Historias
Slashboxes
Comentarios
 

Un fallo en Lexnet permitió acceder a todos los casos abiertos

editada por mig21 el Jueves, 27 Julio de 2017, 15:03h   Printer-friendly   Email story
Cuentan en El confidencial: "Es un fallo gravísimo, podías acceder a las carpetas privadas de todos los casos que están llevando todos los abogados de España, sea la Gürtel o cualquier pleito local". Así describe a Teknautas el abogado José Muelas el fallo detectado en LexNet, el sistema electrónico que implantó el Ministerio de Justicia en enero de 2016. Él fue uno de los primeros en dar hoy la voz de alarma en las redes sociales ante la "pasividad de Justicia" por resolver el problema tras comunicárselo. Varios abogados han confirmado a Teknatuas que, efectivamente, el fallo existe. José Luis Hernández, Subdirector General de Nuevas Tecnologías en el Ministerio de Justicia y responsable técnico de LexNet, ha confirmado también a Muelas la existencia del problema. Justicia cerró el sistema durante más de 30 minutos y ahora asegura que la vulnerabilidad está resuelta.

Historias relacionadas

[+] Nuevo fallo de seguridad en el Ministerio de Justicia 19 comentarios
El pasado 27 de julio (hace poco más de una semana) saltaba a la actualidad y a la portada de Barrapunto que un fallo en Lexnet permitió acceder a todos los casos abiertos, algo de lo que también se dio cuenta en la bitácora de Alataza. Anteriormente Draco había dado cuenta en su bitácora de otros errores de menor calado en dicha plataforma, pero nada comparable a este fallo de seguridad, que era de un calibre difícilmente imaginable, algo que a duras penas el Ministerio de Justicia intentaba minimizar. Difícil tarea, ya que los medios han empezado a airear las vergüenzas de un sistema chapucero que ha costado más de 7 millones de euros.

Todavía no nos hemos recuperado del susto, cuando se publica en prensa que 11.000 documentos internos del Ministerio de Justicia han quedado al descubierto. Ayer mismo se hacía eco de ello un pobrecito hablador. El error se explica, por ejemplo, en Hipertextual y en Microsiervos, y puede resumirse en que habían alojado un montón de documentos altamente confidenciales en un servidor abierto al público, cuya única medida de seguridad (si es que se puede llamar así) consistía en que no tenía dominio asociado, y se accedía a través de la IP del servidor. Es decir, cualquiera que conociera la IP podría acceder a ABSOLUTAMENTE TODO, sin que ninguna medida de seguridad restringiera el acceso.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Mis dos reales

    (Puntos:2, Interesante)
    por Defero (14845) el Viernes, 28 Julio de 2017, 13:34h (#1379406)
    ( http://www.ekinabokatuak.com/ | Última bitácora: Sábado, 05 Agosto de 2017, 16:52h )
    Resumiendo lo que ya he dicho en la bitácora de Alataza [barrapunto.com], esta noticia me indigna pero no me sorprende. Por otra parte, no me parece apropiada la actuación del abogado que ha levantado la liebre, que sólo ha dado un margen de cuatro horas para anunciar a los cuatro vientos que existía una vulnerabilidad en LexNet. Aunque no haya dado detalles de cuál era la vulnerabilidad, ésta era tan gorda y tan obvia que el riesgo de que fuera aprovechada por malicuentes no era para nada despreciable.
    --
    abogado en Errenteria [ekinabokatuak.com]
    [ Responder ]
  • Ministerio de Desinformación

    (Puntos:3, Informativo)
    por Defero (14845) el Viernes, 28 Julio de 2017, 13:53h (#1379407)
    ( http://www.ekinabokatuak.com/ | Última bitácora: Sábado, 05 Agosto de 2017, 16:52h )
    ¡Ay, qué risa, tía felisa!

    Uno accede al Twitter de LexNet [twitter.com], y se encuentra un twit [twitter.com] que dice lo siguiente:

    La vulnerabilidad identificada en #LexNET ya está resuelta. El servicio ya está funcionando con normalidad @justiciagob @SGJusticia


    Correcto, no veo objeción. Pero justo encima uno encuentra un retuit [twitter.com] del Ministerio de Justicia, que dice así:



    Uno puede suponer que hablar de "defecto" en vez de hablar de "vulnerabilidad" es un ejercicio de neolengua, dirigido a minimizar el impacto mediático del suceso. Ay, inocentes criaturitas... si sólo fuera eso... Visitad el enlace [mjusticia.gob.es], y os encontraréis el siguiente texto:

    El Ministerio de Justicia, en el marco del programa de mejora continua del sistema LexNET, ha puesto en funcionamiento una nueva versión que entre otras cuestiones, atiende a las peticiones que los profesionales han realizado para disponer de acceso multibuzón y la práctica de sustituciones. Esto significa que todos los profesionales colegiados registrados en el sistema pueden disponer de un acceso único a todos sus buzones. Además, LexNET permite que se puedan realizar sustituciones entre distintos profesionales previa autorización, lo que permite el acceso a buzones de otros usuarios.


    ¿No os quedáis con el culo torcido? ¿Qué os parece ese truco de magia por el cual convierten una situación de DEFCON1 en una mejora? Que no, hombre, que no, que si DESCARGÁIS Y ABRÍS EL PDF ENLAZADO, veréis que ese texto es únicamente el primer párrafo de un texto más detallado, cuyo SEGUNDO párrafo dice:

    Con la puesta en marcha de esta nueva versión se ha identificado un
    defecto en el control de accesos al sistema ocasionado por un error en la
    programación del código.


    Entonan el mea culpa, PERO...

    Dicho defecto ha sido completamente
    subsanado en un plazo inferior a 5 horas desde el aviso recibido por un
    usuario del sistema.


    Y digo más:

    Los equipos técnicos del Ministerio han trabajado
    intensamente en su resolución y en una nueva configuración que refuerza
    aún más la seguridad del sistema LexNET.


    ¿Aún MÁS? Ah, vale, me quedo tranquilo... pensaba que la reforzarían AÚN MENOS. Como si fuera posible hacerla aún más gorda...
    --
    abogado en Errenteria [ekinabokatuak.com]
    [ Responder ]
  • Re:Pobre Defero

    (Puntos:1)
    por Defero (14845) el Jueves, 27 Julio de 2017, 18:27h (#1379400)
    ( http://www.ekinabokatuak.com/ | Última bitácora: Sábado, 05 Agosto de 2017, 16:52h )
    1.- Por lo visto hay que ser abogado/procurador para poder ver los expedientes ajenos. Sin certificado digital de la ACA (Autoridad Certificadora de la Abogacía) vas a tener difícil entrar.
    2.- Hay muchos abogados Martínez, te deseo suerte.
    3.- Los casos que llevo no son especialmente interesantes, asuntos de andar por casa.
    4.- No tengo ningún expediente en LexNet, en la CAV (Comunidad Autónoma Vasca) usamos JustiziaSIP, y no he tenido ningún asunto fuera de la CAV desde que está en marcha LexNet.

    Sí, soy un aguafiestas. :-P
    --
    abogado en Errenteria [ekinabokatuak.com]
  • Re:Preguntas

    (Puntos:1)
    por Defero (14845) el Lunes, 07 Agosto de 2017, 09:30h (#1379606)
    ( http://www.ekinabokatuak.com/ | Última bitácora: Sábado, 05 Agosto de 2017, 16:52h )
    Javier de la Cueva está de acuerdo contigo [elconfidencial.com], ya veremos qué dice Europa.
    --
    abogado en Errenteria [ekinabokatuak.com]
  • 6 respuestas por debajo de tu umbral de lectura actual.