Cuando aún colea el fallo de seguridad de LexNet, el sistema de gestión de notificaciones telemáticas entre los juzgados y los profesionales de la justicia que se usa en España, que permitía a cualquiera de sus usuarios registrados hacerse pasar por otro y acceder a sus documentos, se ha hecho público otro fallo de seguridad relacionado con el sistema.
En este caso el fallo no está –estaba– en LexNet propiamente sino en un servidor del Ministerio de Justicia conectado a Internet sin protección alguna para sus contenidos: cualquier persona que conociera su dirección IP podía acceder a él sin que se le pidiera en ningún momento ni usuario ni clave de acceso.
En esta máquina había almacenados miles de documentos acerca de la estructura y el funcionamiento de LexNet, así como con su código fuente. Había también información acerca de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España. Ninguno de estos documentos estaba cifrado, con lo que cualquiera que haya tenido acceso a ellos los ha podido abrir sin mayor problema.
Y por si fuera poco también era posible acceder a Visor, el sistema de monitorización en tiempo real de LexNet y Orfila.
En Nuevo fiasco informático en Justicia: 11.000 documentos internos al descubierto y Otro error en la seguridad alrededor de Lexnet: un servidor dio acceso a ficheros a cualquiera hay dos buenas explicaciones sobre este problema; la primera quizás un poco más técnica.
Pero el resumen, sacado del artículo de Sergio Carrasco, es que:
- Un servidor relacionado con Justicia mostraba archivos de manera pública a través de Internet.
- El acceso al servidor no requería de identificación alguna.
- El acceso no contaba con ninguna medida restrictiva de seguridad.
- Los documentos no estaban cifrados.
La reacción desde el Ministerio es algo así como que «nos han hackeado y el que lo haya hecho las va a pagar», pero en realidad esa actitud no es más que intentar escurrir el bulto, pues lo cierto es que el servidor estaba mal configurado, quizás con las prisas de arreglar el primer problema.
Lo único bueno es que con la filtración del código fuente, cuya liberación se ha pedido varias veces, algo a lo que el Ministerio se ha negado a pesar de que el desarrollo de LexNet ha sido pagado con dinero público, es que posible que éste por fin sea analizado y que pueda ser sometido a una auditoría de seguridad, aunque habría que saber si el código filtrado es el código en funcionamiento.
Se podría argüir que que malo es que este mismo código fuente puede ser usado con fines maliciosos, claro pero como dice el segundo de los seis principios de Kerckhoff respecto a los sistemas criptográficos, «La efectividad del sistema no debe depender de que su diseño permanezca en secreto».
Recomiendo de nuevo la lista de abogados que tengo fichados en Twitter paa seguir el tema.