Acceso área privada colegiados


Introduzca sus datos de acceso:


¿Ha olvidado su contraseña?

MENÚ
INFORMACIÓN DE SEDES

Noticias y actualidad


Los medios de comunicación valoran de forma distinta el informe de la Agencia de Protección de datos relativo al fallo de LexNet

Noticias Jurídicas


11 ABR 2018


FUENTE: EL CONFIDENCIAL

La "chapuza Lexnet" ya tiene castigo: España infringió la ley de protección de datos

El ministro de Justicia defendió en el Congreso su actuación en la crisis de Lexnet, pero la AEPD no está de acuerdo: le ha impuesto una infracción grave por incumplir las condiciones de seguridad.

10.04.2018 – 09:14 H.

Fue la mayor crisis a la que se enfrentó el Ministerio de Justicia durante los últimos años. El pasado verano, un fallo informático dejó inoperativo durante días el sistema LexNet. Además, el 27 de julio, un grave fallo de seguridad informática dejó al descubierto más de 11.000 documentos judiciales, parte del código fuente de la plataforma y de la Intranet del propio ministerio. La gravedad no era poca cosa, ya que los profesionales del sector jurídico pudieron acceder incluso a documentos de terceras personas: bastaba con cambiar los IDs que identifican a cada usuario en la URL para acceder a la bandeja de entrada privada de otra persona y a los documentos de cada uno de los procesos judiciales que tenía en marcha.

Desde Justicia se intentó minimizar el impacto de aquel fallo, que muchos expertos jurídicos e informáticos calificaron de "chapuza Lexnet", que se prolongó durante varios días y contó con nuevos episodios. Además, el ministro Rafael Catalá aseguró en sede parlamentaria que la plataforma sólo dejó de ser segura un 0,75% del tiempo y que el problema fue resuelto sin que afectara a la seguridad de los usuarios o de los procesos judiciales. Sin embargo, la Agencia Española de Protección de Datos (AEPD) no opina lo mismo: la plataforma que costó más de 7 millones de euros de dinero público, que puso en entredicho a las empresas que la desarrollaron y que denunció al propio informático que ayudó a desvelar el fallo acaba de ser sancionada por incumplir la Ley de Protección de Datos.

Infringió la seguridad de datos personales

En el expediente sancionador, la AEPD asegura que la Subdirección General de Nuevas Tecnologías de la Justicia (SGNTJ), dependiente del Ministerio de Justicia, infringió el artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD), que determina que "el responsable de un fichero (...) deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado".

No acaba ahí la cosa. Además, Justicia también infringió el artículo 10 de dicha ley, que le obliga al "secreto profesional respecto de los mismos [los datos personales] y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo".

Justicia vulneró el principio de seguridad de los datos al modificar el programa de acceso a buzones de otros usuarios de Lexnet

Según la AEPD, por tanto, durante el grave fallo de seguridad de Lexnet "se difundieron datos personales que tenían unos usuarios y pudieron ser vistos por otros usuarios".

La vulneración de estos dos artículos le ha supuesto al Ministerio de Justicia la ejecución de una infracción grave, aunque no habrá sanción efectiva más allá de la publicación de este expediente, ya que la AEPD considera que Justicia "ha tomado las medidas adecuadas para evitar que se vuelva a producir el incidente de seguridad referido".

Ocho días con un sistema vulnerable

No es el único 'tirón de orejas' que la AEPD le da al Ministerio de Justicia. En el expediente sancionador también se recoge que "la versión de Lexnet que tenía la brecha de seguridad se puso en producción el 20 de julio a las 21:45h, se detuvo a las 15:15h del 27 de julio y se sustituyó por una nueva versión a las 16:25h", con lo que Lexnet funcionó durante más de una semana con un sistema informático vulnerable.

Además, los responsables de la plataforma no fueron precisamente rápidos, ya que el primer aviso de vulnerabilidad se produjo "mediante un mensaje privado a la cuenta de Twitter de Lexnet aproximadamente a las 02:00h (madrugada) del jueves 27 de julio de 2017" y luego "la misma persona [el letrado José Muelas] envió un mensaje público por Twitter aproximadamente a las 9:30h del mismo día en el que se manifestaba cómo explotar la vulnerabilidad del incidente".

Pasaron más de 9 horas desde que Lexnet recibió el primer aviso de vulnerabilidad hasta que lo abordó, y más de 14 horas hasta que lo arregló

Sin embargo, "el subdirector de la Subdirección General de Nuevas Tecnologías de la Justicia fue informado de ello "entre las 10:30h y las 11h". A continuación, "entre las 11:30h y las 14h se realizaron verificaciones exhaustivas, para comprobar si el comportamiento era anómalo o un problema puntual de un único usuario". Finalmente, "a las 14h "se detiene el sistema” y “a las 16:20h el error de programación que produjo el incidente de seguridad está solucionado”.

En resumen, pasaron más de 9 horas desde que Lexnet recibió el primer aviso de vulnerabilidad hasta que lo abordó, y más de 14 horas hasta que el error se subsanó... para volver a fallar poco después

284 usuarios accedieron a 692 buzones ajenos

Según la investigación recopilada por la AEPD, 284 usuarios accedieron a 692 buzones que no les pertenecían, realizando 1.438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 usuarios accedieron a 79 buzones que no les pertenecían y consultaron 432 documentos de forma no autorizada.

Pero, ¿a qué tipo de información ajena se pudo acceder durante casi ocho días? Según la AEPD, "a las notificaciones practicadas, traslado de escritos, demandas, notificaciones, partes hospitalarios, etc., a las notificaciones ya aceptadas, a los acuses de recibo de los escritos presentados previamente por el usuario y a las notificaciones no practicadas en caso de buzones de procuradores".

"Se accedió a notificaciones, traslado de escritos, demandas, partes hospitalarios..."

Los tipos de cuenta que quedaron expuestas fueron "las correspondientes a los colectivos de abogados, procuradores y graduados sociales. Otras cuentas más sensibles", asegura la AEPD, "como las correspondientes a la Fiscalía, juzgados, fuerzas y cuerpos de seguridad, medicina legal, abogados del estado, servicios jurídicos de las CC.AA y Seguridad Social, no estaban afectadas por el incidente".

En total, durante ese periodo de tiempo se accedió "al 0,1% de los buzones de Lexnet, al 0,02% de los mensajes que se intercambian en un día, al 0,0001% de todos los mensajes que se han intercambiado en la plataforma Lexnet desde el inicio de su operación", aunque no se puede saber hasta qué punto los documentos vulnerados eran más o menos determinantes.

La cuestión, en cualquier caso, es evidente: pese a que el Ministerio de Justicia quitó hierro al asunto y el ministro Rafael Catalá aseguró en el Congreso que "el problema fue resuelto sin que afectara a la seguridad de los usuarios o de los procesos judiciales", lo cierto es que, según la AEPD, la cosa fue mucho más allá: el Gobierno infringió la Ley Orgánica de Protección de Datos y, según los expertos, Lexnet volverá a fallar antes o después.



FUENTE LA CERCA.COM

Las investigaciones concluyen que el fallo de LexNET no afectó a expedientes judiciales

CGPJ y AEPD confirman que no se vieron afectados ficheros jurisdiccionales ni documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía

Una vez que se han hecho públicas por parte de la 1 (AEPD) sus conclusiones sobre la investigación relativa al incidente de seguridad del sistema LexNET que se produjo el pasado mes de julio de 2017, ha quedado probado que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno. Puesto que en LexNET no existen expedientes completos, el número de documentos que se vieron afectados fue muy limitado y se estima que el número de buzones que pudo verse perjudicado apenas fue el 0,1%.

La AEPD reconoce que el 2 ha colaborado con total transparencia, lealtad y respeto institucional en las investigaciones y desde el primer momento reconoció el fallo que, debido a un error de programación y control en una actualización de LexNET por parte de la empresa que desarrolla el sistema, permitía a los usuarios acreditados con certificado digital y tras una serie de acciones, acceder al buzón de un tercero. Dado que el error informático que se produjo afectó a determinados ficheros no jurisdiccionales, se ha declarado una infracción automática en aplicación de la Ley Orgánica de Protección de Datos.

Un total de 140 usuarios accedieron de forma irregular a 150 buzones que no les pertenecían y visualizaron 1.023 mensajes de forma no autorizada, aunque no descargaron contenidos. Fueron 74 los que sí lo hicieron de 431 mensajes consistentes en notificaciones ya practicadas y limitadas a los 60 días anteriores. La Agencia da por probado que no se podían manipular documentos, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo, ni presentar escritos en nombre de otros usuarios, así como que no pudieron visualizarse mensajes anteriores a 60 días dado que el sistema borra los datos de forma automática.

Constata asimismo, los esfuerzos realizados por el Ministerio de Justicia para mitigar el incidente de seguridad y evitar situaciones similares en el futuro. El Ministerio ha diseñado 69 medidas correctivas y preventivas, de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y pruebas. Todo ello hace que hoy LexNET sea mucho más seguro que antes del incidente.

Con anterioridad han archivado el expediente de investigación sin infracción alguna, tanto el 3, como el 4, 5, supervisor de servicios no cualificados de entrega electrónica certificada como es LexNET.

Con la resolución de la Agencia Española de Protección de Datos concluyen las actuaciones que las diferentes autoridades con competencias y los servicios de inspección del Ministerio han venido realizando sobre el incidente de LexNET.


últimas noticias

El Consejo General de Procuradores de España y CaixaBank renuevan su acuerdo estratégico de colaboración

12 NOV 2018

  Los procuradores colegiados continuarán con el  acceso a los productos y servicios de CaixaBank en ...


Nubes y pocos claros en el mapa de previsiones de la Administración de Justicia

12 NOV 2018

  Las previsiones para la próxima semana anuncian un frente nuboso que pocos vientos van a poder romper ...


Manuel Marchena presidirá el Consejo General del Poder Judicial

12 NOV 2018

  No podrá juzgar la causa por el 1-O y el procés El Gobierno y el PP han acordado la ...


mostrar todas las noticias

NOTICIAS Y ACTUALIDAD



VIA ALEMANIA, 5, Edificio Juzgados
07003, PALMA DE MALLORCA, ILLES BALEARS


Tel. 0034 971 723 912 · 0034 971 723 913

BÚSQUEDA DE INFORMACIÓN

CONTACTO / INFORMACIÓN LEGAL

© 2018 · Todos los derechos reservados a www.procuradoresdebaleares.es

SEDES MALLORCA


 Ciudad de Palma

 Vía Alemania, 5- semisótano

 Tel. 971 723 912 / Fax 971 715 941


 Travessa d’en Ballester, 20

 Tel. 971 425 111 / Fax 971 710 349

 Inca

 c/ Pureza, 72

 Tel/Fax 971 883 883

 Manacor

 Pza. Creu Font i Roig, s/n

 Tel/Fax 971 554 452

SEDE MENORCA


 C/ Antoni Juan Alemany, 4

 Tel/Fax 971 351 557

SEDE IBIZA


 C/San Cristòfol,s/n (Edif. CETIS)

 Tel/Fax 971 315 475