Una nueva brecha de seguridad deja al descubierto 11.000 documentos de la Justicia española en Internet
Son unos 11.000 documentos que ocupan 600 MB de información, pero pesan lo suficiente como para poner en entredicho toda la arquitectura técnica de los sistemas informáticos del Ministerio de Justicia.
Según publica El Confidencial este miércoles, esa es la cantidad de datos que se ha filtrado más allá de los muros del departamento que administra Rafael Catalá y que incluye “parte del código fuente de LexNET, la intranet del Ministerio y hasta sus certificados digitales”.
El material se encontraba en un servidor del Ministerio de Justicia, al que se podía acceder a través de una URL no pública pero que estaba desprotegida en su totalidad. Para entrar, solo era necesario conocer la dirección de la página web.
“Me metí en Shodan y encontré una IP de Justicia no securizada. Entré y te daba acceso a un directorio, estaba abierto y sin contraseña”, explica al diario digital una de las personas que accedió a los archivos. Shodan es un buscador de objetos conectados al Internet de las Cosas (IoT).
Sin fallos por su parte, según Justicia
Por si eso fuera poco, también existen varias carpetas en las que se encuentra parte del código fuente de LexNET, la plataforma que utilizan más de 140.000 abogados y procuradores en nuestro país y que el jueves pasado sufrió un gravísimo fallo de seguridad.
“Está casi todo: la documentación oficial que explica paso a paso qué hace el código, los certificados del ministerio, los SSL, el código java, una carpeta 'webapp' con 3.000 archivos en 559 carpetas que contiene los CCS, las imágenes, el javascript... Si alguien quisiera replicar esto en local podría conseguir parte del sistema LexNet, analizar vulnerabilidades a placer y lanzar ciberataques contra esta infraestructura. Y, recordemos, esto estaba colgado en Internet sin control de acceso ni contraseñas para que cualquiera lo pudiera coger”, señala a El Confidencial una de las personas que ha tenido acceso a la información.
Mientras tanto, el Ministerio de Justicia reconoce la filtración y asegura que detectaron un acceso no autorizado en la tarde del pasado viernes 28 de julio. Después eliminaron los archivos uno a uno del servidor, pero ya era tarde.
El departamento añade que denunciarán a los supuestos responsables del acceso y considera que “no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web destinada a intercambio de datos dentro de la Administración pública”.
“Lo configuraron mal”
Entre los 11.000 documentos también se encuentran esquemas, manuales y dibujos que describen la arquitectura técnica de Orfila. Este sistema conecta conecta a Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España.
Es gracias a Orfila que los IML pueden desempeñar su trabajo para con la Administración. A través de este sistema se envían informes forenses, autopsias y pruebas médicas, por lo que huelga decir que todo ello tiene que poseer la máxima confidencialidad posible. Justicia asegura que no se ha desvelado ningún dato sensible ni de carácter personal.
“El problema es que lo configuraron mal. Se cargaban las cookies de permisos de administrador de forma automática y al volver a iniciar la página no te pedía contraseñas. Podías ver en tiempo real qué le pasaba al sistema y hasta modificar ciertos parámetros”, explica otra fuente al diario digital. A estas horas, los 600 MB de información ya no pueden encontrarse en Internet. Salvo en el ordenador de quien se los haya descargado previamente.