El Ministerio de Justicia pidió la colaboración del Centro Criptológico Nacional para valorar el alcance de la grieta de seguridad que tuvo Lexnet el pasado 27 de julio y comprobar si el sistema de comunicación telemática entre los órganos judiciales y los operadores jurídicos (abogados, procuradores, graduados sociales, fiscales y abogados del Estado) había sufrido hackeos.
Lexnet es un webmail de utilización exclusiva para los profesionales de la Justicia que tengan en vigor el correspondiente certificado electrónico que les autoriza a acceder a la plataforma. Se emplea para la notificación de las resoluciones de los jueces (sentencias, autos, providencias) y para que las partes que actúan en los procesos judiciales presenten sus escritos, lo que antes se hacía en papel.
Referida a todo tipo de procedimientos judiciales vivos, la información que circula por Lexnet es especialmente sensible: documentos en los que figuran datos de los litigantes (identidades, direcciones, cuentas bancarias) y sus abogados, demandas, querellas, peticiones de prueba, contestaciones a las partes contrarias...todo ello viaja por esta red que en la actualidad tiene unos 140.000 buzones para los profesionales.
Obligatorio desde 2016
El empleo de medios electrónicos en las comunicaciones entre los profesionales y la Administración de Justicia es obligatorio desde el 1 de enero de 2016. Para el Ministerio de Justicia, la obligatoriedad de utilizar Lexnet (ya establecida en una ley de 2011) era la única forma de "arrancar" de manera definitiva y en todo el territorio nacional la modernización tecnológica de un sector público, el de la Administración de Justicia, muy atrasado en el uso de las nuevas herramientas y especialmente reacio a cualquier cambio, sea de organización, legislativo o tecnológico.
Pese a que empezó a diseñarse a principios de 2000 y a que las primeras experiencias piloto se remontan a 2009, la imposición de Lexnet fue acogida con críticas generalizadas de los operadores jurídicos por considerarla obsoleta: se colapsa o funciona con lentitud cuando concurre un alto número de usuarios, se producen pérdidas de información cuando se cuelga, no funciona nada más que con ciertos navegadores y sistemas operativos, no tiene suficiente capacidad para enviar archivos pesados y hay fallos en las entregas o en la recepción de los acuses de recibo. Estas deficiencias son muy relevantes en un ámbito como el de la Justicia, donde se trabaja con plazos perentorios para ejercitar las acciones y su incumplimiento puede causar serios perjuicios a los justiciables.
Para colmo, varias de las comunidades autónomas con competencias transferidas en materia de Justicia no tenían sus propias (y distintas en cada territorio) aplicaciones de gestión procesal preparadas para integrar en ellas Lexnet en enero de 2016. Ello dio lugar a graves distorsiones en la entrada y salida de documentos en numerosos órganos judiciales, hasta el punto de que en algunas comunidades pasaron meses antes de implantarse la comunicación telemática y convivió un sistema de doble presentación (por Lexnet y en papel).
La crisis de julio
El 27 de julio, el letrado José Muelas, decano del Colegio de Abogados de Cartagena, detectó la existencia de un serio fallo de seguridad en Lexnet, que comunicó al subdirector general de Nuevas Tecnologías del Ministerio de Justicia, José Luis Hernández Carrión.
La vulnerabilidad, explicada aquí por el profesor de Derecho e ingeniero de telecomunicaciones Sergio Carrasco, permitió durante unas horas que un usuario de Lexnet pudiera acceder al buzón de documentos de otro usuario mediante el simple cambio de un parámetro en la ID del navegador.
El fallo ocurrió tres semanas después de que la secretaria de Estado de Justicia, Carmen Sánchez-Cortés, presumiera en el Senado de la actuación del Ministerio afirmando que "ha permitido dar un salto de gigante en materia de comunicación electrónica en el ámbito de la Justicia".
"Mejora de gigante"
"Lexnet durmió el sueño de los justos durante los ocho años del Gobierno socialista, de 2004 a 2011", contestó la número dos de Catalá al senador socialista Rodríguez Esquerdo durante una comparecencia en la Comisión de Justicia del Senado. "A nosotros nos recordarán por haber tenido el coraje, la valentía y la decisión de haberle dado un impulso definitivo", añadió Sánchez-Cortés, que sostuvo que se han conseguido "mejoras de gigante". "En los procedimientos ordinarios", explicó, "se ha producido un ahorro de 40 días en términos de tiempo en notificaciones internas. Un procedimiento ordinario consumía 60 días en términos de notificaciones y comunicaciones internas, y ahora eso implica solo 20 días".
Tras recibir el aviso el Ministerio interrumpió el servicio de Lexnet. Cinco horas después emitió un comunicado en el que daba por resuelto el problema y admitía un "defecto en el control de accesos al sistema ocasionado por un error en la programación del código". El error se produjo al introducir una nueva funcionalidad de Lexnet para atender una de las peticiones formuladas por la Abogacía consistente en disponer de un acceso multibuzón, de forma que cuando se producen sustituciones de letrados los sustitutos puedan entrar, con autorización del titular del buzón, en las carpetas necesarias para hacerse cargo del asunto.
Con el fin de asegurar la "seguridad y calidad del sistema" Lexnet estuvo de nuevo inoperativo desde las 16:30 horas del viernes 28 hasta las 20:25 del domingo 30. El 31 de julio era el último día hábil antes de la vacaciones judiciales, por lo que el fallo coincidió con uno de los momentos del año que más notificaciones se producen. El análisis de Sergio Carrasco sobre la resolución del problema se puede consultar aquí.
Investigación de la AEPD
La brecha de seguridad de Lexnet fue inmediatamente comunicada por el subdirector de Nuevas Tecnologías a la Agencia Española de Protección de Datos. La AEPD ha confirmado a EL ESPAÑOL que ha iniciado actuaciones previas de investigación encaminadas a valorar si existen indicios para abrir un procedimiento sancionador. En su caso, éste podría dirigirse contra los usuarios de Lexnet que hayan accedido ilícitamente a carpetas de otros usuarios o contra el propio Ministerio.
El Departamento de Catalá contactó también con el Centro Criptológico Nacional, un organismo creado en 2004 y adscrito al servicio secreto de inteligencia, el CNI. El CCN se encarga de garantizar la seguridad de los sistemas de tecnologías de la información y comunicaciones de la Administración. Entre otras funciones, acredita la capacidad de los productos de cifra que la Administración utiliza para procesar, almacenar o transmitir información de forma segura.
El Centro Criptológico Nacional colabora "habitualmente" con Justicia y no sólo respecto a Lexnet, señalan fuentes del Ministerio. A raíz de la grieta de seguridad de julio, el CCN comprobó si se había producido un hackeo de la aplicación o algún tipo de ciberataque.
A quien el Ministerio no se dirigió fue al Consejo General del Poder Judicial, pese a ser autoridad de control en materia de protección de los datos de los ficheros judiciales. La Comisión Permanente del CGPJ se reunió el 28 de julio con carácter extraordinario, tras "tener conocimiento de los hechos a través de las informaciones publicadas por los medios de comunicación y en redes sociales", y acordó encomendar una investigación al Centro de Documentación Judicial.
El ministro de Justicia, Rafael Catalá, tendrá que comparecer en el Congreso a petición del PSOE, una buena ocasión para que conocer con exactitud el elevado importe de fondos públicos destinado a la plataforma.
"Exageración" y "desinformación"
Desde el Ministerio de Justicia se considera que la trascendencia de este fallo se ha "exagerado". Una investigación interna no ha detectado accesos indebidos después de que la existencia de la grieta de seguridad fueran dada conocer por Muelas en Twitter, afirman fuentes del Departamento, que sostienen que también ha habido "mucha desinformación".
Estas fuentes aseguran que ese fallo "no existía con anterioridad" a la última actualización de Lexnet para crear el multibuzón y "no es que cualquier persona pudiera acceder al contenido de las carpetas" porque a Lexnet sólo pueden entrar los usuarios autorizados.
Tampoco fue posible, añaden las fuentes del Ministerio, acceder a documentos relativos a procedimientos judiciales concretos (se ha hablado de Púnica o de Gürtel) salvo que se conociera previamente el código ID de algún letrado que actúe en esos procedimientos o que por azar teclearas su identificador. "No hemos detectado que esos accesos se produjeran y, en todo caso, hubieran sido ilícitos", aseguran.
De otro lado, en Lexnet no se guardan los expedientes judiciales, que se almacenan en los sistemas de gestión procesal (Minerva en el territorio controlado por el Ministerio de Justicia, Adriano en Andalucía, Atlante en Canarias, Cicerone en la Comunidad Valenciana, etc...).
Desde el Ministerio aseguran con rotundidad que fue "imposible" que la Policía o la Guardia Civil pudieran acceder "a cualquier caso" judicial, como se ha dicho. Las fuerzas de seguridad tienen dentro de sus propias aplicaciones una funcionalidad para enviar atestados a los Juzgados a través de Lexnet, "pero se trata de buzones de organismos desde los cuales no se puede saltar a ninguno de los buzones nominales, que son los que utilizan los abogados y los procuradores", explican.
Independencia judicial
¿Y el Gobierno? ¿Puede acceder a cualquier proceso judicial que le interese al tener la llave de Lexnet? "No puede entrar, no tienen usuarios creados en el sistema", aseguran desde Justicia.
En muchos sectores de la Judicatura y de la Abogacía se considera que la información judicial y los propios sistemas tecnológicos de los Juzgados y Tribunales deberían estar bajo el control del propio Poder Judicial y no del Gobierno o de las comunidades autónomas.
El abogado Javier de la Cueva, experto en tecnologías de la información y comunicación, presentó en 2016 una denuncia contra España ante el Tribunal de Justicia de la Unión Europea por el sistema Lexnet, que, a su juicio, "atenta contra la separación de poderes y contra la independencia judicial".
"Lexnet le ha dado al Gobierno un poder que hasta ahora no tenía: tratar una información de la que nunca había podido disponer. Es un ataque contra los derechos de cualquier ciudadano", afirmó De la Cueva en El Confidencial. "Al Ejecutivo le bastaría con hacer una búsqueda rápida y apretar un botón para saber en qué Juzgados se están llevando casos de desahucios, o qué abogados defienden a qué acusados, o quiénes son los jueces que están llevando casos de corrupción".
Debate en el Senado
"El sistema Lexnet es un ejemplo perfecto de ausencia de reflexión sobre cómo debe diseñarse la separación de poderes en la era digital", aseguró el pasado 4 de julio en el Senado el parlamentario de Unidos Podemos Joan Comorera, defensor de una moción para que Lexnet sea transferido "a servidores exclusivamente dependientes del Poder Judicial, sin ninguna injerencia por parte del Poder Ejecutivo".
"En virtud de la legislación actualmente en vigor, el Poder Ejecutivo dispone de toda la información que entra y sale del Poder Judicial en lo que se refiere a los procedimientos judiciales. De esta manera, tiene una información estructurada sobre los órganos judiciales, los litigantes, los profesionales intervinientes en los procesos, el objeto del litigio y los plazos en los que este se tramita, y la información la tiene en tiempo real", afirmó el senador. A su parecer, la información judicial "nunca tendría que salir de los cauces de comunicación entre el interesado y el órgano judicial".
Sólo Podemos y el PSOE votaron a favor de la moción. PNV y PdCat se abstuvieron y el PP votó en contra.
La transferencia de Lexnet y -más relevante aún- de las aplicaciones de gestión procesal no está en la agenda ni del Gobierno ni del CGPJ, por lo que los operadores jurídicos tendrán que seguir contendiendo con el sistema actual. Algunas voces abren la puerta a la esperanza: "Una vez que adaptas tus medios informáticos a los navegadores y a los programas que Lexnet recomienda la plataforma funciona bien", asegura una procuradora de Ciudad Real, que fue territorio 'piloto' y lleva lidiando con Lexnet desde su primera versión.
"Ha mejorado mucho y ahorra mucho tiempo", añade esta profesional, que echa en falta más capacidad para enviar documentación. "Primero eran 6 MB, luego 10 y ahora 15, pero sigue siendo insuficiente", explica. No obstante, cuando los documentos superan esa capacidad es posible activar el icono documentación pendiente de adjuntar y se entrega al día siguiente en el Juzgado en CD o lápiz óptico.
En los territorios que llevan funcionando con Lexnet desde 2009 ya están empezando a trabajar con el expediente electrónico. "Estamos eliminando el papel. Ahora el expediente que está entero es el digital, no el impreso", aseguran.