El jardín de mis opiniones sobre Lexnet
Lexnet y sus problemas
Estas vacaciones he estado leyendo mucho sobre el error de seguridad y veo que hay mucho movimiento en Twitter y Linkedin sobre este tema. Hay varios Hashtag sobre el tema, como #Lexnet y #DesastreLexnet, entre otros, y en ellos se ha dicho de todo. Hay trolls de libro, gente indignada y, bajo mi punto de vista, mucha opinión sin conocer la parte técnica del asunto. También se han escrito muchas entradas en blogs, normalmente con más criterio. Estas son algunas representativas.
- De José Muelas, el abogado que descubrió el fallo de seguridad blog.josemuelas.org. También puedes encontrar en twitter sus opiniones.
- De Sergio Jiménez con interesantes reflexiones sobre Lexnet y seguridad digital.
- De Francisco Javier Ruiz donde argumenta que el concepto de Nube no es lo mismo que Lexnet.
Además ha habido muchas publicaciones en prensa. Creo que, después de twitter, es donde se han visto argumentos más pasionales que tecnológicos.
- En El confidencial, donde comenta las empresas que han participado en los desarrollos de Lexnet y cuenta el episodio de la descarga de la documentación y fuentes del sistema.
- En El Periódico, un artículo de Lucía Etxebarría, que arremete contra el Ministro Rafael Catalá.
Todo esto me ha recordado a la polémica que hubo del Senado, allá por el 2010, y el coste de su nueva web. ¡Eso que solo costó medio millón de Euros! Cuántos expertos aparecen debajo de las piedras. Es como los millones de entrenadores de fútbol que opinan sobre la alineación de selección española en partido oficial. Personalmente, considero que no se puede utilizar como argumento cualquier cosa para criticar a un gobierno, ministro, administración pública, empresas privadas o informáticos en general. Eso sí, no le quito razón en muchos temas tocados.
Por supuesto, no voy a quitarle hierro al asunto. Es un grave fallo de seguridad. Además es un error de primero de programación. En cualquier caso, me gustaría meter un poco de cordura en este tema.
¿Cuál ha sido el problema de Lexnet?
Lexnet permite acceder sólo a los registrados en el sistema. Para ello hay un procedimiento de alta. Por ejemplo, un abogado debe ir a su Colegio de Abogados y hacer un papeleo para darse de alta. Elige una contraseña, firma unos papeles y queda registrado. Una vez registrado, la forma de acceder es mediante el certificado digital de su carnet del colegio de abogados, que previamente ha tenido que insertar en un lector. El sistema le pedirá su contraseña y ya estaría autenticado.
Lo que pasaba, es que la aplicación accede a los datos del usuario componiendo una URL en la que estaba en claro el ID del usuario. Por lo que una vez conectado, si cambias el ID de la URL por el de otro usuario, el sistema no comprobaba de nuevo tus credenciales y eras capaz de acceder a su información sin ninguna dificultad.
OJO, esto sólo lo puede hacer un usuario que previamente haya accedido con sus credenciales.
Si se me permite la expresión, ha sido una CA**DA como una casa. Utilizado unas mínimas buenas prácticas, debería haberse detectado este problema en el primer minuto de la primera versión desarrollada del producto. Buenas prácticas, no solo en la programación, si no en los controles posteriores de las versiones entregadas.
Magnificación del fallo Lexnet
Una vez descubierto el problema y sacado a la luz, creo que se ha magnificado el tema haciendo comentarios de todo tipo. Se ha llegado a decir que era una puerta trasera para que el Ministro o el PP pudiera consultar e influir en los casos de corrupción que están salpicando a su partido. Opinar es libre, pero tampoco hay que pasarse.
Como he comentado antes, esta operación la tiene que hacer un usuario autenticado en el sistema. Autorizado, dado de alta y con su certificado digital. Es decir, si yo fuera capaz de localizar el ID de un usuario y pudiera generar la URL adecuada, no me serviría de nada, porque no tengo las credenciales, ni un certificado digital válido.
Buscando en la documentación pública de Lexnet, se puede ver la tipología de usuarios que pueden acceder al sistema, a saber:
- Órganos judiciales y Oficinas de Registro y Reparto (Secretario Judiciales).
- Procuradores y Colegio de Procuradores.
- Abogacía del Estado.
- Abogacías dependientes de la Abogacía del Estado (FOGASA, SEPES, AEAT y Consorcio Compensación de Seguros).
- Abogacía Comunidad.
- Abogacía SJSS.
- Fiscalías.
- Abogados y Colegios de Abogados.
- Graduados Sociales.
- Comisiones de Asistencia Jurídica Gratuita.
En definitiva, todos los usuarios que forman parte de nuestro sistema judicial y que cada uno ejerce su papel para que los engranajes de la Justicia funcionen de forma correcta. Lo que me llama la atención es que estos actores, son los únicos que pueden aprovechar la vulnerabilidad detectada en Lexnet. Es decir, no es un ataque de hackers sin escrúpulos, si no que si alguien se ha podido aprovechar de esta circunstancia. Son precisamente los que más exquisitos deberían de ser con el cumplimiento de la ley y los que menos se deberían aprovechar de ello.
No sé. Si yo formara parte del mundo de la justicia, antes que lanzar teorías conspiratorias, me miraría el ombligo. No solo hay un problema de programación, sino de falta de ética de los usuarios que acceden.
Como informático, me miro el ombligo
Vuelvo a repetirlo, ha sido un fallo grave de programación. No ha habido control de los permisos de acceso, no se puede poner una URL con un ID en claro y mil cosas más que se me ocurren. Probablemente los programadores fueran inexpertos o las tarifas del contrato serían tan bajas que no dieran para tener personal más cualificado. No lo sé. Lo realmente grave es que desde el Ministerio no hubiera controles posteriores, que certificaran entre otras cosas:
- La integridad del código
- El cumplimiento del Esquena Nacional de Seguridad
- El seguimiento de las buenas prácticas de desarrollo seguro recomendadas por el OWASP (Open Web Application Security Project)
- La ejecución de pruebas de seguridad (ya no solo funcionales y de carga o estrés).
En definitiva: la tan denostada Calidad.
La empresa adjudicataria debería haber hecho este tipo de controles, pero desde el Ministerio de Justicia se debería haber garantizado que se hacían y haber certificado que la aplicación cumplían con los requisitos de seguridad impuestos.
¿Qué se ha dicho sobre el fallo de Lexnet?
- En general se ha escuchado que el responsable de los datos es el Ministerio y que por lo tanto, lo puede utilizar a su voluntad. Se dice que debería depender directamente del propio Poder Judicial. Sinceramente, si el hecho de que una Administración sea dueña de datos, fuera una herramienta para obtener información de los ciudadanos para intereses oscuros, se habría venido abajo todo el sistema democrático de nuestro país. A parte, que llevando al extremo ese argumento, ¿qué sentido tendría el Ministerio de Justicia?
- Relacionado con este argumento, se pide que el sistema que gestione los expedientes judiciales, lo gestionen los Jueces, lo contraten los Jueces y lo mantengan los Jueces. Amparándose en la separación de poderes. ¿Cómo funcionan el resto de democracias de nuestro entorno a este respecto?
- Se dice que cuando había papel, carpetas y legajos, esto no pasaba. Se ha sugerido incluso que deberíamos volver al papel y al fax. ¿Estamos locos? No hay vuelta atrás, la administración electrónica, la justicia electrónica y las relaciones electrónicas han llegado para quedarse. Son muchos más beneficios los que tenemos con las nuevas tecnologías que con el papel.
- Se le ha echado la culpa a las consultoras y empresas “cárnicas” que sólo piensan en ganar dinero a costa de ahorrarse en pagar a profesionales cualificados y usan becarios a los que explotan hasta la extenuación. Así mismo , se apunta a las subcontrataciones y las corruptelas que se derivan de ellas. Hay un resumen de un hilo de twitter al respecto. Haberlas haylas, no soy yo el que vaya a negar las evidencias que se escuchan y leen a diario en los medios, pero no todo es así.
- También hay muchos organismos honrados que sacan licitaciones correctas, pero muchas veces éstas se convierten en subastas. Esto también habría que hacérselo mirar. Está a punto de aprobarse la nueva ley de contratos. Veremos cómo funciona y como se desarrolla su reglamento.
