11:00 Sostuvo que se usan contraseñas simples y que el mecanismo presenta vulnerabilidades; se hicieron tres peritajes
Por: Maia Jastreblansky
Información sensible al alcance de la mano, contraseñas de baja seguridad y la posibilidad de jugarle trucos al azar. La Auditoría General de la Nación (AGN) elaboró un informe crítico sobre el software que sortea y adjudica causas a los juzgados, uno de los pilares para garantizar la independencia de la Justicia. Con su trabajo, el organismo de control que depende del Congreso hizo sonar una alarma y tocó una fibra sensible del Poder Judicial.
“El sistema presenta vulnerabilidades que resultan explotables para la eventual ejecución maliciosa, con riesgo para la confiabilidad y la confidencialidad de los datos”, señala el informe, de 57 páginas, al que accedió LA NACION, elaborado por el Departamento de Auditoría Informática de la AGN.
El trabajo fue encargado por el propio Consejo de la Magistratura, que reaccionó luego de que la jueza federal María Servini avanzó con una causa penal que investiga el Sistema de Gestión Judicial, conocido por todos como Lex 100.
La magistrada hizo una pesquisa técnica que detectó vulnerabilidades en el bolillero electrónico que sortea las causas y notificó sus hallazgos al Consejo y a la Corte Suprema. Ambos cuerpos administran el sistema, si bien el control de los datos corresponde al máximo tribunal.
El Lex 100 se implementó gradualmente a partir de 2012. El año pasado, cuando comenzaron las primeras señales de alarma, el Consejo de la Magistratura impulsó una reestructuración de las áreas de Tecnología y Seguridad Informática. En paralelo, ordenó hacer tres auditorías: una a la Sigen, otra a la AGN y una tercera a un nuevo cuerpo, la Unidad de Auditoría Informática que depende del propio Consejo.
Según pudo conocer la nacion, esos trabajos fueron terminados, y quedaron a disposición de los consejeros, con carácter reservado. La Dirección de Tecnología y la de Seguridad Informática deberán ahora remitir un informe que tome como base las consideraciones de las auditorías de los organismos de control. “Se deberán instrumentar de modo inmediato todas las medias para superar las observaciones que plantean los informes”, planteó el Consejo de la Magistratura.
Debilidades
Para elaborar su informe, la AGN hizo un trabajo de campo entre marzo y octubre de este año. Con lenguaje técnico, los expertos manifestaron que el módulo de asignación de causas “cuenta con una serie de funcionalidades sensibles”. “Su utilización inapropiada podría sesgar el resultado de una asignación, aunque esas funcionalidades no están disponibles en todos los fueros”, explicaron.
Entre otros puntos débiles, encontraron “la existencia de la opción «inhibir oficinas», que permite sesgar el resultado de un sorteo” y “la posibilidad de resortear una causa un número indeterminado de veces sin que el sistema exija autorización de instancias superiores”.
No en todos los fueros se utiliza el mismo mecanismo para hacer los sorteos. En general, los sorteos atienden a la compensación de carga de trabajo, haciendo que ingresen al bolillero los juzgados con menor stock de causas. En algunos fueros, puede ocurrir que no intervenga el azar y que se asigne a un único juzgado.
Distinto es el caso de Comodoro Py, donde se investigan las causas más sensibles para el espectro político. Allí se aplica un algoritmo más complejo porque la regla principal es que nunca puede haber menos de tres juzgados por sorteo. El sistema atiende principalmente a la aleatoriedad y secundariamente a la compensación por carga de trabajo. Así, el sistema elige automáticamente los tres jueces que menos denuncias tienen en su stock. El número de bolillas puede ampliarse sólo si no se cumple con esa premisa.
Los auditores de la AGN señalaron que “la administración de los usuarios del Lex 100 presenta debilidades significativas”. Citaron como ejemplo que el mecanismo para darse de alta en el sistema “consiste en el envío de un mail”, al tiempo que “la asignación de contraseñas es realizada de forma manual por los administradores, lo que eventualmente permite asumir el perfil de cualquier usuario y operar en su nombre”.
Además, las contraseñas no son seguras, “lo que las hace vulnerables a métodos automatizados de combinaciones para encontrar la correcta”. El peritaje de Servini había arrojado que varias personas utilizaban un mismo usuario para ingresar al sistema de sorteos y que se implementaron contraseñas de baja complejidad, como “pjn123”, en muchos casos.
La AGN, por su parte, alertó que algunas personas que tienen determinados accesos al sistema “acceden de modo irrestricto a datos sensibles sobre las causas”. Entre ellas, el personal de desarrollo y de soporte a usuarios y aquellos que cuentan con perfil de “administrador”, que cuenta con “privilegios excesivos”.
La AGN alertó que “la función asignación de causas presenta bajo rendimiento en horas del mediodía”, cuando el sistema “cae”.
“Hay debilidades que comprometen la gobernanza del Sistema de Gestión Judicial, un elemento crítico para el Poder Judicial de la Nación”, concluyó. (La Nación)
