Cuando estaba feliz disfrutando de las vacaciones ha ocurrido el suceso Lexnet. Esto ha supuesto la ocasión de afianzar lo que nos temíamos: 2017 será el año de la seguridad digital. El muy discutido sistema del Ministerio de Justicia presentaba una vulnerabilidad de seguridad que posiblemente marque un hito en la Administración electrónica española. En este caso, quiero aprovechar la ocasión no para hablar de Lexnet (que es un proyecto que conozco poco en profundidad) sino de la seguridad en el mundo digital, su implicación y cómo transformará las relaciones entre administraciones y ciudadanía.

Lo que ha pasado con LEXnet.
Lexnet es el sistema de notificaciones y judiciales que utiliza el sistema español. Esta herramienta, que ha empezado a funcionar años después de estar “terminada” ha provocado polémicas en el mundo judicial. Como decía, no soy jurista y conozco poco Lexnet, así que voy a mantener el hábito de no hablar de lo que no conozco.
La cuestión es que el 27 de julio de 2017, el presidente del Colegio de Abogados de Cartagena advertía en las redes sociales que había una vulnerabilidad severa. En términos generales podemos decir que existía una brecha de seguridad a través de la cual cualquier usuario podía acceder y modificar cualquier expediente judicial de la red (es decir, todos). La propia concepción de este tipo de brechas suele significar que no es posible identificar los expedientes manipulados legítimamente de aquellos que han sido víctimas de un hackeo.
EDITADO. Unas horas después sabemos que la naturaleza de la vulnerabilidad estaba en el acceso a los buzones, que permitían, al cambiar la ID de usuario en la URL acceder a un buzón de un tercero sin tener que usar credenciales. Esto me lleva a una doble reflexión. Por un lado es un error grave y difícil de explicar en un protocolo de desarrollo de funcionalidades, del que supongo que alguien tendrá que responder. En segundo lugar, no sé si es la falta de información inicial, desconocimiento, o instrumentalización, siendo un escenario muy malo no es comparable a lo anunciado inicialmente. Es decir, alguien ha dicho que la situación era mucho más crítica de lo que era. La política de comunicación de Justicia no ha sido la mejor (recomiendo el post del ébola que publicamos hace unos años), y esto ha ayudado. Pero el escenario nunca ha sido tal y como se contó por medios de comunicación serios muy reivindicativos (algunas de las declaraciones recogidas por El Diario son dificilmente creibles para este tipo de error)
El hecho de que Justicia lanzara un cierre por mantenimiento urgente (con errata incluida) un día laborable en horas de actividad profesional venía a confirmar que, efectivamente, la vulnerabilidad existía. Luego, la confirmación del propio Ministerio lo confirma. Por otro lado, aclara en su comunicado que el error se debe a una actualización y que ha estado activo solo 5 horas.
Como era de esperar, una vulnerabilidad así de grave con un sistema ya de por sí discutido ha provocado una tormenta en el mundillo digital. Podemos encontrar, aprovechando esto, quejas sobre velocidad, capacidad de carga y demás temas, que si bien son importantes, no vienen al caso. Hemos podido asistir desde peticiones de dimisión (de diferentes niveles) a peticiones de cárcel.
Los escenarios posibles.
En resumidas cuentas, hay una pregunta a tener en cuenta. ¿Se ha cumplido el Esquema Nacional de Seguridad?
EDITADO: Me comentan que la Administración de Justicia tiene su propio desarrollo normativo de Administración electrónica que incluye su propia definción y tratamiento de seguridad.
El modelo de Administración electrónica electrónica de justicia de España tiene una definición de hasta qué punto tiene que actuar la administración para asegurar que sus sistemas no están comprometidos (esto es una falacia que ya comentaremos).
Si no se ha cumplido el ENS la normativa (y esto parece que es más frecuente de lo que quisiéramos escuchar, aunque me sorprendería que Justicia no lo hiciera) la respuesta está clara. La administración no ha hecho lo necesario para mantener sus sistemas en las condiciones adecuadas que permiten que el sistema funcione con las garantías necesarias.
Sin embargo, ¿Qué pasa si el ENS la normativa se ha cumplido? Es decir, imaginemos que Justicia ha hecho todo lo humanamente posible para tener su sistema en condiciones de seguridad y, aun así, esta brecha existe. La seguridad en el mundo digital es algo enormemente complejo, y es posible que haya vulnerabilidades que ni siquiera hayamos descubierto todavía. Antes de que me acusen de defender al gobierno (aquí ni pincho ni corto) pongamos un ejemplo claro y similar: Heartbleed. Hace años descubrimos que el sistema de validación SSL abierto por excelencia tenía una vulnerabilidad no detectada desde sus inicios y no era detectable ni quién ni dónde podría haberla utilizado.
Hay riesgos de seguridad para los sistemas informáticos para los que no podemos regular ex-ante por el simple hecho de que no podemos ni imaginar su existencia antes de que alguien las descubra.
¿Entonces qué?
En este caso me temo que lo que podemos hacer es rezar por que el estropicio no haya sido grande, y que el mismo que lo ha reportado haya sido el primero en localizarlo. Una vez hecho eso, se corrige, se documenta y se revisa cualquier implicación indirecta, así como sistemas que puedan tener vulnerabilidades similares.
La cuestión de la seguridad digital.
Como decíamos, este año la seguridad digital está en primer plano. Las elecciones de Estados Unidos (así como los posibles hackeos en otras elecciones europeas), y los de ransomware, han visibilizado lo que depende nuestro mundo de que un sistema no sufra un ataque.
El mundo digital no es especialmente más inseguro que el físico. El riesgo que hay de que alguien entre en un registro “de papel” y lo saquee o falsifique documentos no es algo nuevo. Lo que sí es dramáticamente diferente es el alcance del mismo. Un ataque a un registro público en papel alcanza, como máximo, a ese registro, por grande que sea tiene un principio y un fin. En el caso digital afecta a todo el sistema. Sin saber más de LEXnet diría que, con los detalles que podemos saber, todos los expedientes judiciales en curso pueden haber sido manipulados sin ninguna traza que permita identificarlos. Esto incluiría a las copias de seguridad (que pueden haber copiado expedientes ya manipulados).
La cuestión es que, por mucho que queramos, trabajemos, o hagamos, este riesgo por definición nunca estará excluido.
No existe la seguridad digital plena, por el mismo hecho de que la tecnología es algo que está vivo.
La administración electrónica es una decisión.
La sociedad debe hacerse constantemente cuestiones sobre los cimientos en los que quiere basar su convivencia. No son elecciones mejores o peores, son elecciones por preferencia de una sociedad. Llega el momento de que nos planteemos si queremos una administración digital con todo lo que ello conlleva. Esa coletilla es importante, porque aspectos como la privacidad, el cruce de datos, la anonimización, o la seguridad absoluta son puertas que indefectiblemente se cruzarán en un momento u otro con diferente relevancia en nuestras vidas.
Es decir: no existe la administración electrónica 100% segura. Y si la administración electrónica tiene (incluso en un mínimo de posibilidades) un margen de inseguridad, su daño puede ser el que se nos plantea ahora. Si optamos por este modelo, debemos minimizar su riesgo, pero siempre está ahí. Podemos decir que futuras tecnologías como Blockchain puede eliminar este riesgo. Sin embargo, cabe señalar que Blockchain es hackeable (otra cosa es que el coste de ese hackeo sea difícilmente asumible), además de que puede ser que aparezcan amenazas que ni siquiera suponemos.
La otra opción es dejar la administración fuera de este enfoque (hay que decir que es una opción defendida en muchos países o por muchos sectores específicos). No estoy muy seguro de que sea una opción duradera a largo plazo, pero es una opción legítima Asumir que queremos, por ejemplo, el registro de la propiedad en papel porque se puede hackear, es algo que está ahí.
Yo tengo una idea clara. Entiendo que la tecnología tiene un riesgo. Nuestro trabajo es trabajar con ella y, a la vez, minimizar estos riesgos con todas nuestras fuerzas. Sin embargo, los discursos voluntaristas no suelen funcionar: incluso intentando hacer un sistema no hackeable con todas nuestras fuerzas, no tenemos garantías de lograrlo. En todo caso, creo que esto no es posible sin hacer este tipo de camino. Asumir el riesgo forma parte del aprendizaje. Esto tampoco significa que esto sea una carta blanca: si hay responsabilidades habrá que exigirlas en los planos correspondientes. Pero asumamos una cosa. El mundo digital es inseguro y esa inseguridad puede estar ahí y es posible que no nos enteremos nunca de que ha estado ahí.
Pues eso, si no se rompe nada más, feliz verano.