Protección de Datos revela que 74 usuarios se aprovecharon del fallo de seguridad en LexNET  11-04-2018

La Agencia Española de Protección de Datos (AEPD) ha hecho públicas sus conclusiones sobre la vulnerabilidad de datos personales tras el fallo de seguridad del sistema LexNET (la plataforma digital de intercambio de información entre órganos judiciales y operadores jurídicos) durante la jornada del pasado 28 de julio.

Según la AEPD, en aquel crítico día para decenas de miles de usuarios -procuradores, abogados y graduados sociales fueron los afectados- 284 accedieron a 692 buzones ajenos que no les pertenecían y realizaron 1.438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 accedieron a 79 buzones de terceros y se descargaron 432 documentos sin permiso. Fueron notificaciones judiciales ya practicadas o pendientes y limitadas a los 60 días anteriores al 28 de julio.

Protección de Datos, sin embargo, ha dado por probado que no se pudieron manipular documentos presentados en juzgados, por ejemplo, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo ni presentar escritos en nombre de otros participantes. Tampoco pudieron visualizarse mensajes anteriores a los 60 días dado que LexNET borra esos datos de forma automática.

Este problema de seguridad se produjo al solicitar numerosos usuarios (identificados por el Ministerio de Justicia en su auditoria interna) labores de «sustitución legítima» de otros usuarios y de aquellos que tenían distintos roles para que fuese posible acceder a los buzones de los sustituidos sin necesidad de cerrar la sesión. De esta forma, se podrían consultar varios buzones de forma simultánea, a modo de multibuzón.

No obstante, según la Agencia nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica necesariamente la comisión de la otra. Esto es, si una documentación que contiene información personal sale del ámbito de la responsable de su confidencialidad (caída de LexNET), se está produciendo un incumplimiento de las medidas de seguridad exigidas al responsable (Ministerio de Justicia).

Mejoras de seguridad
Por lo tanto, aplicando el artículo 29.5 de la Ley de Régimen Jurídico del Sector Público -señala que «cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida»- se procede subsumir ambas infracciones en una sola.

Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h de la Ley Orgánica de Protección de Datos (LOPD) y también un incumplimiento del deber de guardar secreto, «procede imputar únicamente la infracción del artículo 9 de la LOPD» a la Subdirección General de Nuevas Tecnologías, perteneciente a la Secretaría General de la Administración de Justicia.

En concreto, el incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de terceros. Dicha identificación consta de 10 dígitos, por lo que para acceder a un buzón concreto había que conocer el identificador de dicho usuario.

Desde aquel grave problema de seguridad, el Ministerio de Justicia ha diseñado 69 medidas de mejoras «para mitigar el incidente y evitar situaciones similares en el futuro», de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y/o pruebas. Una circunstancia que ha valorado de forma positiva Protección de Datos, que ha remitido sus conclusiones al Defensor del Pueblo.
Noticia original

© 2002-2017 Aemol Consulting® · No te espiamos: no usamos cookies propias ni de terceros, pero puedes consultar nuestros avisos legales más abajo. En algunas páginas pueden contener cookies exclusivamente de navegación. No existen cookies de terceros ni se almacena dato alguno ajeno a esta sesión.
Consulta nuestro Código de Conducta 
Avisos Legales:
En virtud de la legislación vigente en España, le informamos de nuestros datos mercantiles: Aemol Consulting®, empresa domiciliada en Madrid con número de identificación Fiscal B87434148, registrada en el Registro Mercantil de Madrid Tomo 34195, Folio 10, Hoja M-615107. En el servidor donde se encuentra alojado este sitio no se almacena información alguna de los visitantes ni de los clientes. De cualquier forma, a través del correo electrónico, puede ejercitar sus derechos y acceder, modificar o dar de baja los datos personales que en virtud de nuestras relaciones comerciales pudieran existir en nuestros ficheros, todos ellos registrados en la Agencia española de Protección de Datos. Se reconoce la propiedad intelectual de las marcas mencionadas en este sitio web, a cada uno de sus respectivos propietarios. Toda la información gráfica como escrita recopilada en este sitio web pertenece y está ampara por copyright a favor de Aemol Consulting®. Aemol Consulting® no asume responsabilidad, y la declina explícitamente, alguna por los contenidos que puedan existir en otros sitios web que pudieran aparecer aquí vinculados o mencionados.