| Resolución | AAPP-00066-2017 |
| Firmado | 2018-03-15T00:00:00Z |
| Enlace | 📋 |
El 27 de julio de 2017, se detectó un incidente de seguridad en el sistema LexNET, una plataforma de intercambio seguro de información entre órganos judiciales y operadores jurídicos. El fallo permitía a los usuarios acceder a los buzones de otros usuarios mediante la modificación de la dirección URL del navegador, cambiando los dígitos de identificación del usuario. Este incidente afectó a los buzones de abogados, procuradores y graduados sociales, permitiendo el acceso a notificaciones practicadas, traslado de escritos y demandas, así como a notificaciones ya aceptadas y acuses de recibo. Sin embargo, no permitía acceder a expedientes completos, notificaciones no practicadas (excepto en el caso de procuradores) ni realizar presentaciones de escritos en nombre de terceros.
El incidente se resolvió en aproximadamente cinco horas desde su detección, y se implementaron medidas de seguridad adicionales para prevenir futuros errores. Se complementaron las baterías de pruebas, se mejoraron los registros de log y se implementó una solución SIEM para recoger y analizar eventos de seguridad. Además, se planificaron acciones futuras como la implementación de un Command Center y la negociación de un convenio con el CCN para desarrollar un SOC.
La Subdirección General de Nuevas Tecnologías de la Justicia fue sancionada por no haber adoptado las medidas necesarias para impedir el acceso no autorizado a los datos personales. La sanción se basó en la vulneración del artículo 9 de la Ley Orgánica de Protección de Datos, que establece la obligación de adoptar medidas técnicas y organizativas para garantizar la seguridad de los datos personales y evitar accesos no autorizados. La entidad responsable no impidió de manera efectiva que usuarios del sistema accedieran a buzones ajenos, lo que constituyó una infracción grave.