Hace unos días nos llevábamos las manos a la cabeza cuando conocimos lo ocurrido con LEXNet: un sistema telemático para el Ministerio de Justicia de España, que sirve para que abogados, juzgados y procuradores intercambien información.
Parece que las cosas son más graves de lo que pensábamos, ya que el Ministerio de Justicia acaba de confirmar que se han filtrado más de 11.000 documentos (unos 600MB). En estos archivos se puede conocer la arquitectura de sus sistemas informáticos y parte de su código fuente.
Esto significa que LEXNet hace más aguas que nunca, ya que deja las puertas abiertas a posibles ciberataques. Por si fuera poco, los archivos estaban colgados en un servidor del Ministerio que estaba completamente abierto, y no era necesario utilizar contraseñas para acceder a ellos.
No entendemos cómo pudieron tener un despiste tan grave, y en esos documentos podemos conocer al detalle la arquitectura técnica de Orfila, un sistema que sirve para conectar a tribunales, juzgados, fiscalías y oficinas del registro civil con institutos de medicina legal en España.
Una vez dentro de este sistema podríamos tener acceso información muy sensible: autopsias y pruebas médicas de todo tipo de casos (violaciones, suicidios, asesinatos, etc.).
Yo no he sido
Un portavoz del gobierno parece querer lavarse las manos afirmando que no se trata de un error de su parte, ya que se trata de un delito:
Consideramos que no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la administración pública. Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido. Es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior.
Por su parte, uno de los supuestos responsables de haber accedido a este contenido, confesaba a 'El Confidencial' que "no ha hecho nada ilegal", ya que "todo estaba abierto, sin securizar". Lo que hizo fue avisar al Ministerio en las redes sociales e incluso decidió borrar los mensajes para que no se hiciera viral. Se queja de que ha reportado decenas de fallos a la administración y ni siquiera le han dado las gracias.
Como vemos, este asunto es muy grave, y nos preguntamos si LEXNet es un producto que todavía se pueda salvar. Esperemos que no haya que gastar otros 7 millones de euros en productos tan mal implementados.
En Genbeta | Una denuncia no puede obligarte a pagar por descargas P2P con tu IP como única prueba
Ver 14 comentarios
14 comentarios
crisct
Vaya tela. Espero que les tumben el chiringuito por incompetentes.
Por cierto, si una página es de uso privado y no está securizada es una negligencia como una casa. El símil del coche con las puertas abiertas no cuela. Más bien sería 'dejo una carpeta en la calle y dentro hay 10.000 documentos confidenciales'
Y aun dicen del ministerio que no han hecho nada mal. Con dos c0j0nes !
atoi
Yo me pregunto en qué piensan los políticos cuando niegan lo innegable. Luego esperan que la gente les crea cuando hacen prestidigitación para explicar los números.
karrtojal
Multitud de abogados ya hablaban de lo mal que iba LexNet. Pero los 7 millones que ha costado el proyecto no ha dado para contratar a algún hacker ético para que comprobara la seguridad de la web.... Se lo ha quedado todo los jefes.
La justicia debería participar de oficio y hacer su trabajo.
kj_
Jooooo, encima tienen la caradura de decir que no fue su culpa xD.
Entiendo muy bien al que le ha reportado mil cosas y nunca le hacen caso, yo igual lo he hecho en cierto lugar en el que usan ASP con iframes sin segurizar, donde no solo se puede sacar datos de la gente y aún así, a pesar que incluso lo demostré de manera pública y lo reporté más de una vez, hasta ahora se dignan de arreglarlos. Lo peor es que por ciertas circunstancias terminé teniendo al encargado y a todos los programadores juntos y les dije el error, a lo que respondieron lavándose las manos y echándole la culpa a alguien que ya no trabajaba ahí... pero el arreglo nunca.
tsubasa.akai
¿Esa filtración está colgada en algún sitio? Tengo curiosidad por leer el código y escribir un articulo
kno
Que jeta tiene el gobierno tirando balones fuera. La analogía correcta sería que paseas por la calle con los pantalones bajados y te quejas de que se te vean las partes.
Con tal de no asumir responsabilidades esta gentuza se inventará lo que sea.
juliosao
Creo que tener toda esa información en claro y sin securizar es en sí un delito tipificado por la ley de protección de la información. En mi curro cometo una de esas y se me cae el pelo.
Y aunque sea un delito meterse en ese servidor ¿Creeis que a un narcotraficante/violador/terrorista le va a importar cometer un delito de ese tipo?
alberto
Manda narices que alguien sea capaz de decir que no han hecho nada mal al dejar al descubierto esa cantidad de datos confidenciales sin protegerlos de ninguna forma.
Lo peor es que como con todo lo que hacen los políticos al final se quedara en nada y seguirán "trabajando" como si tal cosa, y les seguirán votando y seguirán siendo elegidos.
Lo peor es que luego alguien usa tu Wifi para cometer un delito y si no demuestras tenerla bien protegida te hacen cómplice (o incluso te hacen responsable directamente).