaciones utilizado (de forma obligatoria) por los profesionales de la justicia para compartir información. Utiliza para ello un webmail que requiere certificado y firma electrónica para acceder, y que pone en común el trabajo de los abogados con los trabajadores del juzgado.

La semana pasada se hacía pública una vulnerabilidad que permitía a cualquier usuario de LexNet acceder a los documentos enviados y recibidos de cualquier otro usuario… tan solo con cambiar el identificador de cada uno. 

Hace unos años me encontré con una situación semejante en el sistema de gestión de matrículas de una popular universidad española (ES). Alerté al equipo oportuno, y en cosa de unas horas ya estaba solucionado.

En ese caso hablábamos de una consulta con capacidad de modificación de los datos de futuros alumnos. Es algo gordo, pero más gordo es una crisis como la de LexNet, que presumiblemente podría haber permitido durante un tiempo indeterminado que cualquier usuario de la plataforma tuviera acceso a información confidencial y profundamente sensible de todos los casos estudiados en el Ministerio de Justicia. Hasta el punto de usurpar la identidad de cualquiera de sus 140.000 usuarios, con todo lo que ello supone.

¿Qué es aún más preocupante?

De primeras, que el código fuente de LexNet no es público, lo que significa que nadie puede saber desde cuándo existe este problema, ni tan siquiera auditarlo para saber si el parche actual ya cubre todas las casuísticas esperables o con el fin de evitar futuros problemas antes de que sean explotados por terceros.

Para colmo, todos estos accesos ilegítimos, como en el caso que en su día un servidor descubría, no dejan ningún registro en los logs del sistema. La usurpación de la identidad se hace de una manera transparente, por lo que a efectos informáticos es el usuario legítimo el que está realizando la consulta, y por ende, parece que jamás sabremos en cuántas otras situaciones un tercero se ha aprovechado de ello sea para los fines que sea (tergiversar información, obtener información confidencial,…).

Como decía el propio José Muelas, esto no es más que la gota que colma el vaso de todo lo que LexNet lleva años suponiendo, y que en su día expuso públicamente (ES). El sistema está anticuado, es opaco, no es neutral, es discriminatorio, es auto-impuesto… y la peor de todas: LexNet atenta contra la independencia del poder judicial.

Porque el sistema, y con él, los datos de la Administración de Justicia, cuelgan del Ministerio de Justicia (poder ejecutivo), con una plataforma subcontratada a una empresa privada:

Esta tendencia del poder ejecutivo a privar al poder judicial de toda capacidad real de actuación sin contar con su tutela no es más que el reflejo de la voluntad de control de un poder sobre otro. No hay razones económicas que lo justifiquen y hay muchas razones de orden lógico, jurídico y democrático que aconsejarían lo contrario. El que el poder ejecutivo pueda fiscalizar todas y cada una de las notificaciones que emite el poder judicial o que pueda acceder a los archivos de todos los procedimientos de España es una circunstancia que puede tener consecuencias inimaginables y ninguna buena.

Saque sus propias conclusiones…