\n<\/p>\n
Listas de testigos y<\/span> testimonios, evaluaciones de salud mental, acusaciones detalladas de abuso y secretos comerciales corporativos. Estos son algunos de los documentos judiciales confidenciales que el investigador de seguridad Jason Parker dijo haber encontrado expuestos a la Internet abierta para que cualquiera pudiera acceder, y nada menos que de los propios poderes judiciales.<\/p>\n En el coraz\u00f3n de cualquier poder judicial se encuentra su sistema de registros judiciales, el conjunto de tecnolog\u00eda para presentar y almacenar expedientes legales para juicios penales y casos legales civiles. Los sistemas de registros judiciales suelen estar parcialmente en l\u00ednea, lo que permite a cualquier persona buscar y obtener documentos p\u00fablicos, al tiempo que restringe el acceso a expedientes legales sensibles cuya exposici\u00f3n p\u00fablica podr\u00eda comprometer un caso.<\/p>\n Pero Parker dijo que algunos sistemas de registros judiciales utilizados en Estados Unidos tienen fallas de seguridad simples que exponen documentos legales sellados, confidenciales y sensibles pero no redactados a cualquier persona en la web.<\/p>\n Parker le dijo a TechCrunch que fueron contactados en septiembre por alguien que ley\u00f3 su informe anterior que documentaba una vulnerabilidad en Bluesky, la nueva red social que surgi\u00f3 despu\u00e9s de la venta de Twitter a Elon Musk. El informante le dijo a Parker que dos sistemas de registros judiciales de EE. UU. ten\u00edan vulnerabilidades que expon\u00edan documentos legales confidenciales a cualquier persona en la web. El informante inform\u00f3 los errores a los tribunales afectados, pero dijo que no recibieron respuesta, dijo Parker a TechCrunch en una llamada a principios de este mes.<\/p>\n Equipado con los hallazgos del informante, Parker cay\u00f3 en una madriguera al investigar varios sistemas de registros judiciales afectados. Posteriormente, Parker descubri\u00f3 fallas de seguridad en al menos ocho sistemas de registros judiciales utilizados en Florida, Georgia, Mississippi, Ohio y Tennessee.<\/p>\n \u201cEl primer documento que encontr\u00e9 fue una orden de un juez en un caso de violencia dom\u00e9stica. La orden era otorgar cambios de nombre a los ni\u00f1os para b\u00e1sicamente mantenerlos a salvo del c\u00f3nyuge\u201d, dijo Parker a TechCrunch, hablando sobre la reproducci\u00f3n de la primera vulnerabilidad. \u201cInmediatamente mi mand\u00edbula se fue al centro de la tierra y permaneci\u00f3 as\u00ed durante semanas\u201d.<\/p>\n \u201cEl siguiente documento que encontr\u00e9 en el otro juzgado fue una evaluaci\u00f3n completa de salud mental. Ten\u00eda treinta p\u00e1ginas en un caso penal y era tan detallado como cabr\u00eda esperar; Era de un m\u00e9dico\u201d, agregaron.<\/p>\n Los errores var\u00edan seg\u00fan la complejidad, pero todos podr\u00edan ser explotados por cualquiera que utilice \u00fanicamente las herramientas de desarrollo integradas en cualquier navegador web, dijo Parker.<\/p>\n Este tipo de errores llamados \u00abdel lado del cliente\u00bb se pueden explotar con un navegador porque un sistema afectado no estaba realizando las comprobaciones de seguridad adecuadas para determinar qui\u00e9n tiene permiso para acceder a los documentos confidenciales almacenados en \u00e9l.<\/p>\n Uno de los errores era tan f\u00e1cil de explotar como incrementar el n\u00famero de un documento en la barra de direcciones del navegador de un sistema de registros judiciales de Florida, dijo Parker. Otro error permiti\u00f3 a cualquier persona acceder \u00abautom\u00e1ticamente sin contrase\u00f1a\u00bb a un sistema de registros judiciales agregando un c\u00f3digo de seis letras a cualquier nombre de usuario, que Parker dijo que encontraron como un enlace en el que se pod\u00eda hacer clic en un resultado de b\u00fasqueda de Google.<\/p>\n Con la ayuda del centro de divulgaci\u00f3n de vulnerabilidades CERT\/CC y el equipo de Divulgaci\u00f3n Coordinada de Vulnerabilidades de CISA, que ayud\u00f3 en la coordinaci\u00f3n de la divulgaci\u00f3n de estas fallas, Parker comparti\u00f3 detalles de nueve vulnerabilidades en total con los proveedores y poderes judiciales afectados en un esfuerzo por solucionarlas.<\/p>\n Lo que se obtuvo fue una mezcla de resultados.<\/p>\n Tres proveedores de tecnolog\u00eda arreglaron los errores en sus respectivos sistemas de registros judiciales, dijo Parker, pero s\u00f3lo dos empresas confirmaron a TechCrunch que las correcciones surtieron efecto.<\/p>\n Catalis, una empresa de software de tecnolog\u00eda gubernamental que fabrica CMS360, un sistema de registros judiciales utilizado por los poderes judiciales en Georgia, Mississippi, Ohio y Tennessee, reconoci\u00f3 la vulnerabilidad en una \u00abaplicaci\u00f3n secundaria separada\u00bb utilizada por algunos sistemas judiciales que permite al p\u00fablico, abogados o jueces para buscar datos de CMS360.<\/p>\n \u00abNo tenemos registros ni registros que indiquen que se haya accedido a datos confidenciales a trav\u00e9s de esa vulnerabilidad, y no hemos recibido tales informes o pruebas\u00bb, dijo el ejecutivo de Catalis, Eric Johnson, en un correo electr\u00f3nico a TechCrunch. Catalis no dijo expl\u00edcitamente si mantiene los registros espec\u00edficos que necesitar\u00eda para descartar el acceso indebido a documentos judiciales confidenciales.<\/p>\n La empresa de software Tyler Technologies dijo que solucion\u00f3 vulnerabilidades en su m\u00f3dulo Case Management Plus en un sistema de registros judiciales utilizado exclusivamente en Georgia, dijo la empresa a TechCrunch.<\/p>\n \u00abHemos estado en comunicaci\u00f3n con el investigador de seguridad y hemos confirmado las vulnerabilidades\u00bb, dijo la portavoz de Tyler, Karen Shields. \u00abEn este momento, no tenemos evidencia de descubrimiento o explotaci\u00f3n por parte de un mal actor\u00bb. La empresa no dijo c\u00f3mo lleg\u00f3 a esta conclusi\u00f3n.<\/p>\n Parker dijo que Henschen & Associates, un fabricante local de software de Ohio que proporciona un sistema de registros judiciales llamado CaseLook en todo el estado, solucion\u00f3 la vulnerabilidad pero no respondi\u00f3 a los correos electr\u00f3nicos. El presidente de Henschen, Bud Henschen, tampoco respondi\u00f3 a los correos electr\u00f3nicos de TechCrunch ni confirm\u00f3 que la compa\u00f1\u00eda hab\u00eda solucionado el error.<\/p>\n En su divulgaci\u00f3n publicada el jueves, Parker tambi\u00e9n dijo que notificaron a cinco condados de Florida a trav\u00e9s de la oficina del administrador de los tribunales estatales. Se cree que los cinco tribunales de Florida han desarrollado sus propios sistemas de registros judiciales internamente.<\/p>\n Se sabe que solo un condado solucion\u00f3 la vulnerabilidad encontrada en su sistema y descart\u00f3 el acceso inadecuado a registros judiciales confidenciales.<\/p>\n Una foto del juzgado del condado de Sarasota en Florida, uno de los poderes judiciales con un sistema de registros judiciales afectado. Cr\u00e9ditos de imagen: <\/strong>Servicio de im\u00e1genes independiente \/ Universal Images Group a trav\u00e9s de Getty.<\/p>\n<\/div>\n El condado de Sarasota dijo que hab\u00eda solucionado una vulnerabilidad en su sistema de registros judiciales al que llama ClerkNet, que permit\u00eda el acceso a documentos incrementando n\u00fameros de documentos num\u00e9ricamente secuenciales. En una carta proporcionada a TechCrunch cuando fue contactada para hacer comentarios, la secretaria del tribunal de circuito del condado de Sarasota, Karen Rushing, dijo que la revisi\u00f3n de sus registros de acceso \u00abno revel\u00f3 ning\u00fan incidente en el que se haya accedido a informaci\u00f3n sellada o confidencial\u00bb. El condado cuestion\u00f3 la existencia de un segundo defecto informado por Parker.<\/p>\n Dada la simplicidad de algunas de las vulnerabilidades, es poco probable que Parker o el informante original sean las \u00fanicas personas con conocimiento de su explotabilidad.<\/p>\n Los cuatro condados restantes de Florida a\u00fan tienen que reconocer las fallas, decir si implementaron correcciones o confirmar si tienen la capacidad de determinar si alguna vez se accedi\u00f3 a registros confidenciales.<\/p>\n El condado de Hillsborough, que incluye Tampa, no dijo si sus sistemas fueron parcheados luego de la divulgaci\u00f3n de Parker. En una declaraci\u00f3n, el portavoz del Secretario del Condado de Hillsborough, Carson Chambers, dijo: \u201cLa confidencialidad de los registros p\u00fablicos es una de las principales prioridades de la oficina del Secretario del Condado de Hillsborough. Existen m\u00faltiples medidas de seguridad para garantizar que los registros judiciales confidenciales solo puedan ser vistos por usuarios autorizados. Implementamos constantemente las \u00faltimas mejoras de seguridad en los sistemas Clerk para impedir que esto suceda\u201d.<\/p>\n El condado de Lee, que cubre Fort Myers y Cape Coral, tampoco dijo si hab\u00eda solucionado la vulnerabilidad, pero dijo que se reservaba el derecho de emprender acciones legales contra el investigador de seguridad.<\/p>\n Cuando se le contact\u00f3 para hacer comentarios, el portavoz del condado de Lee, Joseph Abreu, proporcion\u00f3 una declaraci\u00f3n repetitiva id\u00e9ntica a la del condado de Hillsborough, con la adici\u00f3n de una amenaza legal apenas velada. \u00abInterpretamos cualquier acceso no autorizado, intencional o no, como una posible violaci\u00f3n del Cap\u00edtulo 815 del Estatuto de Florida, y tambi\u00e9n puede resultar en un litigio civil por parte de nuestra oficina\u00bb.<\/p>\n Los representantes del condado de Monroe y del condado de Brevard, ante quienes Parker tambi\u00e9n present\u00f3 divulgaciones de vulnerabilidad, no respondieron a las solicitudes de comentarios.<\/p>\n Para Parker, su investigaci\u00f3n equivale a cientos de horas no remuneradas, pero representa solo la punta del iceberg de los sistemas de registros judiciales afectados, y se\u00f1ala que al menos otros dos sistemas de registros judiciales tienen vulnerabilidades similares sin parches en la actualidad.<\/p>\n Parker dijo que esperan que sus hallazgos ayuden a realizar cambios y estimular mejoras en la seguridad de las aplicaciones tecnol\u00f3gicas gubernamentales. \u201cLa tecnolog\u00eda gubernamental no funciona\u201d, dijeron.<\/p>\n Lea m\u00e1s en TechCrunch:<\/strong><\/p>\n Puede comunicarse con Zack Whittaker en Signal y WhatsApp al +1 646-755-8849 o por correo electr\u00f3nico. Tambi\u00e9n puede ponerse en contacto con TechCrunch a trav\u00e9s de SecureDrop.<\/em><\/p>\n<\/p><\/div>\n