Un usuario, capaz de modificar la base de datos del sistema judicial SATJE, afectó el sorteo automático de jueces para que las causas recaigan sobre un determinado magistrado y secretario. Aunque las máximas autoridades de los departamentos tecnológicos de la Judicatura supieron de su existencia, lo dejaron operar dentro de la herramienta informática más importante del sistema judicial ecuatoriano.
Desde un computador en una ubicación no determinada, un usuario llamado ‘UxxTJx20x4’ realizó, entre 2019 y 2022, ingresos no autorizados a la base de datos del Sistema Automático de Trámite Judicial Ecuatoriano (SATJE). Aunque las más altas autoridades a cargo de los sistemas informáticos del Consejo de la Judicatura supieron de su existencia, solo tras la llegada de los auditores de la Contraloría bloquearon a ese operador ‘fantasma’.
El SATJE es la herramienta informática más importante del sistema judicial ecuatoriano. Permite el sorteo de las causas que llegan a las unidades judiciales, su seguimiento desde la recepción hasta su resolución, notificaciones electrónicas; además es un registro público de los antecedentes penales y de tránsito de un ciudadano. Por este sistema circulan más de 500.000 causas de todo tipo: civiles, laborales, penales, de la familia, garantías constitucionales, etc. Lo usan todas las instancias judiciales del país, desde los juzgados hasta la Corte Nacional de Justicia.
Pero un reciente informe de la Contraloría ha revelado las vulnerabilidades de este sistema y cómo los funcionarios a cargo de los mismos no han logrado responder de manera satisfactoria a las inquietudes de los auditores. El organismo de control ha detectado, al menos, ocho tipos de irregularidades, entre los que se destaca la existencia del usuario ‘UxxTJx20x4’, que pudo ingresar al SATJE desde la red de la Unidad de Flagrancias de Guayaquil.
Este usuario intervino, principalmente, en la fase inicial del proceso judicial: el sorteo de causas. En esta etapa, el SATJE designa de manera automática el juez que tramitará un caso. El sistema prevé que el mismo sea asignado al magistrado que tenga la menor carga laboral. Pero la persona tras el usuario ‘UxxTJx20x4’ tenía la facultad de dar otras instrucciones a la base de datos.
Antes de que el SATJE efectuara un sorteo, el operador ‘fantasma’ incrementaba entre 20 a 190 el número de causas asignadas a los jueces, menos las de un determinado magistrado y secretario. Estos últimos, al quedarse con la menor cantidad de causas, el sistema les asignaba el caso. Segundos después, dice el informe, se restablecía la carga laboral a los juzgadores a su estado inicial. https://e.infogram.com/4100a477-aa20-4f2a-96aa-f97fdf2d7cc4?parent_url=https%3A%2F%2Fwww.planv.com.ec%2Fhistorias%2Fjusticia%2Fun-usuario-fantasma-opero-durante-tres-anos-el-sistema-informatico-judicial&src=embed#async_embed
La Contraloría halló esta variación de resultados en 77 causas en la provincia del Guayas, de una muestra que va desde el 27 de junio de 2019 al 10 de septiembre de 2020.
El operador actuó siempre desde un computador identificado como ‘Eng’, que no es nomenclatura regular para los nombres de equipos de la Función Judicial, que tiene 15 caracteres, según la Contraloría. Pero tenía asignado siete direcciones IP de la red de la Unidad de Flagrancias de Guayaquil. Según Fernando Torres, experto en bases de datos, esto quiere decir que el usuario ‘UxxTJx20x4’ se conectó desde siete dispositivos distintos o desde la misma computadora, pero cada vez cambió de IP. Una IP es una dirección única que identifica a un dispositivo en una red de cualquier tipo, es como su cédula.
El usuario utilizó la aplicación “microsoft sql server jdbc driver”, que sirvió de puente para ingresar a la base de datos y que no fue desarrollada por la Judicatura. ‘UxxTJx20x4’, además, era un ‘súper usuario’. Tenía privilegios de escritura sobre todos los objetos de la base de datos del SATJE, sin restricción alguna.
Esta no es la única alerta que ha existido sobre el SATJE. Angélica Porras, exvocal del Consejo de la Judicatura, cuenta que mientras estuvo en funciones (entre junio de 2018 hasta enero de 2019) llegaron dos denuncias sobre el sistema SATJE. Una de ellas tenía que ver también con el sistema de sorteos. En ese caso, el denunciante tenía dudas sobre cómo se llevó a cabo el sorteo de su caso y el informe de la investigación pasó al área de la Dirección Nacional de Gestión de Transparencia, que es la encargada de atender las denuncias ciudadanas. Desconoce en qué terminó esa queja. Y el otro, se refería a la existencia de un código que no permitía que ciertos procesos judiciales -que no entran en las limitaciones de la norma como los delitos sexuales- aparezcan en el SATJE. Pero dice que el hallazgo de la Contraloría acerca de que un acceso sistemático a la base de datos sí es nuevo.
Imagen referencial.
La Judicatura supo del ‘operador fantasma’
Este ‘operador fantasma’ fue detectado en 2020. El 14 de febrero de ese año, la Analista de Seguridad de la Información 2 envió, por correo electrónico, una alerta a los subdirectores nacionales de Seguridad de la Información y de Sistemas de Información del Consejo de la Judicatura sobre la existencia de las instrucciones no autorizadas a la base de datos. Estos funcionarios, destaca el reporte de la Contraloría, no cambiaron la contraseña de la base de datos, ni tomaron ninguna medida de seguridad inmediata.
Días antes, el 6 de febrero de ese año, la información de estas irregularidades en el sistema había llegado a los vocales del Consejo. En esa cita estuvo el Director Nacional de Tecnologías de la Información y Comunicaciones junto a los subdirectores nacionales de Seguridad de la Información y de Infraestructuras, Servicios y Telecomunicaciones, que estuvieron en esos cargos entre 2019 y 2021. En dicha reunión, los vocales dispusieron que se guarde absoluta reserva del caso y recomendaron que se presente una denuncia en la Fiscalía. En ese momento, la presidenta de la Judicatura era María del Carmen Maldonado (quien renunció en 2022) y los vocales Fausto Murillo, Juan José Morillo y Ruth Maribel Barreno (quienes siguen en funciones) y Jorge Moreno (quien dejó su cargo en noviembre de 2020).
El 28 de febrero de 2020, la Judicatura presentó la denuncia en la Fiscalía por el delito de acceso no consentido a un sistema informático. “Desde hace varios meses hemos venido notando que, existe una posible vulneración que alteraría los resultados en el módulo de sorteos del sistema informático del Consejo de la Judicatura (…)”, mencionaron los funcionarios de tecnología en el documento.
Pero la clave del usuario ‘UxxTJx20x4’ se mantuvo. En una respuesta al examen de la Contraloría, los funcionarios responsables de la seguridad del sistema aseguraron que dejaron que siga la manipulación a la base de datos por disposición verbal de los investigadores de la Fiscalía. Ellos, según cuentan, les dijeron que necesitaban reunir evidencia.
Para la Contraloría esta no fue una justificación válida. Respondió a los funcionarios que la Fiscalía debe investigar los hechos que se presumen como delitos, es decir hechos consumados. Y cuestionaron que las autoridades de la Judicatura, en especial las del área tecnológica, no tomaran medidas para mejorar la seguridad del sistema y tampoco presentaron evidencia del pedido de la Fiscalía.
El Consejo de la Judicatura compareció a la investigación previa recién el 10 de junio de 2021, es decir un año y casi cuatro meses después de la denuncia, aseguraron los funcionarios del área tecnológica observados por la Contraloría.
El usuario que tenía la facultad de cambiar la base de datos del Satje lo hizo conectándose a la red de la Unidad de Flagrancia de Guayaquil. Foto: Fiscalía General del Estado
El SATJE es la herramienta informática más importante del sistema judicial ecuatoriano. Por este sistema circulan más de 500.000 causas de todo tipo.
De igual manera, el 4 de marzo de 2021, la Dirección Nacional de Tecnologías de Información y Comunicaciones emitió el “Informe de la evaluación del proceso de sorteo de causas judiciales del Consejo de la Judicatura”. Allí menciona también que el usuario UxxTJx20x4 se estaba conectando a la base de datos y que hacía cambios en la misma para afectar el sorteo de las causas.
Pese a la alerta de la analista, la reunión con los vocales de la Judicatura, la denuncia en la Fiscalía y el informe interno, la clave del usuario UxxTJx20x4 fue modificada recién en 2022, según la Contraloría. Es decir, el ‘operador fantasma’ tuvo acceso a la base de datos del SATJE desde, al menos, el 27 de junio de 2019 hasta el 14 de marzo de 2022. En otras palabras, el operador no autorizado tuvo la libertad de cambiar la base de datos durante casi tres años.
¿Un sistema que permite operadores fantasmas?
La Contraloría informó que durante su examen al sistema informático SATJE no logró determinar el origen de las transacciones no autorizadas a la base de datos. La Directora Nacional de Tecnologías de la Información y Comunicaciones de la Judicatura informó al órgano de control que “por naturaleza del cliente servidor, no existe restricción de la Base de Datos ya que todos los clientes pueden conectarse porque se encuentran autorizados”.
Es decir, quien tenga el usuario y la clave puede ingresar al sistema y modificarlo. Pero Torres aclara que sí es posible poner restricciones a los usuarios que no estén autorizados a cambiar la base de datos. “Como administrador de la base, yo podría asignar un usuario solo con la facultad para ver la base de datos, pero no cambiarla ni editarla”, dice Torres.
Incluso, menciona, que se puede restringir el acceso para que sea solo dentro del dominio de la red del edificio del Consejo de la Judicatura o solo que se pueda acceder desde determinadas oficinas. “Si no cualquier persona pudiera conectarse a la base de datos de la Nasa y cambiarlo todo, pero ellos no dejan estas puertas abiertas y se necesita ser un gran hacker para ingresar porque existen un montón de restricciones”.
‘UxxTJx20x4’, además, era un ‘súper usuario’. Tenía privilegios de escritura sobre todos los objetos de la base de datos del SATJE, sin restricción alguna.
Para ello se puede programar un ‘firewall’, que es un software que registra todas las conexiones que tratan de llegar a un servidor, que es el que contiene la base de datos, y su principal trabajo es justamente detener conexiones indebidas. Es como un muro para esas conexiones no autorizadas. Del ‘firewall’ se encarga el administrador de la base de datos y de la red.
El equipo auditor de la Contraloría también consultó sobre las direcciones IP autorizadas. Al respecto, la Directora explicó que la asignación de una IP en la red de datos a escala nacional se realiza mediante el protocolo DHCP, que asigna de manera aleatoria una IP a un dispositivo de un grupo de IPs previamente configurado. “En consecuencia, debido a que la asignación de IPs es a un dispositivo y no a un usuario y la cual puede cambiar cada 24 horas no se cuenta con un registro de direcciones IPs asignadas a usuarios finales”, respondió la funcionaria a la Contraloría.
Los módulos del SATJE que funcionan en la arquitectura ‘cliente servidor’ se encontraron instalados en los equipos de funcionarios judiciales en 10 provincias y en la Corte Nacional de Justicia desde el año 2014. En esos equipos se utilizó el usuario ‘UxxTJx20x4’ para el acceso a la base de datos del SATJE. Tenía una clave cifrada, pero en esos equipos también estaba el archivo y el algoritmo de desencriptación.
El equipo auditor también observó que la Judicatura contaba con la herramienta Imperva, que permite detectar vulnerabilidades, actividades sospechosas y alertas de seguridad en el SATJE. Pero estas características “no fueron utilizadas en su totalidad” por tres funcionarios encargados de la seguridad de la información, incluido el jefe de esa unidad. (PLAN V)
More Stories
La revolución malograda: el libro que descubre el corazón del poder correísta
En la ‘revolución’, Los plagiadores eran homenajeados
Cómo una clínica en México me ayudó a destruir mi sistema inmunológico para tratar la esclerosis múltiple