Listas de testigos y testimonios, evaluaciones de salud mental, acusaciones detalladas de abuso y secretos comerciales corporativos. Estos son algunos de los documentos judiciales confidenciales que el investigador de seguridad Jason Parker dijo haber encontrado expuestos a la Internet abierta para que cualquiera pudiera acceder, y nada menos que de los propios poderes judiciales.
En el corazón de cualquier poder judicial se encuentra su sistema de registros judiciales, el conjunto de tecnología para presentar y almacenar expedientes legales para juicios penales y casos legales civiles. Los sistemas de registros judiciales suelen estar parcialmente en línea, lo que permite a cualquier persona buscar y obtener documentos públicos, al tiempo que restringe el acceso a expedientes legales sensibles cuya exposición pública podría comprometer un caso.
Pero Parker dijo que algunos sistemas de registros judiciales utilizados en Estados Unidos tienen fallas de seguridad simples que exponen documentos legales sellados, confidenciales y sensibles pero no redactados a cualquier persona en la web.
Parker le dijo a TechCrunch que fueron contactados en septiembre por alguien que leyó su informe anterior que documentaba una vulnerabilidad en Bluesky, la nueva red social que surgió después de la venta de Twitter a Elon Musk. El informante le dijo a Parker que dos sistemas de registros judiciales de EE. UU. tenían vulnerabilidades que exponían documentos legales confidenciales a cualquier persona en la web. El informante informó los errores a los tribunales afectados, pero dijo que no recibieron respuesta, dijo Parker a TechCrunch en una llamada a principios de este mes.
Equipado con los hallazgos del informante, Parker cayó en una madriguera al investigar varios sistemas de registros judiciales afectados. Posteriormente, Parker descubrió fallas de seguridad en al menos ocho sistemas de registros judiciales utilizados en Florida, Georgia, Mississippi, Ohio y Tennessee.
“El primer documento que encontré fue una orden de un juez en un caso de violencia doméstica. La orden era otorgar cambios de nombre a los niños para básicamente mantenerlos a salvo del cónyuge”, dijo Parker a TechCrunch, hablando sobre la reproducción de la primera vulnerabilidad. “Inmediatamente mi mandíbula se fue al centro de la tierra y permaneció así durante semanas”.
“El siguiente documento que encontré en el otro juzgado fue una evaluación completa de salud mental. Tenía treinta páginas en un caso penal y era tan detallado como cabría esperar; Era de un médico”, agregaron.
Los errores varían según la complejidad, pero todos podrían ser explotados por cualquiera que utilice únicamente las herramientas de desarrollo integradas en cualquier navegador web, dijo Parker.
Este tipo de errores llamados «del lado del cliente» se pueden explotar con un navegador porque un sistema afectado no estaba realizando las comprobaciones de seguridad adecuadas para determinar quién tiene permiso para acceder a los documentos confidenciales almacenados en él.
Uno de los errores era tan fácil de explotar como incrementar el número de un documento en la barra de direcciones del navegador de un sistema de registros judiciales de Florida, dijo Parker. Otro error permitió a cualquier persona acceder «automáticamente sin contraseña» a un sistema de registros judiciales agregando un código de seis letras a cualquier nombre de usuario, que Parker dijo que encontraron como un enlace en el que se podía hacer clic en un resultado de búsqueda de Google.
Con la ayuda del centro de divulgación de vulnerabilidades CERT/CC y el equipo de Divulgación Coordinada de Vulnerabilidades de CISA, que ayudó en la coordinación de la divulgación de estas fallas, Parker compartió detalles de nueve vulnerabilidades en total con los proveedores y poderes judiciales afectados en un esfuerzo por solucionarlas.
Lo que se obtuvo fue una mezcla de resultados.
Tres proveedores de tecnología arreglaron los errores en sus respectivos sistemas de registros judiciales, dijo Parker, pero sólo dos empresas confirmaron a TechCrunch que las correcciones surtieron efecto.
Catalis, una empresa de software de tecnología gubernamental que fabrica CMS360, un sistema de registros judiciales utilizado por los poderes judiciales en Georgia, Mississippi, Ohio y Tennessee, reconoció la vulnerabilidad en una «aplicación secundaria separada» utilizada por algunos sistemas judiciales que permite al público, abogados o jueces para buscar datos de CMS360.
«No tenemos registros ni registros que indiquen que se haya accedido a datos confidenciales a través de esa vulnerabilidad, y no hemos recibido tales informes o pruebas», dijo el ejecutivo de Catalis, Eric Johnson, en un correo electrónico a TechCrunch. Catalis no dijo explícitamente si mantiene los registros específicos que necesitaría para descartar el acceso indebido a documentos judiciales confidenciales.
La empresa de software Tyler Technologies dijo que solucionó vulnerabilidades en su módulo Case Management Plus en un sistema de registros judiciales utilizado exclusivamente en Georgia, dijo la empresa a TechCrunch.
«Hemos estado en comunicación con el investigador de seguridad y hemos confirmado las vulnerabilidades», dijo la portavoz de Tyler, Karen Shields. «En este momento, no tenemos evidencia de descubrimiento o explotación por parte de un mal actor». La empresa no dijo cómo llegó a esta conclusión.
Parker dijo que Henschen & Associates, un fabricante local de software de Ohio que proporciona un sistema de registros judiciales llamado CaseLook en todo el estado, solucionó la vulnerabilidad pero no respondió a los correos electrónicos. El presidente de Henschen, Bud Henschen, tampoco respondió a los correos electrónicos de TechCrunch ni confirmó que la compañía había solucionado el error.
En su divulgación publicada el jueves, Parker también dijo que notificaron a cinco condados de Florida a través de la oficina del administrador de los tribunales estatales. Se cree que los cinco tribunales de Florida han desarrollado sus propios sistemas de registros judiciales internamente.
Se sabe que solo un condado solucionó la vulnerabilidad encontrada en su sistema y descartó el acceso inadecuado a registros judiciales confidenciales.
Una foto del juzgado del condado de Sarasota en Florida, uno de los poderes judiciales con un sistema de registros judiciales afectado. Créditos de imagen: Servicio de imágenes independiente / Universal Images Group a través de Getty.
El condado de Sarasota dijo que había solucionado una vulnerabilidad en su sistema de registros judiciales al que llama ClerkNet, que permitía el acceso a documentos incrementando números de documentos numéricamente secuenciales. En una carta proporcionada a TechCrunch cuando fue contactada para hacer comentarios, la secretaria del tribunal de circuito del condado de Sarasota, Karen Rushing, dijo que la revisión de sus registros de acceso «no reveló ningún incidente en el que se haya accedido a información sellada o confidencial». El condado cuestionó la existencia de un segundo defecto informado por Parker.
Dada la simplicidad de algunas de las vulnerabilidades, es poco probable que Parker o el informante original sean las únicas personas con conocimiento de su explotabilidad.
Los cuatro condados restantes de Florida aún tienen que reconocer las fallas, decir si implementaron correcciones o confirmar si tienen la capacidad de determinar si alguna vez se accedió a registros confidenciales.
El condado de Hillsborough, que incluye Tampa, no dijo si sus sistemas fueron parcheados luego de la divulgación de Parker. En una declaración, el portavoz del Secretario del Condado de Hillsborough, Carson Chambers, dijo: “La confidencialidad de los registros públicos es una de las principales prioridades de la oficina del Secretario del Condado de Hillsborough. Existen múltiples medidas de seguridad para garantizar que los registros judiciales confidenciales solo puedan ser vistos por usuarios autorizados. Implementamos constantemente las últimas mejoras de seguridad en los sistemas Clerk para impedir que esto suceda”.
El condado de Lee, que cubre Fort Myers y Cape Coral, tampoco dijo si había solucionado la vulnerabilidad, pero dijo que se reservaba el derecho de emprender acciones legales contra el investigador de seguridad.
Cuando se le contactó para hacer comentarios, el portavoz del condado de Lee, Joseph Abreu, proporcionó una declaración repetitiva idéntica a la del condado de Hillsborough, con la adición de una amenaza legal apenas velada. «Interpretamos cualquier acceso no autorizado, intencional o no, como una posible violación del Capítulo 815 del Estatuto de Florida, y también puede resultar en un litigio civil por parte de nuestra oficina».
Los representantes del condado de Monroe y del condado de Brevard, ante quienes Parker también presentó divulgaciones de vulnerabilidad, no respondieron a las solicitudes de comentarios.
Para Parker, su investigación equivale a cientos de horas no remuneradas, pero representa solo la punta del iceberg de los sistemas de registros judiciales afectados, y señala que al menos otros dos sistemas de registros judiciales tienen vulnerabilidades similares sin parches en la actualidad.
Parker dijo que esperan que sus hallazgos ayuden a realizar cambios y estimular mejoras en la seguridad de las aplicaciones tecnológicas gubernamentales. “La tecnología gubernamental no funciona”, dijeron.
Lea más en TechCrunch:
Puede comunicarse con Zack Whittaker en Signal y WhatsApp al +1 646-755-8849 o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.