Lexnet, ¿reporto o no reporto?

Lexnet-2.png

El 27 de julio del presente año, José Luis Muelas, decano del Colegio de Abogados de Cartagena, informó en la red social twitter de posibles

vulnerabilidades graves en el sistema LexNET que afectaban gravemente a la privacidad de cualquier persona que desde el año 2010 se hubiera visto inmerso en un proceso con la Justicia. A partir de este momento, se pone el foco sobre los sistemas informáticos utilizados por el Ministerio de Justicia y se decide investigar a ver si estos presentan más vulnerabilidades o configuraciones no seguras que permitan la revelación de más datos confidenciales para, en caso de detectarse, avisar de inmediato al Ministerio mediante los Cuerpos y Seguridad del Estado.

Por norma general, en sistemas complejos como LexNET, cuando se descubre una vulnerabilidad, independiente de cuál sea el grado del impacto de la misma, no suele venir sola.

Por este motivo se decide investigar la estructura de los sistemas informáticos que se encuentren bajo en nombre de dominio justicia.es para, en caso de obtenerse más vulnerabilidades explotables que pudieran poner en compromiso la información que estos sistemas almacenan, ponerlo en conocimiento del Ministerio de Justicia a través de las Fuerzas y Cuerpos de Seguridad del Estado.

La ley no contempla la protección de quién reporta la vulnerabilidad de un Sistema, al contrario, se entiende como una intromisión ilícita en un Sistema y por tanto, de acceso no autorizado y, como se ha visto, tipificado en el Código Penal. Es por este motivo que se plantean una serie de interrogantes que serán vistos durante la ponencia.

Ponentes:

Ruth Sala Ordóñez

Abogada penalista, especialista en Delitos Informáticos. Socia directora del despacho Legalconsultors. Auditora de Sistemas por la ISO 27001 por AENOR.

Profesora del Máster de Derecho Digital de la UB y Profesora colaboradora en el Posgrado de Derecho Tecnológico e Informática Forense de la Universidad de Extremadura (UNEX)

@Ruth_legal

 

Amador Aparicio de la Fuente 


Ingeniero Superior en Informática y PostGraduado en Seguridad de las Tecnologías de la Información y Comunicación.

Profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato.
Mentor/Seleccionador dentro del programa Talentum Startups de Telefónica.
Director del departamento de Ciberseguridad de AdecomSoluciones (adecomsoluciones.com)

Coautor del libro ""Hacking Web Tecnologies

(http://0xword.com/es/libros/81-hacking-web-technologies.html)

Noticias en medios de comunicación:

- Badoo destapa a sus usuarios: http://cadenaser.com/ser/2014/07/22/ciencia/1405995866_850215.html


- Hasta la cocina de las Gasolineras Españolas: http://es.gizmodo.com/el-grave-fallo-de-seguridad-que-permite-hackear-miles-d-1699671722

http://www.eleconomista.es/tecnologia/noticias/6656994/04/15/Descubre-un-fallo-informatico-que-pone-en-jaque-a-miles-de-gasolineras.html

- La ciberseguridad de la industria española es un sainete: https://www.elconfidencial.com/tecnologia/2017-03-20/ciberseguridad-industria-espanola-infraestructuras-criticas_1350398/

Artículos en blogs especializados en seguridad:

- El Lado del Mal (http://www.elladodelmal.com/):
http://www.elladodelmal.com/search?q=amadapa

- Security By Default:
http://www.securitybydefault.com/2015/03/hasta-la-cocina-de-las-gasolineras.html
http://www.securitybydefault.com/2016/01/fugas-de-informacion-en-los-routers.html
http://www.securitybydefault.com/2014/06/las-consecuencias-de-un-servicio-ftp.html

@amadapa