PRIVACIDADBofetada de Protección de Datos al Ministerio de Justicia por un grave agujero de seguridad de su sistema de notificaciones LexNet

En julio del año pasado, el abogado José Muelas detectó un grave agujero de seguridad en LexNet, el sistema de notificaciones puesto en marcha por el Ministerio de Justicia en 2007 como medida estrella para digitalizar la actividad de juzgados y tribunales. Su uso es obligatorio desde 2016.

Ese agujero permitía el acceso a buzones ajenos con información muy sensible: datos de abogados, de litigantes, resoluciones de los jueces.... Porque LexNet es, en definitiva, el sistema para intercambiar información de casos entre juzgados, abogados, procuradores, etc.

El intento de imponer la “modernización” de la Administración de Justicia ahora afronta ahora su enésimo problema: la Agencia de Protección de Datos considera que el ministerio de Rafael Catalá incurrió en una falta grave por un agujero de seguridad que, como explicó en su momento el abogado especializado Sergio Carrasco, permitía a quienes ya estaban autorizados a usar LexNet el acceso a buzones de terceros en el sistema.

La AEPD establece en su escrito que quedó demostrado en su momento que los usuarios de LexNet pudieron acceder, en función de esta brecha de seguridad, a cuentas de colectivos de abogados, procuradores y graduados sociales, y en ellas a contenidos tales como “notificaciones practicadas, y traslado de escritos, demandas, notificaciones, partes hospitalarios, etc”, así como a “notificaciones ya aceptadas y a los acuses de recibo de los escritos presentados previamente por el usuario” y, por último, “a las notificaciones no practicadas en caso de buzones de procuradores”.

Según los hechos demostrados, mientras duró el problema (entre el 20 y el 27 de julio de 2017) “284 usuarios accedieron a 692 buzones que no les pertenecían realizando 1438 visualizaciones de mensajes de forma no autorizada”. “De ellos”, prosigue el escrito, “74 usuarios accedieron a 79 buzones que no les pertenecían y consultaron 432 documentos de forma no autorizada”.

Los problemas de LexNet

En el Real Decreto 1065/2015 sobre comunicaciones electrónicas en la administración de justicia se define LexNeT como “un medio de transmisión seguro de información que mediante el uso de técnicas criptográficas garantiza la presentación de escritos y documentos y la recepción de actos de comunicación, sus fechas de emisión, puesta a disposición y recepción o acceso al contenido de los mismos”. ¿”Seguro”? A juzgar por esta resolución y por las sucesivas denuncias de brechas de seguridad, parece que no tanto.

Desde el Sindicato de Secretarios Judiciales SISEJ exigen depurar responsabilidades tras esta infracción grave. Asimismo, denuncian “el grado de impunidad y falta de rendición de cuentas que pretende el gabinete dirigido por Rafael Catalá en todos sus niveles y departamentos respecto a su gestión es inaudito para una sociedad democrática”. “En el caso que nos ocupa”, añaden en un comunicado, “el Ministerio de Justicia, en lugar de asumir sus propias responsabilidades, denunció a quien desveló la vulnerabilidad de LexNet”.

Pero es que además, independientemente de su estabilidad o seguridad –de su ‘chapucera’ implementación, en definitiva-, existe una cuestión objeto de denuncia por parte de algunos juristas: el problema que supone que el sistema dependa del Ministerio de Justicia.

El abogado especializado en nuevas tecnologías Javier de la Cueva, lleva años denunciando la concepción inicial del sistema y encabeza las denuncias contra el mismo: que LexNeT está desarrollada como una nube privada del propio ministerio. Es decir, que todo el sistema de comunicaciones del Poder Judicial depende directamente del control del Ejecutivo, algo que puede comprometer de forma grave la separación de poderes en este país.