Juegos de Tronos con LexNET

Hoy es otro día más que, el mundo del derecho y de la informática están unidos. Aunque esta vez, quizás, por un motivo menos agradable y triste, porque se ha revelado una vulnerabilidad en la aplicación de LexNET que permite acceder a la bandeja de entrada de cualquier usuario cambiando el ID en la url. Para realizar dicha intrusión se deberá estar identificado dentro del sistema.

Sin embargo, pienso que no todos los lectores de este blog tienen conocimientos sobre esta aplicación. Por ello, vamos a empezar por su simpática y desafortunada definición:

¿Qué es LexNET?

Si buscamos “qué es Lexnet” en Google, rápidamente nos saldrá un cartel con una descripción extraída de la página de la administración de justicia, donde encontramos “intercambio seguro de información entre los órganos judiciales y una gran diversidad de operadores jurídicos“. Yo también añadiría Pastebin.

Pastebin es una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general, de forma “anónima”. Muy usado en la fugas de información.

El intercambio de información no es el más seguro del mundo pero bueno… no obstante la confidencialidad y la integridad de los datos deja mucho que desear ya que, en la URL aparece un campo del ID del usuario. Si lo modificamos por otro usuario entrarías fácilmente a la bandeja de entrada de dicho usuario.

Y es que no sería nada raro que, ¿peritaje informático? Un peritaje informático en los servidores para identificar pruebas de accesos no autorizados, encontraría que, LexNET ha sido un bufet libre.

¿Cuánto ha costado la aplicación de LexNET?

La aplicación de LexNET es muy vieja, desconozco cuándo nació exactamente. Estaba desarrollada en C++ y en el año 2011 se presentó la nueva versión en Java.

Según la resolución firmada por Esther Arizmendi Gutiérrez a la solicitud de una persona que desconozco su nombre:

En la resolución indica: la aplicación LexNET ha costado seis millones cuatrocientos veintiséis,  cuatrocientos sesenta y cuatro euros con cuatro céntimos desde el veintitrés de agosto de 2010 hasta el 31 de agosto de 2016.

¿Quién ha desarrollado la aplicación de LexNET?

Tengo que reconocer que sin la resolución escrita por el Consejo de Transparencia y Buen Gobierno y un comentario escrito en un artículo de un blog llamado “Lexnet 7 pecados capitales“, habría sido complicado encontrar la empresa que desarrolló LexNET.

comentario-isdefe

En un principio, todo apuntaba hacia la empresa Novasoft Corporación Empresarial S.L presidida hasta el 19 de noviembre de 2012 por Francisco José Barrionuevo Canto – coincidiendo las fechas con la cesión que le concede SADESI.

Él ha sido investigado por la fiscalia de anticorrupción porque consideran que  incurrió en un delito de malversación de caudales públicos por varias supuestas irregularidades, piden 6 años de cárcel. No he encontrado información sobre la sentencia.

Novasoft responsable de la configuración e implementación de LexNET, tal como aparece en su página web, durante los meses de septiembre y octubre de 2011:

  • SADESI concede a Novasoft el ‘Servicio de Despliegue, Configuración, Formación y Soporte a la Implantación Lexnet en Juzgados y Colegios de Procuradores de la Comunidad Autónoma de Andalucía’.
  • La empresa RED.es otorga a Novasoft los ‘Servicios para la implantación de Lexnet en la Administración de Justicia de la Comunidad Valenciana’.
  • La Diputación Provincial de Granada concede a la empresa Novasoft la ‘Implantación y Formación del Sistema de Notificaciones LEXNET en Juzgados y Colegios de Procuradores de la Comunidad Autónoma Andaluza’.

Sin embargo, Novasoft no es la desarrolladora de la aplicación y para conseguir ese dato deberemos leer detenidamente, como capítulos de Juegos de Tronos se tratara, el documento que escribe Doña Maria Esther Arizmendi Targaryen (presidenta del Consejo de Transparencia y Buen Gobierno) y Don Antonio Dorado Lannister (secretario general de la Administración de Justicia).

INGENIERÍA DE SISTEMAS PARA LA DEFENSA DE ESPAÑA S.A, ISDEFE. Esa es la empresa pública, propiedad del Ministerio de Defensa Española que ha colaborado en desarrollado LexNET por un valor de 6.426.464,04 € ¿será así?.

Obtenido ya esta información, observamos que en la web de ISDEFE encontramos un formulario de las licitaciones abiertas, desérticas y adjudicaciones de subcontrataciones donde estará la empresa que realmente realizó el desarrollo o parte de él.

La aplicación de licitaciones de ISDEFE

Me dispuse a crear un bot que automaticamente descargará todos los pliegos e información de las adjudicaciones pero empezaron los problemas. NO FUNCIONA. El bot perfectamente, si no, los PDFs de los pliegos y licitaciones. Entonces decido buscar en Google usando el siguiente dork:

dork-lici-isdefe

Encontrando los siguientes documentos públicos, muchos usando la caché de Google porque actualmente (28/07/2017) no están operativos:

  • Listado de contrataciones mayores de 18.000 € de 2014, 2015 y 2016
  • Dossieres anuales donde aparece el proyecto de LexNET

No encontré ningún listado anterior a 2014.

11-06-2015-i-nercya17-09-2014-AVALON19-10-2015-AVALON

Los datos que aparecen son:

  • La empresa AVALON TECNOLOGÍAS DE LA INFORMACIÓN S.L fue adjudicada en 2 ocasiones por un total de 403.200,00 € y 23.040,00€ en los años 2014 y 2015
  • La empresa I-NERCYA INTELLIMENT SOFTWARE S.L fue adjudicada en 1 ocasión por la cantidad de 53.240,00€ en el año 2015
  • Recordamos que no he podido encontrar los años anteriores a 2014 o no existen

Conclusiones

Las conclusiones se las dejo a los lectores, existen un maravilloso formulario abajo donde pueden exponer su opinión o conclusiones. Simplemente decir, antes de nada que, desde el siguiente enlace podrás descargar toda la documentación que he encontrado:

https://www.dropbox.com/s/6rdfqpyob5a7qm0/BotEnTriana-JDT-LEXNET.rar?dl=0

Las fuentes utilizadas en el este artículo son:

  • Solicitud de acceso a información pública. Expediente 001-005871
  • Resolución de la anterior solicitud. Enlace.
  • Listado de adjudicaciones de la empresa Novasoft
  • Página web de ISDEFE
  • Aplicación creada para la investigación por QuantiKa14 llamada DanteGates
  • Dossieres de ISDEFE
  • Listado de adjudicaciones de 2014, 2015 y 2016

PD:¿Dónde están los 6 millones y medio?

Un saludo.

Donde esté un Trianero está Triana.

 

 

Advertisements

4 comments

  1. Pablo · July 29

    Fantástica investigación. A mi me llama mucho la atención porque con Wannacry se abrían telediarios y esto está quedando soterrado. Es muy probable que cierta gente haya accedido a sumarios a discreción. Esto pasa en USA y a Trump ya tendría su Watergate. Pero ya sabemos que Spain is different….

    Like

  2. serlio · July 31

    En la Plataforma de Contratación del Estado tienes todos (en teoría) los contratos de ISDEFE, con los pliegos, adjudicatarios, etc.
    https://contrataciondelestado.es/wps/portal/!ut/p/b0/04_Sj9CPykssy0xPLMnMz0vMAfIjU1JTC3Iy87KtClKL0jJznPPzSooSSxLzSlL1w_Wj9KMyU5wK9CMrTXMD8sIzfA3yLWz1C3JzHQE0cKRy/
    Arriba a la izquierda tienes una pestaña “Licitaciones” con un buscador. Ya te adelanto que poniendo “Lexnet” en el objeto del contrato no sale nada, pero si por ejemplo pones “justicia” salen unos cuantos.

    Like

    • Jorge Websec · July 31

      Gracias por tu comentario.
      Ya lo miré, la cuestión es que sigue sin aparecer gran cosa.
      Yo solo encontré una adjudicación de 388 mil euros a ISDEFE el 7/07/2017
      Además aunque aparecieran las adjudicaciones a ISDEFE, éste actua como muro opaco que no sabemos muy bien hacia donde ha ido el dinero.

      Like

  3. Rafael Cerrato Castellote · July 31

    Sólo un detalle:
    http://www.satec.es/es-ES/NuestraActividad/CasosdeExito/Paginas/ProyectoLEXNET.aspx
    Para el que pueda interesar. Puede que sea en años anteriores a 2011, eso no lo sé.
    Enhorabuena por la investigación en cualquier caso.

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s