Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Por qué es tan fácil entrar en un correo como el del juez Marchena

El Poder Judicial investiga la intrusión en el mail del magistrado encargado del 'procés'

correo juez marchena
El juez Manuel Marchena interviene durante el juicio del 'procés'.

El Consejo General del Poder Judicial (CGPJ) investiga una brecha de seguridad en las cuentas del correo electrónico oficial de los jueces del Procés. El origen de la brecha es la aparición en Twitter de mensajes de la bandeja de entrada del juez Manuel Marchena. Anonymous Catalonia, el grupo que ha reivindicado el ataque, dice luchar por "la libertad de expresión y la independencia de internet de forma anónima". Los mensajes recibidos por Marchena que se han publicado son anodinos, simples convocatorias y mensajes informativos.

Anonymous Catalonia dice no haber encontrado ningún tipo de información sensible sobre las deliberaciones de la sentencia del juicio del Procés entre los correos del presidente del tribunal. En sus mensajes en Twitter se han limitado a bromear sobre la falta de ciberseguridad en el poder judicial por la facilidad con la que han entrado en la cuenta del juez y de al menos otro magistrado.

El grupo ha revelado en otra de sus cuentas en la app de mensajería Telegram algunos detalles más sobre cómo han podido acceder a la cuenta oficial del juez. El primer paso fue averiguar su dirección exacta de correo electrónico. Una simple búsqueda en Google no permite localizar el email del magistrado.

En una conversación con EL PAÍS, un miembro de Anonymous Catalonia ha admitido que encontraron varias de sus direcciones de correo electrónico entre los mensajes enviados por otro juez, sin especificar cuál. Un colega de profesión habría usado varias direcciones personales de Marchena para enviarle un mensaje y asegurarse de que le llegara. Anonymous Catalonia logró por tanto entrar en al menos dos correos de magistrados.

Anonymous Catalonia publicó de manera protegida –mm*****@****.com, por ejemplo– varios ejemplos de las direcciones de Marchena. A continuación fueron a una base de datos pública donde se recopilan millones de cuentas de todo el mundo que han sido hackeadas alguna vez en robos masivos de datos en redes sociales o cualquier tipo de servicio por internet. Anonymous ha compartido con EL PAIS una de las direcciones de Marchena, que se vio afectada en cinco de esos robos masivos. El grupo clandestino ha pedido a este periódico que no revele esa dirección, lo que indicaría que tienen una mayor preocupación por la privacidad de la que parece. Una vez se ha comprobado que una cuenta de correo fue filtrada junto a su contraseña, conseguir cuál es exactamente es un paso que no requiere sofisticados conocimientos de programación.

Nada de esto hubiera ocurrido si los jueces hubieran seguido uno de los consejos más repetidosde la seguridad en internet: no usar la misma contraseña en dos servicios. Siempre según el relato de Anonymous, probaron en la cuenta oficial de Marchena una de sus contraseñas viejas de 7 caracteres y que se refería a un ser querido. Y funcionó.

Desde el Centro Criptológico Nacional, que se encarga de la seguridad de estas cuentas, no confirman ni desmienten si el acceso ilegítimo se ha producido así. También se habían levantado sospechas sobre la intromisión en cuentas de los fiscales del 'procés', pero fuentes de Justicia niegan que sus especialistas hayan detectado nada raro.

El problema realmente grave hubiera sido que allí hubieran encontrado deliberaciones reales. Pero no ocurrió.

La sensación por un acceso tan burdo a la cuenta de Marchena puede ser la falta de finura en ciberseguridad. ¿Cómo puede ser que la cuenta de una figura que está en el centro de uno de los casos más importantes de España sea tan fácilmente accesible? Es probable que haya habido descuidos. Pero el problema realmente grave hubiera sido que allí hubieran encontrado deliberaciones reales. Lo que no ha ocurrido.

“Podría ser que un especialista en ciberseguridad les haya aconsejado que información muy sensible se mantenga deliberadamente al margen de los canales electrónicos habituales. Porque es información que mucha gente quiere conseguir”, dice Enric Luján, profesor de Ciencia Política especializado en tecnología y privacidad de la Universidad de Barcelona y miembro del grupo Críptica. Es posible que el mejor modo para evitar que salgan a la luz mensajes secretos entre altos cargos de un Estado no sea que controlen sus contraseñas. Es más sencillo que no usen esos canales para hablar de nada comprometido.

La web donde van a morir todas las cuentas

Las cuentas de correo que se han visto expuestas en filtrados masivos de datos acaban siempre volcadas por esquinas oscuras de internet. De allí las recogen y ordenan en la web “Have I Been Pwned?” “Pwned” es un derivado de “owned”, que significa “derrotado” o “humillado” en entornos de videojuegos. Aquí se usa en el sentido de alguien a quien le han birlado el acceso a su cuenta. En haveibeenpwned.com se pueden buscar todas las cuentas —y saber si la contraseña también, aunque allí no puede consultarse— que han sido perdidas en hackeos masivos como los sufridos por LinkedIn, Yahoo, Dropbox, Tumblr o Adobe. Desde ahora sabemos que entre esos casi 8.000 millones de cuentas, hay al menos una del juez Marchena.

Se adhiere a los criterios de The Trust Project Más información >

Más información