LEXNET SUFRE UN GRAVE INCIDENTE DE SEGURIDAD
Hace algunos días José Muelas, Decano del Ilustre Colegio de Abogados de Cartagena, alertaba sobre un grave fallo de seguridad en Lexnet, el sistema informático usado para gestionar todos los expedientes judiciales en España. ¿Se trata de un fallo informático o del culmen de la negligencia política?
¿En qué consistió el fallo de seguridad de Lexnet?
No hay todavía una versión detallada, pero diversas fuentes señalan que el fallo consistía en que, al cambiar el ID del usuario en la dirección URL de la aplicación Lexnet se obtenían todos los permisos de acceso de ese usuario sin necesidad de introducir su contraseña. Es decir, podíamos tener la siguiente URL como ejemplo: https://lexnet.com/abogadoA . Se cambia manualmente la URL a, por ejemplo, la siguiente: https://lexnet.com/abogadoB
Automáticamente teníamos acceso a todos los expedientes judiciales relacionados con el “AbogadoB” sin necesidad de introducir contraseña alguna. Esto en la práctica supone que, conociendo el ID de usuario de un determinado usuario se podía acceder y descargar expedientes judiciales relacionados con ese usuario.
Para los técnicos en la materia se trata de un error sumamente grave por la impericia que demuestra. Como medida básica de seguridad, los IDs en una URL deben aparecer cifrados. Algo así:
https://lexnet.com/WeRG651fTY
Tampoco se estarían controlando adecuadamente las sesiones de usuario, ya que ante un cambio de usuario se debe requerir siempre la correspondiente contraseña. Se trata de un error de novato, impropio de las medidas de seguridad exigibles a este tipo de sistemas, lo que suscita la lógica preocupación de todo el ámbito judicial y alarma en la ciudadanía.
La tutela judicial efectiva en entredicho
La incidencia no es baladí en cuanto que supone poner en tela de juicio el derecho fundamental a una tutela judicial efectiva. Este derecho viene determinado por el artículo 24 de la Constitución:
“1. Todas las personas tienen derecho a obtener la tutela efectiva de los Jueces y Tribunales en el ejercicio de sus derechos e intereses legítimos, sin que en ningún caso pueda producirse indefensión 2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la ley, a la defensa y asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia. La ley regulará los casos en que, por razón de parentesco y secreto profesional, no se estará obligado a declarar sobre hechos presuntamente delictivos”.
El hecho de que se pueda tener acceso a los expedientes judiciales de forma indiscriminada supone una quiebra de la tutela judicial efectiva, en tanto en cuanto el proceso judicial dejaría de tener todas las garantías establecidas por Ley.
Esta circunstancia se une a la campaña iniciada por múltiples juristas para exigir que el sistema Lexnet sea gestionado por el Consejo General del Poder Judicial, y no por el Ministerio de Justicia, dado que en estos instantes el control del sistema escapa a los órganos judiciales. ¿Quién está en disposición de asegurar que desde el Gobierno no se accede indiscriminadamente a los expedientes judiciales?
Lo que está sucediendo con Lexnet es extraordinariamente grave, lo que me lleva a reflexionar sobre lo siguiente:
¿Somos conscientes en España de cómo se elaboran los sistemas informáticos?
Mi percepción es que no. Por si no lo saben el sector TIC está tipificado por Ley como fundamental para la seguridad Nacional. Aún así, los sistemas informáticos no tienen obligación de cumplir norma técnica alguna ni de pasar ningún tipo de control debidamente regulado. Para entendernos: la instalación de gas de su casa pasa más controles y está más regulada que un sistema como Lexnet.
Se da la circunstancia de que, pese a ser indudablemente obras de ingeniería, no se proyectan los sistemas informáticos. Es decir, no hay en la mayoría de los casos ni planos, ni cálculos, ni especificaciones técnicas ni nada por el estilo. ¿Cómo se pueden conocer las características de un sistema informático si no se proyecta? ¿Cómo prevenir y controlar los posibles fallos antes de llevarlos a cabo? De un coche o una casa se conocen sus características, de un sistema informático, no. ¿Cómo comprar un sistema informático de millones de euros sin las más básicas garantías sobre sus características o funcionamiento?
Al hilo de lo que comento, está el asunto de los ingenieros informáticos. Por si no lo sabe, estos profesionales son los únicos ingenieros de España que no tienen regulada su profesión, y su titulación la única no regulada por ley de entre las ingenierías españolas. Esta circunstancia está ya incluso denunciada ante el Parlamento Europeo y la Comisión Europea, visto el inmovilismo político español tras 9 años, que se dice pronto. Es decir, que pese a que muchos políticos se llenan la boca con la importancia de las TIC se tiene conscientemente en el limbo legal a todo el cuerpo profesional.
Además se da la circunstancia de que no existe convenio colectivo en el sector TIC. Según el caso se aplica el convenio sectorial que la empresa considera oportuno: consultoras, oficinistas, metalurgia, etc…
Y para colmo se da habitualmente la cesión ilegal de trabajadores. Esta es una práctica muy habitual en las consultoras TIC. Cliente final contrata servicios por los que “X” técnicos y/o ingenieros desarrollarán las labores en la empresa del cliente final. En la práctica, se da la circunstancia de que los “X” técnicos y/o ingenieros pertenecen a una subcontrata, de una subcontrata, de una subcontrata, normalmente no cualificados para esas labores TIC (becarios sin experiencia, titulados de otras áreas, etc…), y pasan años trabajando en una empresa que ni siquiera es la que les paga su salario. Estas empresas son conocidas en el sector con el apodo de “cárnicas”. Juzguen ustedes.
Es decir, que pese a que muchos políticos se llenan la boca con la importancia de las TIC se tiene conscientemente en el limbo legal a todos los profesionales del sector, provocando una precarización y una falta de garantías extraordinariamente preocupante.
¿Por qué no se solventa la situación?
Querido lector, porque no interesa ni a políticos ni a empresas. En el sector TIC se mueve muchísimo dinero, alrededor ya del 9% del PIB español, sobre todo alrededor de proyectos para la Administración Pública, con un control escaso sobre los mismos. ¿Recuerdan la web del Ayuntamiento de Madrid, que no llegó a concluirse, y costó millones de euros? Cuantas menos normas y controles, mejor para las empresas, que pueden actuar prácticamente a placer, sacrificando calidades mínimas para aumentar su cuenta de resultados hasta extremos insospechados.
Les he comentado antes que no se proyecta. Ello se hace para ahorrar costes (no se paga a un ingeniero proyectista que diseñe el sistema y se responsabilice de su funcionamiento), sino además para tener como rehén al cliente final. Y me explico. Si no existen características por escrito del sistema, el cliente no puede contratar el mantenimiento y actualización posterior del mismo a otra empresa, la cual no tiene ni idea de esas características y tiene muy difícil llevar a cabo los trabajos. Ante los problemas y sobrecostes, el cliente sigue con la empresa original, pese a estar descontento. Es lo que en el sector llamamos “cliente rehén”, práctica absolutamente anticompetitiva que nadie frena.
El hecho de no proyectar también provoca indefensión en el cliente, que ve muy difícil sustentar una demanda judicial para resarcirse de los problemas causados. Incluso se les cobra un servicio de “mantenimiento” por el que deben pagar para que les vayan resolviendo los problemas derivados del mal servicio. ¿Se imagina comprar una casa, y tener que pagar obligatoriamente a los mismos que se la hicieron por solventar los fallos de construcción? ¿Sorprende la creciente desconfianza hacia las tecnologías de la información y de la comunicación?
La falta de reglas de juego y el café para todos terminará por arruinar las buenas perspectivas de crecimiento del sector, y lo que es más importante, pone en serio peligro a ciudadanos, empresas y Administración, que aún hoy no son conscientes de la terrible dimensión del problema. ¿Ha caído en la cuenta de que hoy en día casi todo está informatizado?
¿Qué solución se le va a dar a Lexnet?
Volviendo a Lexnet, diversas informaciones indican que tras haber estado varios días fuera de combate, ya se han resuelto los problemas y que se va a optar porque una consultora certifique su funcionamiento. Como les comentaba antes, si no hay proyecto técnico ni normas de referencia, ¿qué y en base a qué 
es lo que se va a certificar? Es muy lógica la preocupación y enfado de jueces, fiscales, abogados y procuradores, porque se les está tomando el pelo.
No se puede seguir adelante sin replantearse todo el proyecto ni contar con el beneplácito de jueces, fiscales, abogados y procuradores, muy críticos con el funcionamiento de Lexnet desde hace años. Si no, la bola de nieve seguirá creciendo.
Lexnet es sintomático de las nefastas políticas que se llevan a cabo en España alrededor de las TIC, a todos los niveles. O no se legisla o se legisla pésimamente, sin contar con profesionales y empresas del sector y sin la cobertura legal básica necesaria, es decir, normativa técnica de obligado cumplimiento, identificación de responsables y exigencia de cualificación mínima.
Al igual que el sector TIC en sí, Lexnet se está transformando en una peligrosa Torre de Babel. Y todos sabemos cómo terminó esa torre…
*Pedro J. De La Torre Rodríguez es Perito informático colegiado nº 20090318B. Colegio Profesional de Ingenieros Técnicos en Informática de Andalucía