FONT: EL CONFIDENCIAL
La "chapuza Lexnet" ja té càstig: Espanya va infringir la llei de protecció de dades
El ministre de Justícia va defensar al Congrés la seva actuació en la crisi de Lexnet, però l'AEPD no està d'acord: li ha imposat una infracció greu per incomplir les condicions de seguretat.
10.04.2018 – 09:14 H.
Va ser la major crisi a la qual es va enfrontar el Ministeri de Justícia durant els últims anys. El passat estiu, una fallada informàtica va deixar inoperativo durant dies el sistema LexNet. A més, el 27 de juliol, una greu fallada de seguretat informàtica va deixar al descobert més d'11.000 documents judicials, part del codi font de la plataforma i de la Intranet del propi ministeri. La gravetat no era poca cosa, ja que els professionals del sector jurídic van poder accedir fins i tot a documents de terceres persones: bastava amb canviar els IDs que identifiquen a cada usuari en la URL per accedir a la safata d'entrada privada d'una altra persona i als documents de cadascun dels processos judicials que tenia en marxa.
Des de Justícia es va intentar minimitzar l'impacte d'aquella fallada, que molts experts jurídics i informàtics van qualificar de "nyap Lexnet", que es va perllongar durant diversos dies i va comptar amb nous episodis. A més, el ministre Rafael Catalá va assegurar en seu parlamentària que la plataforma només va deixar de ser segura un 0,75% del temps i que el problema va ser resolt sense que afectés a la seguretat dels usuaris o dels processos judicials. No obstant això, l'Agència Espanyola de Protecció de Dades (AEPD) no opina el mateix: la plataforma que va costar més de 7 milions d'euros de diners públics, que va posar en dubte a les empreses que la van desenvolupar i que va denunciar al propi informàtic que va ajudar a desvetllar la fallada acaba de ser sancionada per incomplir la Llei de Protecció de Dades.
Va infringir la seguretat de dades personals
En l'expedient sancionador, l'AEPD assegura que la Subdirección General de Noves Tecnologías de la Justícia (SGNTJ), dependent del Ministeri de Justícia, va infringir l'article 9.1 de la Llei Orgànica de Protecció de Dades (LOPD), que determina que "el responsable d'un fitxer (...) haurà d'adoptar les mesures d'índole tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat".
No acaba aquí la cosa. A més, Justícia també va infringir l'article 10 d'aquesta llei, que li obliga al "secret professional respecte dels mateixos [les dades personals] i en deure guardar-los, obligacions que subsistirán àdhuc después de finalitzar les seves relacions amb el titular del fitxer o, si escau, amb el responsable del mateix".
Justícia va vulnerar el principi de seguretat de les dades en modificar el programa d'accés a bústies d'altres usuaris de Lexnet
Segons l'AEPD, per tant, durant la greu fallada de seguretat de Lexnet "es van difondre dades personals que tení*an uns usuaris i van poder ser vists per altres usuaris".
La vulneració d'aquests dos articles li ha suposat al Ministeri de Justícia l'execució d'una infracció greu, encara que no hi haurà sanció efectiva més enllà de la publicació d'aquest expedient, ja que l'AEPD considera que Justícia "ha pres les mesures adequades per evitar que es torni a produir l'incident de seguretat referit".
Vuit dies amb un sistema vulnerable
No és l'única 'estirada d'orelles' que l'AEPD li dóna al Ministeri de Justícia. En l'expedient sancionador també es recull que "la versión de Lexnet que tenía la bretxa de seguretat es va posar en producción el 20 de juliol a les 21:45h, es va detenir a les 15:15h del 27 de juliol i se substitueixó per una nova versión a les 16:25h", amb el que Lexnet va funcionar durant més d'una setmana amb un sistema informàtic vulnerable.
A més, els responsables de la plataforma no van ser precisament ràpids, ja que el primer avís de vulnerabilitat es va produir "mitjançant un missatge privat al compte de Twitter de Lexnet aproximadament a les 02:00h (matinada) del dijous 27 de juliol de 2017" i després "la mateixa persona [el lletrat José Molguis] envió un missatge pú*blico per Twitter aproximadament a les 9:30h del mateix vaig donaŕa en el qual es manifestava có*mo explotar la vulnerabilitat de l'incident".
Van passar més de 9 hores des que Lexnet va rebre el primer avís de vulnerabilitat fins que ho va abordar, i més de 14 hores fins que ho va arreglar
No obstant això, "el sotsdirector de la Subdirección General de Noves Tecnologías de la Justícia va ser informat d'això "entre les 10:30h i les 11h". A continuació, "entre les 11:30h i les 14h es van realitzar verificacions exhaustives, per comprovar si el comportament era anuśdolent o un problema puntual d'un ónico usuari". Finalment, "a les 14h "es deté el sistema” i “a les 16:20h l'error de programación que va produir l'incident de seguretat aquestá solucionat”.
En resum, van passar més de 9 hores des que Lexnet va rebre el primer avís de vulnerabilitat fins que ho va abordar, i més de 14 hores fins que l'error es va esmenar... per tornar a fallar poc després
284 usuaris van accedir a 692 bústies alienes
Segons la recerca recopilada per l'AEPD, 284 usuaris van accedir a 692 bústies que no els pertenecí*an, realitzant 1.438 visualitzacions de missatges de forma no autoritzada. D'ells, 74 usuaris van accedir a 79 bústies que no els pertenecí*an i van consultar 432 documents de forma no autoritzada.
Però, a quin tipus d'informació aliena es va poder accedir durant gairebé vuit dies? Segons l'AEPD, "a les notificacions practicades, trasllat d'escrits, demandes, notificacions, parts hospitalaris, etc., a les notificacions ja acceptades, als justificants de recepció dels escrits presentats prèviament per l'usuari i a les notificacions no practicades en cas de bústies de procuradors".
"Es va accedir a notificacions, trasllat d'escrits, demandes, parts hospitalaris..."
Els tipus de compte que van quedar exposades van ser "les corresponents als col·lectius d'advocats, procuradors i graduats socials. Altres comptes dt.́s sensibles", assegura l'AEPD, "com les corresponents a la Fiscalía, jutjats, forces i cossos de seguretat, medicina legal, advocats de l'estat, serveis jurídics de les CC.AA i Seguretat Social, no estaven afectades per l'incident".
En total, durant aquest període de temps es va accedir "al 0,1% de les bústies de Lexnet, al 0,02% dels missatges que s'intercanvien en un dia, al 0,0001% de tots els missatges que s'han intercanviat en la plataforma Lexnet des de l'inici del seu operación", encara que no es pot saber fins a quin punt els documents vulnerats eren més o menys determinants.
La qüestió, en qualsevol cas, és evident: malgrat que el Ministeri de Justícia va llevar ferro a l'assumpte i el ministre Rafael Catalá va assegurar al Congrés que "el problema va ser resolt sense que afectés a la seguretat dels usuaris o dels processos judicials", la veritat és que, segons l'AEPD, la cosa va ser molt més allà: el Govern va infringir la Llei Orgànica de Protecció de Dades i, segons els experts, Lexnet tornarà a fallar abans o després.
FONT LACERCA.COM
Les recerques conclouen que la fallada de LexNET no va afectar a expedients judicials
CGPJ i AEPD confirmen que no es van veure afectats fitxers jurisdiccionals ni documents de les Forces i Cossos de Seguretat de l'Estat i de la Fiscalia
Una vegada que s'han fet públiques per part de l'Agència Espanyola de Protecció de Dades1 (AEPD) les seves conclusions sobre la recerca relativa a l'incident de seguretat del sistema LexNET que es va produir el passat mes de juliol de 2017, ha quedat provat que la fallada no va afectar a fitxers jurisdiccionals ni a expedients complets i que els documents de les Forces i Cossos de Seguretat de l'Estat i de la Fiscalia no van estar exposats en moment algun. ja que en LexNET no existeixen expedients complets, el nombre de documents que es van veure afectats va ser molt limitat i s'estima que el nombre de bústies que va poder veure's perjudicat amb prou feines va ser el 0,1%.
L'AEPD reconeix que el Ministeri de Justícia2 ha col·laborat amb total transparència, lleialtat i respecte institucional en les recerques i des del primer moment va reconèixer la fallada que, a causa d'un error de programació i control en una actualització de LexNET per part de l'empresa que desenvolupa el sistema, permetia als usuaris acreditats amb certificat digital i després d'una sèrie d'accions, accedir a la bústia d'un tercer. Atès que l'error informàtic que es va produir va afectar a determinats fitxers no jurisdiccionals, s'ha declarat una infracció automàtica en aplicació de la Llei Orgànica de Protecció de Dades.
Un total de 140 usuaris van accedir de forma irregular a 150 bústies que no els pertanyien i van visualitzar 1.023 missatges de forma no autoritzada, encara que no van descarregar continguts. Van ser 74 els que sí ho van fer de 431 missatges consistents en notificacions ja practicades i limitades als 60 dies anteriors. L'Agència dóna per provat que no es podien manipular documents, accedir a comunicacions que no haguessin estat obertes prèviament per l'usuari legítim, ni presentar escrits en nom d'altres usuaris, així com que no van poder visualitzar-se missatges anteriors a 60 dies atès que el sistema esborra les dades de forma automàtica.
Constata així mateix, els esforços realitzats pel Ministeri de Justícia per mitigar l'incident de seguretat i evitar situacions similars en el futur. El Ministeri ha dissenyat 69 mesures correctivas i preventives, de les quals 55 ja s'han implementat i la resta es troba en fase de desenvolupament i proves. Tot això fa que avui LexNET sigui molt més segur que abans de l'incident.
Amb anterioritat han arxivat l'expedient de recerca sense infracció alguna, tant el Consell General del Poder Judicial3, com el Ministeri d'Energia4, Turisme i Agenda Digital5, supervisor de serveis no qualificats de lliurament electrònic certificat com és LexNET.
Amb la resolució de l'Agència Espanyola de Protecció de Dades conclouen les actuacions que les diferents autoritats amb competències i els serveis d'inspecció del Ministeri han realitzat sobre l'incident de LexNET.