lunes, 31 de julio de 2017

Sobre lo ocurrido con LexNet


Hace unos días que se viene comentando, sobre todo por los medios de prensa escrita, el enorme fallo de seguridad que se ha descubierto en los servidores de LexNet, la red informática de la justicia española. Especifico que se ha comentado sobre todo en prensa escrita porque, dada la gravedad de la situación, me parece sorprendente que no se le haya dado una cobertura mediática casi al nivel de un grave accidente con víctimas o similar, pero claro, seguimos pensando que los datos no son algo importante, aunque puedan destruir la vida de las personas.
Hace tiempo que oía a expertos en seguridad informática, en conferencias, decir que si alguien quisiese destruir cualquier empresa sólo tenía que denunciarla por incumplimiento de la Ley de Protección de Datos, aquella que se encarga de defender nuestros datos privados haciendo que los guardianes de la misma deban garantizarnos su seguridad. El comentario lo hacían buscando dos lecturas, la primera que no se estaba garantizando ni la más básica de las seguridad y la segunda, que la Ley era de imposible cumplimiento tal y como estaba escrita.


Pero ¿qué ha ocurrido en LexNet? Pues que, cuando se creó el sistema no se garantizó la seguridad de autenticación permitiendo entrar en el buzón privado de cualquier usuario simplemente escribiendo el usuario en la URL destino. De esta forma se ha podido acceder a infinidad de documentos sobre causas abiertas, juicios en proceso o ya terminados y, en definitiva, a todo el funcionamiento judicial español. Luego nos extraña que se "pierdan" pruebas clave en casos de corrupción.
Un fallo de seguridad de estas características, en un sistema que ha costado más de 7 millones de euros, no tiene sentido ninguno. Un fallo de seguridad, por cierto, muy parecido a uno que se escuchó hace tiempo del que adolecía el sistema de evaluación docente de la Universidad de Salamanca.
No debemos cometer el error de banalizar este fallo, es un problema muy pero que muy grave que no debería haber ocurrido nunca. En primer lugar porque la forma de "ataque" ni siquiera era rebuscada, era algo que no tenía que estar abierto y punto. No tenía seguridad ninguna y custodiaba datos de vital importancia. Ahora será necesaria una intensa auditoría para ver qué datos se han visto comprometidos desde la puesta en marcha del sistema, lo que puede llevar, incluso, a la revisión de procesos judiciales cerrados, cosas que cambian la vida de la gente.
¿Por qué se ha producido? Bueno, se podría decir que, tal y como funciona el país era, en cierto modo, inevitable. En primer lugar, la crítica de hace años de los informáticos y nuestra carencia de atribuciones profesionales que garanticen que alguien con los conocimientos oportunos ha revisado el sistema y se hace responsable del mismo. Pero eso no sería tan crítico si verdaderamente se trabajase con expertos y no con los enchufes del hijo del sobrino del concejal de turno, o peor aún, de quien se esté beneficiando al jefe directo. Cosas que son problemas en dos fases, en un primer momento porque, obviamente, esta gente no tiene los conocimientos necesarios y, de esta forma, los sistemas, o cualquier cosa que toquen, acaba destruida. Y por otro porque, si da la casualidad que tienen gente que sabe lo que debe de hacer, se desmotiva al ver la diferencia de trato que se produce.

A mi, en concreto, los temas de la seguridad informática me fascinan, principalmente por mi desconocimiento de gran parte de todos los tipos de ataques, y su posible prevención. Tengo conocimientos muy por encima de la media, eso si, al fin y al cabo mi trabajo es tratar con ordenadores. Pero ni muchísimo menos me considero capacitado para auditar o estar a cargo de la seguridad informática de nada importante, son temas, como digo, muy delicados. Otra cosa son mis expertises, pero ese no es el tema de hoy.
No seré yo quien diga que para ser experto en seguridad hay que tener un papel de una carrera universitaria concreta, los papeles sólo son papeles, pero si que hay gente sobradamente preparada como para que estas cosas, ni cosas más graves ocurran. Llevamos un tiempo ya hablando de los ciberataques, virus y troyanos, fallos de seguridad. Llegará el día en que ya no se pueda seguir ocultando que todas estas cosas afecten a vidas humanas, llegando incluso a provocar muertes. Actualmente, en Salamanca, el sistema informático sanitario se encuentra colapsado o caído día si, día también ¿qué ocurriría si pacientes empezasen a morir por ello? ¿Se empezaría a tomar un poco más en serio la tecnología?
Saber utilizar el móvil, con GPS y Whatsup, no es suficiente para crear un sistema que maneje el tráfico de una gran ciudad, para crear el coche autónomo del futuro, o para asegurar la confidencialidad de los expedientes judiciales. Debemos dejar de banalizar las máquinas porque, como con otros grandes errores de la humanidad, llegará el día en que sea demasiado tarde. No puede ser que una lavadora tenga más seguridad que el expediente médico de un paciente, es inaudito.

En definitiva, este "problema" de LexNet no es más que otra punta del iceberg. Una punta muy afilada por la gravedad del error, la sencilla solución que tenía y la enorme suma de dinero que se maneja. Pero al fin y al cabo sólo una, de las muchas puntas del iceberg. No me cansaré de repetirlo, hay que valorar a los expertos, siempre que lo sean, como tales. No por una cuestión de alimentar sus egos, sino porque tratan con cosas muy delicadas, o al menos deberían tratar ellos, y no inútiles, con las cosas importantes.
Me parece que seguiremos con estas noticias bastante tiempo, se están destapando muchos fallos. La cuestión es ¿aprenderemos de los errores? En este caso concreto de la seguridad informática ¿se dejará de tratar a los hackers como "bichos raros de película" y se les empezará a tratar con el respeto que merecen? Por el bien de todos, espero que si.

Si queréis más información sobre el caso concreto de LexNet os dejo por aquí un enlace a un interesante y amplio artículo, para el público general, que han publicado en El Confidencial.

No hay comentarios: