¿es delito entrar a un servidor abierto y descargar sus contenidos?

Cuando pensábamos que el desastre de LexNET no podía ser peor, hace dos días se confirmó la filtración de 11.000 documentos internos de los servidores del Ministerio de Justicia. Estos documentos tenían información sobre la construcción de sus sistemas informáticos, Orfila y LexNET, así como parte de su código fuente.

El Ministerio aseguró que no era falta suya sino de unos “hackers” que habían accedido a su sistema, y denunciaron a uno de ellos, mientras que una de las personas que accedió se defendía diciendo que el servidor no tenía ni contraseña. Hemos hablado con un abogado especializado para que nos aclare qué hay de admitido o ilegal en ingresar a archivos no protegidos y en poder difundirlos posteriormente en la red.

Como recordaréis, la crisis se inició el 20 de julio tras destaparse un error informático en LexNET, la plataforma de intercambio de información y documentos que utilizan abogados, procuradores y órganos judiciales, que permitía a cualquier heredero ingresar a los documentos de los demás. Aunque en un principio se negó el error, el servicio estuvo offline todo el fin de semana sin dar demasiadas explicaciones.

El caso de los atacantes está relacionado por afectar todavía a LexNET por otra parte de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España. Sin incautación, desde el Ministerio se ha anotado a que estos accesos no tienen relación con los problemas sufridos por LexNET.

¿Qué ha pasado exactamente?

Lo que ha pasado es que hace dos días el Ministerio de Justicia confirmaba se habían filtrado más de 11.000 documentos (unos 600MB). En estos archivos se podía conocer la construcción de sus sistemas informáticos, como Orfila y LexNET, y parte de su código fuente.

Lo peor de todo es que según le dijo una de las personas que accedió a los servidores del Ministerio a El Confidencial, para entrar sólo hizo desliz utilizar un sencillo buscador como Shodan, en el que encontró una IP pública de Justicia que daba paso a un directorio extenso y sin contraseña, y es en ese directorio en el que se encontraba la información.

El Ministerio de Justicia reaccionó denunciando ayer a un heredero sin identificar que supuestamente accedió de guisa irregular a uno de sus servidores un día posteriormente del decreto de LexNET. Desde el Ministerio aseguran que detectaron la intrusión “en tiempo real”, y que inmediatamente cortaron el paso y retiraron el contenido almacenado.

Concretamente se podía ingresar a documentos internos que explicaban el funcionamiento de LexNET y Orfila, y de hecho el ocupación asegura que parte del código fuente del primero fue revelado en la red. Desde Justicia aseguraron que el impacto fue pequeño, ya que el atacante sólo pudo obtener información “obsoleta y no confidencial”.

Sin incautación, eso no ha evitado que haya un cruce de acusaciones entre el Ministerio y una de las personas que accedió a los servidores, tal y como recogió todavía El Confidencial. Una parte defiende que todo ha sido ilegal, mientras que la otra que no ha habido ilegalidad porque el Ministerio tenía las puertas abiertas.

Cuáles son los argumentos de cada uno

Por una parte, el Ministerio de Justicia aseguró que no ha habido ningún error por su parte, sino un delito de paso ilícito. “Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos frente a un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido“, aseguran.

Mientras, el muchacho que supuestamente accedió a los servidores se defiende asegurando que no ha hecho ausencia ilegal porque todo estaba extenso y sin securizar. “Es igual que si entras en Google y descargas un documento“, ha asegurado en declaraciones a El Confidencial. Decía incluso que había avisado al ocupación del error vía Twitter y borrado posteriormente los tuits para que nadie pudiera utilizar esa puerta de paso.

En el momento de este cruce de declaraciones, el abogado e ingeniero Sergio Carrasco exponía que no era un hackeo porque no se han saltado medidas de seguridad, aunque otra cosa era lo que esa persona se hubiera descargado. Por eso hemos hablado con el mismo Sergio Carrasco para que nos explique qué sería admitido y qué sería ilegal en todo este asunto.

Qué dice la ley de todo esto

“El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido”, esa es la frase conflictiva del Ministerio de Justicia. Le hemos preguntado por ella al abogado Sergio Carrasco, a lo que nos ha dicho que es un argumento totalmente insostenible.

“El código penal exige, como requisito, el eludir medidas de seguridad”

El código penal exige, como requisito, el eludir medidas de seguridad“, nos explica asegurando que esto es así independientemente de que se descarguen archivos o no. “En este caso se trataba de un servidor de archivos totalmente abierto, y de hecho indexado en buscadores como Shodan”.

También nos asegura que el servidor incluso sigue estando eficaz aunque malogrado, y que como no había indicación alguna de que los archivos fuesen privados no se puede considerar como un paso ilegal y punible. Lo único que aparecía interiormente era el logo del ocupación y los documentos.

El tema complicado es que el aludido le decía a El Confidencial que estaba dispuesto a liberar el código fuente completo de LexNET. Ahí sí que las leyes podrían interpretarse en su contra y detallar su energía de difusión como poco ilegal.

“Ahí podría haber más dudas, más cuando quien parece que es el titular se ha opuesto a dicha publicación de código”, nos explica Carrasco. “Podría entrar, aunque de forma forzada en mi opinión, en el tema de revelación de secretos de empresas. Sería el 278 del código penal, con pena de 2 a 4 años de prisión”.

“Ahí podría haber más dudas, más cuando quien parece que es el titular se ha opuesto a dicha publicación de código”

Esto se debería a que publicando el código fuente de LexNET en contra de los intereses de su propietario, se podría interpretar la ley de guisa que se considerase una difusión de contenido que revela secretos de empresa. Esa ley tiene un segundo apartado que palabra de difundir, revelar o ceder los secretos descubiertos, y en el caso de que se aplicase la pena podría subir hasta entre 3 y 5 primaveras de prisión.

Sin incautación, hay declaraciones del propio Ministerio que podrían divertirse en valía del inculpado. Como hemos dicho antiguamente, desde Justicia se afirmó que se trataba de código obsoleto y documentación sin relevancia, por lo que difícilmente podría entenderse que se cumplen los requisitos para revelar secretos de empresa.

Además, tal y como nos explica Carrasco, todavía se ha dicho que los datos filtrados de Orfila pertenecen a una traducción de 2013. Sin incautación, el abogado nos expresa sus dudas respecto a la traducción del Ministerio.
Se le resta importancia, pero se eliminó contenido y se ha corrido a denunciar a quien accedió”, nos explica. “Si es contenido sin relevancia, ¿por qué se ha actuado así?”

Estas dudas dan a entender que todavía no está todo dicho en este caso, y que todavía nos quedan muchas cosas por asimilar tanto del propio error sucedido en LexNET como de la posible filtración de los documentos internos.

En Xataka | Qué ha pasado en LexNet y qué implicaciones tiene su grave fallo de seguridad


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales