O ministro de Xustiza defendeu no Congreso a súa actuación na crise de Lexnet, mais a AEPD non está de acordo: impúxolle unha infracción grave por incumprir as condicións de seguranza.

 

Foto: Lexnet

 

Foi a maior crise á que se enfrontou o Ministerio de Xustiza durante os últimos anos. O pasado verán, un fallo informático deixou inoperativo durante días o sistema LexNet. Ademais, o 27 de xullo, un grave fallo de seguranza informática deixou ao descuberto máis de 11.000 documentos xudiciais, parte do código fonte da plataforma e da Intranet do propio ministerio. A gravidade non era pouca cousa, xa que os profesionais do sector xurídico puideron acceder mesmo a documentos de terceiras persoas: bastaba con mudar os IDs que identifican cada usuario no URL para acceder á bandexa de entrada privada doutra persoa e aos documentos de cada un dos procesos xudiciais que tiña en marcha.

Xustiza tentou minimizar o impacto daquel fallo, que moitos expertos xurídicos e informáticos cualificaron de “arranxiño Lexnet”, que se prolongou durante varios días e contou con novos episodios. Ademais, o ministro Rafael Catalá asegurou en sede parlamentar que a plataforma só deixou de ser segura un 0,75% do tempo e que o problema fora resolvido sen que afectase á seguranza dos usuarios ou dos procesos xudiciais. Contodo, a Axencia Española de Protección de Datos (AEPD) non opina o mesmo: a plataforma que custou máis de 7 millóns de euros de diñeiro público, que puxo en dúbida as empresas que a desenvolveron e que denunciou o propio informático que axudou a desvelar o fallo acaba de ser sancionada por incumprir a Lei de Protección de Datos.

Infrinxiu a seguranza de datos persoais

“No expediente sancionador, a AEPD asegura que a Subdirección Xeral de Novas Tecnoloxías da Xustiza (SGNTJ), dependente do Ministerio de Xustiza, infrinxiu o artigo 9.1 da Lei Orgánica de Protección de Datos (LOPD), que determina que “o responsábel dun ficheiro (…) deberá adoptar as medidas de índole técnica e organizativas necesarias que garantan a seguranza dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou acceso non autorizado”.

Non acaba aí a cousa. Ademais, Xustiza tamén infrinxiu o artigo 10 da mesma lei, que o obriga ao “segredo profesional a respecto dos mesmos [os datos persoais] e ao deber de gardalos, obrigacións que subsistirán aínda despois de finalizar as súas relacións co titular do ficheiro ou, sendo o caso, co responsábel do mesmo”.

 

Xustiza vulnerou o principio de seguranza dos datos ao modificar o programa de acceso a caixas de correos doutros usuarios de Lexnet

 

Segundo a AEPD, portanto, durante o grave fallo de seguranza de Lexnet “foron divulgados datos persoais que tiñan uns usuarios e puideron ser vistos por outros usuarios”.

A vulneración destes dous artigos supuxo ao Ministerio de Xustiza a execución dunha infracción grave, aínda que non haberá sanción efectiva alén da publicación deste expediente, xa que a AEPD considera que Xustiza “tomou as medidas adecuadas para evitar que volva a producirse o incidente de seguranza referido”.

 

El ministro de Justicia, Rafael Catalá, en su comparecencia en el Congreso por el caso Lexnet.O ministro de Xustiza, Rafael Catalá, na súa comparecencia no Congreso polo caso Lexnet.

 

Oito días cun sistema vulnerábel

Non é o único ‘puxón de orellas’ que a AEPD dá ao Ministerio de Xustiza. No expediente sancionador tamén se recolle que “a versión de Lexnet que tiña brecha de seguranza púxose en produción no 20 de xullo ás 21:45h, detívose ás 15:15h do 27 de xullo e foi substituída por unha nova versión ás 16:25h”, co que Lexnet funcionou durante máis dunha semana cun sistema informático vulnerábel.

Ademais, os responsabeis da plataforma non foron precisamente rápidos, xa que o primeiro aviso de vulnerabilidade produciuse “mediante unha mensaxe privada á conta de Twitter de Lexnet aproximadamente ás 02:00h (madrugada) da quinta feira 27 de xullo de 2017” e despois “a mesma persoa [o letrado José Muelas] enviou unha mensaxe pública por Twitter aproximadamente ás 9:30h do mesmo día en o que se manifestaba como explotar a vulnerabilidade do incidente”.

Pasaron máis de 9 horas desde que Lexnet recibiu o primeiro aviso de vulnerabilidade até o abordar, e máis de 14 horas até o arranxar

 

Contodo, “o subdirector da Subdirección Xeral de Novas Tecnoloxías da Xustiza foi informado diso “entre as 10:30h e as 11h”. A seguir, “entre as 11:30h e as 14h realizáronse verificacións exhaustivas, para comprobar se o comportamento era anómalo ou un problema puntual dun único usuario”. Finalmente, “ás 14h “detense o sistema” e “ás 16:20h o erro de programación que produciu o incidente de seguranza está solucionado?”-

En resumo, pasaron máis de 9 horas desde que Lexnet recibiu o primeiro aviso de vulnerabilidade ata que o abordou, e máis de 14 horas ata que o erro emendouse… para volver fallar pouco despois.

Segundo a investigación recompilada pola AEPD, 284 usuarios accederon a 692 caixas de correos que non lles pertenecían, realizando 1.438 visualizacións de mensaxes de forma non autorizada. Deles, 74 usuarios accederon a 79 caixas de correos que non lles pertenecían e consultaron 432 documentos de forma non autorizada.

Mais, a que tipo de información allea foi posíbel acceder durante case oito días? Segundo a AEPD, “ás notificacións practicadas, transferencia de escritos, demandas, notificacións, partes hospitalares, etc., ás notificacións xa aceptadas, a acuses de recibo dos escritos presentados previamente polo usuario e ás notificacións non practicadas en caso de caixas de correos de procuradores”.

Os tipos de conta que ficaron expostas foron “as correspondentes aos colectivos de avogados, procuradores e graduados sociais. Outras contas máis sensibeis”, asegura a AEPD, “como as correspondentes á Fiscalía, xulgados, forzas e corpos de seguranza, medicina legal, avogados do estado, servizos xurídicos das CC.AA e Seguranza Social, non estaban afectadas polo incidente”.

En total, durante ese período de tempo accedeuse “ao 0,1% das caixas de correos de Lexnet, ao 0,02% das mensaxes que se trocaban nun día, ao 0,0001% de todas as mensaxes que se trocaron na plataforma Lexnet desde o inicio do seu operación”, aínda que non se pode saber até que punto os documentos vulnerados eran máis ou menos determinantes.

A cuestión, en calquera caso, é evidente: apesar de o Ministerio de Xustiza tirar ferro ao asunto e o ministro Rafael Catalá asegurar no Congreso que “o problema foi resolvido sen que afectase a seguranza dos usuarios ou dos procesos xudiciais”, o certo é que, segundo a AEPD, a cousa foi moito máis alá: o Goberno infrinxiu a Lei Orgánica de Protección de Datos e, segundo os expertos, Lexnet volverá fallar antes ou despois.

Fonte: El Confidencial