LexNet: Todo lo que debes saber sobre este vergonzoso fallo de seguridad

En los últimos días se está hablando mucho sobre LexNet. Antes de entrar en materia, LexNet es un sistema de gestión de notificaciones que permite a los profesionales de la justicia (abogados, procuradores, etc) intercambiar información y enviar notificaciones, entre otros usos, fácilmente a través de Internet. Esta plataforma costó cerca de 7 millones de euros y, ahora, ha sido hackeado de la forma más vergonzosa, permitiendo a cualquiera acceder a una valiosa información judicial sobre todo tipo de casos.

Cuando hablamos de este tipo de plataformas, lo normal es que pensemos que han pasado ciertos procesos de seguridad y se han sometido a ciertas auditorías externas para garantizar que el sistema es fiable. Y más cuando estamos hablando de 7 millones de euros. Sin embargo, Lexnet, y las empresas que trabajaron en el proyecto no supieron administrar bien el dinero, o lo hicieron “demasiado bien”, olvidándose de las auditorías de seguridad.

Para acceder a la plataforma es necesario identificarse utilizando un certificado digital y una firma electrónica almacenada dentro de una tarjeta criptográfica. La seguridad, en este aspecto, es elevada. Sin embargo, una vez autenticado en el sistema, cada usuario tiene su área privada asociado a una simple URL, concretamente a un simple parámetro de la misma. Para el colmo, tras la última actualización del sistema, si un usuario cambia dicho parámetro por el ID de otro usuario de la plataforma, puede acceder a absolutamente todo su contenido, desde la bandeja de entrada hasta los documentos más confidenciales. Un fallo absurdo, estúpido y que hubiera sido detectado en las primeras fases de una auditoría de seguridad.

Después de que algunos abogados lo detectaran y lo reportaran, y tras varias mentiras por parte de LexNET, finalmente la compañía lo admitió y detuvo la plataforma para poder solucionar el fallo de seguridad.

Varias horas más tarde de duro trabajo, la vulnerabilidad fue resuelta y el sistema y toda su información volvía a ser segura. ¿de verdad se lo creyeron?

600 MB de datos robados a LexNet: Documentos privados, certificados, código fuente, etc

Como hemos dicho, los responsables del mantenimiento de LexNet detectaron y solucionaron el problema de seguridad, volviendo a convertir esta plataforma en un lugar seguro y privado. Y esto no lo negamos, pero la solución llegó demasiado tarde.

Esta misma mañana, ElConfidencial informaba que el Ministerio de Justicia había confirmado el filtrado de más de 600 MB de datos de la plataforma. Entre estos datos se encuentran, por ejemplo, más de 11.000 documentos secretos sobre casos judiciales, certificados de los usuarios y, además, una gran parte del código fuente de la plataforma. El acceso no autorizado fue detectado igualmente el pasado 28 de julio, tras lo cual los técnicos de Justicia empezaron a borrar los archivos del servidor.

Demasiado tarde.

Datos robados LexNET

Estos datos, independientemente de la importancia de los documentos judiciales (que no es poca, precisamente), permiten conocer al detalle cómo funciona la plataforma y la expone a que cualquiera pueda auditar la seguridad y explotar posibles fallos de seguridad aún desconocidos y ocultos en el código. Además, se ha expuesto la arquitectura de la plataforma Orfila (incluido un “Manual de Explotación Orfila” para uso interno), el sistema que se encarga de conectar tribunales, juzgados, fiscalías con todo el sistema de sanidad en España.

Dentro de Orfila es posible encontrar información sensible sobre violaciones, maltrato, abusos o cualquier prueba médica o autopsia realizada a cualquier paciente. Todos estos datos, además, han sido descargados desde un servidor del Estado, servidor que ni siquiera pedía autenticación.

La culpa es de todos, pero al ser un sistema opaco, no se sabe quiénes son esos “todos”

Desde 2010, han trabajado un gran número de empresas y grandes compañías en el proyecto, tantas compañías, tanto dinero que no se sabe dónde se ha ido (aunque nos lo imaginamos) y tanto secretismo que, tras más de 7 millones de euros invertidos en 6 años, no se sabe por qué se ha podido cometer un fallo de seguridad tan absurdo.

No se sabe cómo ha podido suceder, pero sí por qué: por negarse a abrir el código. No estoy diciendo que esta plataforma debería ser de código abierto (aunque sí debería serlo, esto no hubiera ocurrido y, además, los costes serían mucho menores de la décima parte), pero es que los responsables de LexNet ni siquiera se negaban a abrir el código a empresas auditora para buscar fallos de seguridad y ayudarles a hacer la plataforma más segura. ¿Acaso hay algo que esconder? Lo hubiera o no, ahora seguro que ya no lo hay.

Ahora, los responsables de Justicia y de Lexnet quieren cargar la culpa a quien haya accedido al servidor alegando que “hizo algo ilegal” al acceder a dicha información sin proteger, lo cual no me quita de la cabeza el siguiente tweet.

Buscar en Google y acceder a un documento que no está protegido no es ilegal. Lo que ha hecho este usuario tampoco lo es, ya que la puerta estaba abierta llamando a que cualquiera entrara, accidentalmente o a propósito, pero, como ocurre siempre (y, sin ir más lejos, nos remontamos un par de meses a WannaCry), siempre es mejor echar las culpas a otro en vez de asumirlas y aprender de los errores para un futuro.

De todas formas, que esto haya salido a la luz es algo bueno, ya que, además de evitar que ocurra en un futuro y sea peor, puede ser una buena oportunidad para renovar toda la plataforma estatal. Costará dinero (y más si no han aprendido de las empresas responsables de este fallo de seguridad de LexNet y las vuelven a contratar), pero si una cosa caracteriza a España es que, en todo lo relacionado con la telemática, no estamos a la cabeza (aunque con el Programa PADRE sí han hecho buen trabajo, todo hay que decirlo).

Para finalizar, queremos recordar que el Estado se toma muy en serio la Ley de Protección de Datos, y cualquier empresa que no la cumpla a rajatabla puede recibir sanciones astronómicas. ¿Acaso esto no es una clara violación de la LOPD? Concretamente en lo relacionado a que es responsabilidad de la empres el proteger los datos correctamente ¿Y quién es el responsable de todo? Nadie lo sabe, por lo que nadie pagará por ello. Así es LexNet. Así es la Justicia.

Nota seguridad web LexNET

¿Qué opinas de todo el caso LexNet?



Via: www.redeszone.net
LexNet: Todo lo que debes saber sobre este vergonzoso fallo de seguridad LexNet: Todo lo que debes saber sobre este vergonzoso fallo de seguridad Reviewed by Lydecker Black on 20:24 Rating: 5