eldiario.es

Síguenos:

Boletines

Boletines

Menú

Y al tercer día...

La Justicia tiene un gigantesco parque de software obsoleto, administrado por equipos de técnicos cada uno de su padre y de su madre, sin unas políticas de actualización de parches de seguridad adecuadas y homogéneas

- PUBLICIDAD -
La AEPD multa a una "web de piratería", Lolabits.es, con 5.000 euros

EFE

Esta semana, aunque la mayoría de los medios de comunicación generalistas no han hecho otra cosa que repetir imágenes de procesiones de Semana Santa, se ha producido un evento noticioso de gran relevancia. Y como siempre, en estos casos, ha pasado prácticamente desapercibido.

Recapitulemos. Un colectivo, autodenominado Shadow Brokers, ganó cierta celebridad en el mundillo de la seguridad informática el año pasado, tras haber conseguido acceder a las herramientas de espionaje usadas por la NSA, la conocida Agencia de Seguridad Nacional estadounidense. No se trata del trabajo de un insider, como Edward Snowden, quien trabajando desde dentro consiguió desvelar al mundo entero las más que cuestionables técnicas de la inteligencia norteamericana. Al contrario, se trata de un grupo de hackers que penetraron en el corazón de una de las más opacas agencias federales yanquis desvelando su secreto arsenal tecnológico.

Durante este largo fin de semana, en mis redes sociales comenzaron a aparecer menciones a una nueva filtración, hasta que se despertó mi curiosidad y llegué a este post de Genbeta, donde explican brevemente la cuestión.

La filtración se habría llevado a cabo en GitHub, un repositorio de código informático al que muchos programadores vuelcan sus trabajos para que puedan ser revisados por sus iguales. 

En este caso, parece ser que lo filtrado a través de esta plataforma se trata de herramientas para comprometer sistemas basados en versiones antiguas de Windows. Lo publicado debe de ser bastante denso, y los investigadores van desbrozando poco a poco su contenido, destacando un tipo que atiende por el nick de Hacker Fantastic, quien sospecha que, tarde o temprano, ha de aparecer algún zero day.

Para los profanos en este tipo de cosas, se trata de un fallo de programación que no ha sido encontrado por los propios desarrolladores. Por ello, han transcurrido "cero días" desde que el problema se solucionó. Si el fallo de programa no ha sido localizado por los creadores del código fuente, y éste permite forzar el funcionamiento del sistema para obligarle a hacer cosas no autorizadas, como veíamos la semana pasada, se convierte en un arma formidable. A través de ese fallo (o bug, como se denomina en la jerga) se puede desarrollar un exploit, un programa que aproveche el mal funcionamiento para beneficio de quien lo haya creado.

¿Y qué tiene que ver todo este berenjenal informático con mis habituales cuitas legales y judiciales? Muy sencillo. Pese a que, históricamente, la Justicia es el pariente pobre a la hora de recibir inversiones en materia tecnológica, lo cierto es que se invierte una cantidad ingente de pasta en dotar de herramientas informáticas a juzgados, tribunales y fiscalías. Que este reino de taifas, conocido como Estado de las autonomías, disperse esas inversiones en esfuerzos múltiples, sin coordinación, y frecuentemente, incompatibles entre sí, es sólo una parte del problema.

Así, España se divide entre lo que conocemos como Territorio Ministerio, aquel al que corresponden las autonomías sin competencias delegadas en materia de Administración de Justicia, y los distintos territorios autonómicos con competencias propias. En estos últimos, cada gobierno regional suele encargar su propia aplicación de gestión procesal, llámese Atlante en Canarias, JustiziaBat en Euskadi o, para no aburrirles, aquí disponen de la lista completa.

Como pueden imaginar, el desarrollo de esas aplicaciones supone un goteo incesante de dinero en forma de contratas, subcontratas y requetesubcontratas. A esto hay que añadir que, tras un tímido intento de implantación del software libre en Extremadura, patria de gnuLinEx, y en Andalucía, donde surgió GuadaLinex, la práctica totalidad de los sistemas informáticos que usa la Administración de Justicia corren bajo Microsoft Windows, y las herramientas ofimáticas que usa su personal, como Word, Excel u Outlook, son de la misma empresa.

Esto supone un gasto en licencias de software privativo que, unido al mencionado dispendio en aplicaciones propias de cada terruño, supone unos costes difícilmente asumibles. Ya era así cuando la burbuja del ladrillo todavía no nos había explotado en la cara, y atábamos los perros con longanizas, así que se pueden imaginar en la actual coyuntura.

¿A qué nos lleva esto? A un gigantesco parque de software obsoleto, administrado por equipos de técnicos cada uno de su padre y de su madre, sin unas políticas de actualización de parches de seguridad adecuadas y homogéneas. Además, la propia Microsoft trata de empujar a los clientes corporativos, su gran fuente histórica de ingresos, a migrar a sus versiones más modernas, y para ello van retirando periódicamente el soporte a las versiones más arcaicas. Como ejemplo, hace escasos días terminó el soporte extendido para Windows Vista.

Sin embargo, en los juzgados, tribunales y fiscalías de toda España continúan funcionando miles de ordenadores con la iteración anterior, Windows XP, la cual hace años que no cuenta para la corporación afincada en Redmond, Washington. De hecho, hasta hace no más de un par de años, en alguna comunidad autónoma todavía funcionaban con Windows 2000.

Ahora, juntemos todas las piezas del puzzle. La Semana Santa, con sus cuatro días de fiesta, cinco en algunos casos, en los que nadie se va a dar cuenta de que algo funciona mal en los ordenadores. La publicación masiva de herramientas de acceso ilícito a sistemas Windows obsoletos. Un parque de ordenadores enorme sin actualizar, expuesto a Internet a través del eslabón más débil de la cadena: aquellos equipos que tienen acceso a la Red a través del navegador. Yo diría que amenaza tormenta.

Porque esos ordenadores almacenan una cantidad ingente de información sobre millones de ciudadanos, pero sobre todo, custodian algunos expedientes sobre los que supuestamente no puede saberse nada. Pueden ser diligencias bajo secreto sumarial por orden judicial, pero también aquellas en las que la reserva proviene de mandato legal: escuchas telefónicas, seguimiento de sospechosos, balizas de geoposicionamiento, etc. Un montón de datos sumamente golosos, que pueden atraer la atención de las redes de criminalidad organizada que están en el punto de mira de la Justicia.

Hace apenas unos días, ha sido noticia que le han robado el ordenador al fiscal que investiga tramas de corrupción política en Murcia. Por tercera vez. En su propio despacho. Aficionados. Con lo fácil que hubiera sido esperar un poco, y al ritmo de las procesiones de Semana Santa, irse apoderando de todos los datos que hagan falta. De cualquier proceso. En cualquier órgano judicial.

A no ser que, en mi condición de humilde currante de trinchera, desconozca que la Justicia española dispone de un avanzado CERT ( Computer Emergency Response Team) perfectamente preparado para hacer frente a estas eventualidades. Que vendrá, sin duda, montado en un unicornio rosa saltando sobre un arcoíris de gominola.

- PUBLICIDAD -

Comentar

Enviar comentario

Enviar Comentario

Comentarios

Ordenar por: Relevancia | Fecha