L'esquella de la torratxa

Inicio » Tecnologia-Ciencia » Una nueva brecha de seguridad deja al descubierto 11.000 documentos de la Justicia española en Internet

Una nueva brecha de seguridad deja al descubierto 11.000 documentos de la Justicia española en Internet

Un servidor no protegido de Justicia en Internet habría permitido a varias personas ver y acceder a “parte del código fuente de LexNET, la intranet del Ministerio y sus certificados digitales”, según El Confidencial. ¿Cómo es LexNET? Un sistema polémico, cerrado y “obsoleto”

lexnet_ediima20170802_0251_19

Son unos 11.000 documentos que ocupan 600 MB de información, pero pesan lo suficiente como para poner en entredicho toda la arquitectura técnica de los sistemas informáticos del Ministerio de Justicia. Un fallo en el control de acceso deja al aire miles de casos abiertos en LexNET

Según publica El Confidencial este miércoles, esa es la cantidad de datos que se ha filtrado más allá de los muros del departamento que administra Rafael Catalá y que incluye “ parte del código fuente de LexNET, la intranet del Ministerio y hasta sus certificados digitales”.

El material se encontraba en el servidor del Ministerio de Justicia, al que se podía acceder a través de una URL no pública pero que estaba desprotegida en su totalidad. Para entrar, solo era necesario conocer la dirección de la página web.

“Me metí en  Shodan y encontré una IP de Justicia no securizada. Entré y te daba acceso a un directorio, estaba abierto y sin contraseña”, explica al diario digital una de las personas que accedió a los archivos. Shodan es un buscador de objetos conectados al Internet de las Cosas (IoT).

Sin fallos por su parte, según Justicia

Por si eso fuera poco, también existen varias carpetas en las que se encuentra el código fuente de LexNET, la plataforma que utilizan más de 140.000 abogados y procuradores en nuestro país y que el jueves pasado sufrió un gravísimo fallo de seguridad.

“Está casi todo: la documentación oficial que explica paso a paso qué hace el código, los certificados del ministerio, los SSL, el código java, una carpeta ‘webapp’ con 3.000 archivos en 559 carpetas que contiene los CCS, las imágenes, el javascript… Si alguien quisiera replicar esto en local podría conseguir parte del sistema LexNet, analizar vulnerabilidades a placer y lanzar ciberataques contra esta infraestructura. Y, recordemos, esto estaba colgado en Internet sin control de acceso ni contraseñas para que cualquiera lo pudiera coger”, señala a El Confidencial una de las personas que ha tenido acceso a la información.

detectada-resuelta-vulnerabilidad-seguridad-lexnet_ediima20170727_0865_19

Rafael Catalá EFE

Mientras tanto, el Ministerio de Justicia reconoce la filtración y asegura que detectaron un acceso no autorizado en la tarde del pasado viernes 28 de julio. Después eliminaron los archivos uno a uno del servidor, pero ya era tarde.

El departamento añade que denunciarán a los supuestos responsables del acceso y considera que “no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web destinada a intercambio de datos dentro de la Administración pública”.

“Lo configuraron mal”

Entre los 11.000 documentos también se encuentran esquemas, manuales y dibujos que describen la arquitectura técnica de Orfila. Este sistema conecta conecta a Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España.

Es gracias a Orfila que los IML pueden desempeñar su trabajo para con la Administración. A través de este sistema se envían informes forenses, autopsias y pruebas médicas, por lo que huelga decir que todo ello tiene que poseer la máxima confidencialidad posible. Justicia asegura que no se ha desvelado ningún dato sensible ni de carácter personal.

“El problema es que lo configuraron mal. Se cargaban las cookies de permisos de administrador de forma automática y al volver a iniciar la página no te pedía contraseñas. Podías ver en tiempo real qué le pasaba al sistema y hasta modificar ciertos parámetros”, explica otra fuente al diario digital. A estas horas, los 600 MB de información ya no pueden encontrarse en Internet. Salvo en el ordenador de quien se los haya descargado previamente.

ETIQUETAS: LexNET, Rafael Catalá

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Jaume Satorra

Jaume Satorra

El hombre no posee el poder de crear vida. No posee tampoco, por consiguiente, el derecho a destruirla. (Mahatma Gandhi)

Ver perfil completo →

A %d blogueros les gusta esto: