El culebrón LexNET parece no tener fin. Si la semana pasada hablábamos del desastre que era su seguridad, en los últimos días nos hemos ido enterando de cosas cada vez más alarmantes. Abrió el baile este artículo, en el que el portavoz de la Unión Progresista de Fiscales se despacha a gusto con la dependencia tecnológica de la Fiscalía respecto de Justicia. Efectivamente, la Fiscalía General del Estado no gestiona sus propios sistemas informáticos, sino que estos son proporcionados y mantenidos por el Ministerio. En consecuencia, y como bien cuenta el entrevistado, cada vez que hay algún problema técnico, un informático ajeno a la Fiscalía accede por control remoto y realiza las comprobaciones pertinentes. Pero la cosa puede ir más allá. Puede considerar que el usuario está ocupando excesivo espacio de almacenamiento, y eliminar archivos que considere no relevantes. Vídeos, por ejemplo, que ya se sabe que ocupan un montón. ¿Como sabe el técnico de turno si son las grabaciones de un juicio o una versión a capella de “Despacito”? Pues viéndolos, obviamente.
En un mundo ideal, un fiscal no debería necesitar guardar tales grabaciones en el ordenador de su despacho, pues deberían estar disponibles en todo momento a través de las aplicaciones que usa en su trabajo. Sin embargo, conozco sitios en los que, al terminar la fase de instrucción y dar traslado para acusar, se cierra la carpeta informática de Diligencias Previas y se abre la de Procedimiento Abreviado. Ese simple acto procesal, automáticamente, hace que las declaraciones de investigados y testigos, cuyo examen es indispensable para preparar el escrito de calificación, o para poner la sentencia, o fallar un recurso contra la misma, queden inaccesibles a través de la red interna. Para evitarlo, se adjuntan copias en DVD junto con los tomos del procedimiento. Como solución de compromiso no está mal, salvo por el pequeño detalle de que los Microsoft Surface, que supuestamente deberían conformar el equipamiento de los juzgados y las fiscalías, carecen de lector óptico. Eso, donde han llegado tales lujos.
En otros lugares, donde el ordenador del juez o fiscal es un PC de sobremesa con lector DVD, el problema sigue existiendo, porque las causas mínimamente complejas (o sea, todas aquellas que pasan de una mera alcoholemia o un hurto) hay que sacarlas en casa, y ahí cada uno tira de sus propios equipos. Ya saben que eso de pagar portátiles para jueces y fiscales hace enfadar a Paco Marhuenda. Así que una pequeña “ñapa” es pasar los vídeos del ordenador del despacho a un USB, y así poder seguir trabajando con ellos en casa.
En fin, hasta ahí, es el pan nuestro de cada día. Chapuzas “made in Spain” con las que nos hemos acostumbrado a ir tirando. Si quieres evitar que alguien se inmiscuya en tus archivos de trabajo, pues tiras de una utilidad de cifrado como VeraCrypt, y santas pascuas. Lo cual tampoco viene mal para cifrar esos USB en los que viajan datos tan comprometidos, por cierto.
Entonces, aparece en las noticias que alguien ha encontrado un servidor de LexNET completamente expuesto en Internet. La reacción oficial, por supuesto, es matar al mensajero, y acusar de un delito a quien ha dado el aviso del problema. Justo aquello por lo que andaba tan preocupada la comunidad de la seguridad informática desde que se reformó el Código Penal en 2015, y se endureció el delito de acceso no consentido a sistemas informáticos, previsto en el artículo 197 bis.
El problema, como señala Sergio Carrasco en la noticia enlazada, es si ese artículo resulta aplicable. Porque el texto habla de “vulnerar medidas de seguridad” establecidas para impedir el acceso. Y según lo que cuentan las noticias, aquí no ha sido así. La persona que encontró el problema se limitó a usar Shodan, un conocido motor de búsqueda que, a diferencia de Google, no indexa páginas web, sino máquinas y aplicaciones conectadas a Internet.
Desconozco cuál fue el contenido de la búsqueda que realizó esta persona, pero el resultado fue encontrar todo un servidor del Ministerio de Justicia expuesto a Internet, lo que de por sí es malo. Pero es que, además, no había ningún tipo de restricción de acceso, o sea, en ningún sitio te pedían usuario y contraseña para poder acceder. Una vez descubierto, la conexión era directa. Y eso es mucho, mucho peor. Eso significa que no había ningún tipo de medida de seguridad que vulnerar. El equivalente a esas montañas de expedientes que hemos visto en los informativos, cada vez que se denuncia la precariedad de los medios de la Justicia. Pero puestos en el Rastro, en lugar de guardados en un juzgado.
Por supuesto, otra de las explicaciones oficiales es que el “malvado hacker" no ha conseguido acceder a nada vital, sino a cosas obsoletas o de prueba. Sin embargo, dentro de las calificaciones jurídicas que se barajan en este caso es la de delito contra la intimidad, del artículo 197 “normal”, no el bis. Pero este tipo penal exige que se haya accedido a datos personales contenidos en archivos o registros públicos, lo que no sería el caso de los 11.000 documentos que nos ocupan, siempre según las fuentes oficiales.
Esto último recuerda un poco al interrogatorio final de la película “Algunos hombres buenos”, cuando el personaje del que tomo el seudónimo pregunta al coronel Jessep, interpretado por Jack Nicholson, sobre las razones de trasladar al marine William T. Santiago, quien supuestamente corría peligro de ser agredido por sus compañeros: “Si sus hombres siempre cumplen las órdenes, y sus órdenes eran no tocar a Santiago, ¿por qué habría de correr Santiago algún peligro?” Es decir, si lo que había en ese servidor expuesto no eran datos personales de los ciudadanos, ¿por qué acusar a alguien de un delito que consiste precisamente en acceder a datos personales?
Las comparaciones con coches abiertos en la calle y robar en su interior, respecto de que el autor de los hechos pudo descargar el contenido encontrado y compartirlo con otras personas, no resisten el menor análisis. Si algún problema tenía el artículo 197, antes de la reforma de 2010 que tipificó el acceso no consentido a sistemas informáticos, era que el acceso a los datos no era sancionable si no se trataba de datos personales que afectaran a la intimidad. Y eso lo tiene repetido el Tribunal Supremo hasta la saciedad.
Si lo expuesto era la arquitectura informática de algún sistema interno de Justicia, como Orfila (el sistema usado para comunicarse con los médicos forenses), o el propio código fuente de LexNET, me parece que no encajaría con el tipo. ¿Delito de espionaje empresarial, del artículo 278? Ese es un delito de carácter económico, que exige la finalidad de descubrir un secreto de empresa, protegiendo aquellos que configuran la ventaja competitiva de una compañía frente a sus competidores en el mercado. Lo siento, pero al Ministerio de Justicia no lo veo en esta posición.
Pero no terminan ahí nuestras cuitas con la Justicia Digital. Hace apenas unas días, una juez de Galicia denunciaba haber encontrado un serio problema en el sistema Minerva, la aplicación de gestión procesal de los juzgados del llamado “Territorio Ministerio” (o sea, aquellas comunidades autónomas que, o no tienen transferidas competencias en materia de Administración de Justicia, o no han desarrollado aplicaciones propias), que permitiría a cualquier funcionario, de cualquier órgano judicial, acceder a cualquier documento, de cualquier procedimiento, sin limitación alguna. De primeras, el fallo parece limitado a la comunidad autónoma gallega, pero nunca se sabe cuán profunda es la madriguera del conejo.
Así pues, no estamos en presencia de un problema de hackers que acceden a los ordenadores del Pentágono, como dijo un portavoz de Jueces y Juezas para la Democracia en el artículo enlazado en el primer párrafo. El problema es que tenemos un servicio público esencial, que trata de dar el salto tecnológico desde el siglo XIX a nuestros días, y lo hace a marchas forzadas, sin tener la seguridad de la información como prioridad absoluta, y que tras dilapidar recursos públicos a caño abierto, estamos descubriendo que tiene más agujeros que un colador. Agujeros por los que puede colarse cualquiera con unos mínimos conocimientos técnicos. Así que imaginen lo que podría hacer alguien realmente malintencionado.