74 usuarios de LexNET vieron 432 documentos sin autorización tras el fallo de seguridad

Carteles en contra de la plataforma Lexnet./C. Larrea
Carteles en contra de la plataforma Lexnet. / C. Larrea

Protección de Datos concluye que el Ministerio de Justicia cometió una infracción grave tras la brecha en el sistema digital de intercambio de información judicial del 28 de julio pasado

Mateo Balín
MATEO BALÍNMadrid

La Agencia Española de Protección de Datos (AEPD) ha hecho públicas sus conclusiones sobre la vulnerabilidad de datos personales tras el fallo de seguridad del sistema LexNET, la plataforma digital de intercambio de información entre órganos judiciales y operadores jurídicos, durante el pasado 28 de julio.

Según la AEPD, durante aquella jornada crítica para decenas de miles de usuarios (procuradores, abogados y graduados sociales fueron los afectados) 284 accedieron a 692 buzones ajenos que no les pertenecían realizando 1.438 visualizaciones de mensajes de forma no autorizada, aunque no descargaron contenidos. De ellos 74 accedieron a 79 buzones de terceros y consultaron y se bajaron 432 documentos de forma no autorizada consistentes en notificaciones ya practicadas o pendientes y limitadas a los 60 días anteriores.

Protección de Datos, sin embargo, da por probado que no se pudieron manipular documentos presentados en juzgados, por ejemplo, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo ni presentar escritos en nombre de otros participantes. Tampoco pudieron visualizarse mensajes anteriores a 60 días dado que LexNET borra los datos de forma automática.

Este problema de seguridad se produjo al solicitar numerosos usuarios (identificados por Justicia en su auditoria interna) que realizaban labores de «sustitución legítima» de otros usuarios y de aquellos que tenían distintos roles para que fuese posible acceder a los buzones de los sustituidos sin necesidad de cerrar la sesión; de esta forma se podrían consultar varios buzones de forma simultánea, incorporando un control multibuzón.

No obstante, según la Agencia nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica necesariamente la comisión de la otra. Esto es, si una documentación que contiene información sobre datos personales sale del ámbito de la responsable de su confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto.

Por lo tanto, aplicando el artículo 29.5 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que señala que: «Cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida», procede subsumir ambas infracciones en una.

Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h de la Ley Orgánica de Protección de Datos (LOPD) y también un incumplimiento del deber de guardar secreto, «procede imputar únicamente la infracción del artículo 9 de la LOPD» a la Subdirección General de Nuevas Tecnologías, perteneciente a la Secretaría General de la Administración de Justicia, por tratarse de la infracción originaria que ha dado lugar a la comisión de la otra infracción.

Modificación de la URL

En concreto, el incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de otros usuarios. Dicha identificación consta de 10 dígitos, por lo que para acceder a un buzón concreto hay que conocer el identificador asociado a dicho usuario.

El Ministerio de Justicia ha diseñado desde entonces 69 medidas de mejoras tras esta brecha de seguridad «para mitigar el incidente y evitar situaciones similares en el futuro», de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y pruebas.

LexNET es una plataforma de intercambio seguro de información entre los órganos judiciales y múltiples operadores jurídicos que, en su trabajo diario, necesitan intercambiar documentos judiciales (notificaciones, escritos y demandas). Desde enero de 2016, se ha convertido en la plataforma de envío de comunicación obligatoria para todos los abogados del territorio del Ministerio de Justicia y Comunidades Autónomas, excepto Cantabria, País Vasco, y Navarra (Cataluña solo utiliza LexNET para notificar y no para presentar escritos). El sistema está desarrollado como una nube privada del Ministerio de Justicia.

Contenido Patrocinado

Fotos

Vídeos