Por qué es tan fácil entrar en un correo como el del juez Marchena

El Consejo General del Poder Judicial (CGPJ) investiga una brecha de seguridad en las cuentas del correo electrónico oficial de los jueces del Procés. El origen de la brecha es la aparición en Twitter de mensajes de la bandeja de entrada del juez Manuel Marchena. Anonymous Catalonia, el grupo que ha reivindicado el ataque, dice luchar por "la libertad de expresión y la independencia de internet de forma anónima". Los mensajes recibidos por Marchena que se han publicado son anodinos, simples convocatorias y mensajes informativos.

Anonymous Catalonia dice no haber encontrado ningún tipo de información sensible sobre las deliberaciones de la sentencia del juicio del Procés entre los correos del presidente del tribunal. En sus mensajes en Twitter se han limitado a bromear sobre la falta de ciberseguridad en el poder judicial por la facilidad con la que han entrado en la cuenta del juez y de al menos otro magistrado.

El grupo ha revelado en otra de sus cuentas en la app de mensajería Telegram algunos detalles más sobre cómo han podido acceder a la cuenta oficial del juez. El primer paso fue averiguar su dirección exacta de correo electrónico. Una simple búsqueda en Google no permite localizar el email del magistrado.

En una conversación con EL PAÍS, un miembro de Anonymous Catalonia ha admitido que encontraron varias de sus direcciones de correo electrónico entre los mensajes enviados por otro juez, sin especificar cuál. Un colega de profesión habría usado varias direcciones personales de Marchena para enviarle un mensaje y asegurarse de que le llegara. Anonymous Catalonia logró por tanto entrar en al menos dos correos de magistrados.

Anonymous Catalonia publicó de manera protegida –mm*****@****.com, por ejemplo– varios ejemplos de las direcciones de Marchena. A continuación fueron a una base de datos pública donde se recopilan millones de cuentas de todo el mundo que han sido hackeadas alguna vez en robos masivos de datos en redes sociales o cualquier tipo de servicio por internet. Anonymous ha compartido con EL PAIS una de las direcciones de Marchena, que se vio afectada en cinco de esos robos masivos. El grupo clandestino ha pedido a este periódico que no revele esa dirección, lo que indicaría que tienen una mayor preocupación por la privacidad de la que parece. Una vez se ha comprobado que una cuenta de correo fue filtrada junto a su contraseña, conseguir cuál es exactamente es un paso que no requiere sofisticados conocimientos de programación.

Desde el Centro Criptológico Nacional, que se encarga de la seguridad de estas cuentas, no confirman ni desmienten si el acceso ilegítimo se ha producido así. También se habían levantado sospechas sobre la intromisión en cuentas de los fiscales del 'procés', pero fuentes de Justicia niegan que sus especialistas hayan detectado nada raro.

El problema realmente grave hubiera sido que allí hubieran encontrado deliberaciones reales. Pero no ocurrió.

La sensación por un acceso tan burdo a la cuenta de Marchena puede ser la falta de finura en ciberseguridad. ¿Cómo puede ser que la cuenta de una figura que está en el centro de uno de los casos más importantes de España sea tan fácilmente accesible? Es probable que haya habido descuidos. Pero el problema realmente grave hubiera sido que allí hubieran encontrado deliberaciones reales. Lo que no ha ocurrido.

“Podría ser que un especialista en ciberseguridad les haya aconsejado que información muy sensible se mantenga deliberadamente al margen de los canales electrónicos habituales. Porque es información que mucha gente quiere conseguir”, dice Enric Luján, profesor de Ciencia Política especializado en tecnología y privacidad de la Universidad de Barcelona y miembro del grupo Críptica. Es posible que el mejor modo para evitar que salgan a la luz mensajes secretos entre altos cargos de un Estado no sea que controlen sus contraseñas. Es más sencillo que no usen esos canales para hablar de nada comprometido.