La quiebra de seguridad de LexNet no afectó a ficheros jurisdiccionales
Según el CGPJ las cuentas afectadas corresponden a los colectivos de abogados, procuradores y graduados sociales. La Agencia Española de Protección de Datos continuará con la tramitación del procedimiento.
La investigación sobre una posible vulneración de confidencialidad debido al fallo de seguridad detectado en LexNet el pasado mes de julio se traslada a la Agencia Española de Protección de Datos. Según el comunicado hecho público este jueves por la Comisión Permanente del Consejo General del Poder Judicial, el órgano de gobierno de los jueces ha acordado el archivo de las diligencias abiertas el pasado 27 de julio para determinar lo ocurrido en relación con la quiebra en materia de seguridad sufrida en esa fecha por el sistema de comunicaciones electrónicas en la Administración de Justicia (LexNet), al concluir que no afectó a ficheros jurisdiccionales, que son sobre los que el órgano de gobierno de los jueces tiene competencia en materia de protección de datos, de acuerdo con lo establecido en la Ley Orgánica 7/2005.
El pasado 27 de julio, el sistema de comunicaciones LexNet sufrió un fallo de seguridad que permitió el acceso a documentos de causas judiciales abiertas. El parón en el funcionamiento de la red afectó a abogados y procuradores que estaban concluyendo asuntos en los últimos días hábiles antes del cierre estival. En su momento, el Ministerio de Justicia explicó que se trataba de un defecto en el control de accesos al sistema ocasionado por un error en la programación del código.
La Comisión Permanente ha acordado en consecuencia archivar el expediente y dar traslado a la Agencia Española de Protección de Datos (AEPD) –órgano competente para determinar si han existido posibles vulneraciones en materia de protección de datos de carácter personal en ficheros no jurisdiccionales- a fin de que prosiga con la tramitación del procedimiento.
Los hechos
Según la información facilitada, las actuaciones llevadas a cabo por el Centro de Documentación Judicial (CENDOJ) en coordinación con la Agencia Española de Protección de Datos (AEPD) han permitido averiguar que ese día se produjo una brecha de seguridad en la versión LexNet 4.10.10 que afectaba a la versión web y que hacía posible el acceso a buzones de otros usuarios previa modificación consciente de la dirección que aparece en el navegador (URL) y, concretamente, del identificador del usuario visible en la misma.
Del resultado de la investigación se desprende que no todos los tipos de cuentas quedaron afectados, sino solo las correspondientes a los colectivos de abogados, procuradores y graduados sociales. Las más sensibles, como las de la Fiscalía, Juzgados, Fuerzas y Cuerpos de Seguridad del Estado, servicios jurídicos de las Comunidades Autónomas y Seguridad Social, no se vieron afectadas por el incidente según el informe.
Por otra parte, aclara la Comisión, de acuerdo con los informes recabados, el acceso a un buzón ajeno no permitía realizar acciones consistentes en el acceso a expedientes completos, acceso a notificaciones no practicadas en caso de usuarios distintos a procuradores, ni realizar presentaciones de escritos en nombre de terceros, ni la posibilidad de borrado manual y modificación de datos del sistema.
“En este sentido, puede afirmarse que la quiebra de seguridad (…) no afectó a ficheros jurisdiccionales, cuya independencia y autonomía respecto a las comunicaciones y notificaciones electrónicas, así como a la presentación electrónica de escritos, documentos u otros medios o instrumentos y al traslado de copias es completa, de manera que la seguridad, tanto de los sistemas de gestión procesal como de los ficheros jurisdiccionales, ha estado siempre salvada”, concluye la Comisión Permanente.
El sistema LexNet
El sistema LexNet es utilizado por abogados, procuradores, graduados sociales, centros penitenciarios, funcionarios de la Oficina Judicial, Policía Nacional, policías locales, Guardia Civil y hospitales -que lo emplean para remitir atestados o partes de lesiones-, pero no es usado por los jueces y solo mínimamente por los fiscales (en pruebas piloto y solo con ocasión de aceptar notificaciones).