Un análisis técnico reveló que el sistema del Poder Judicial utiliza HTTP, un protocolo inseguro que expone el tráfico de datos a posibles interceptores
El ingeniero uruguayo Danilo Espino publicó un análisis en redes sociales donde advierte una serie de fragilidades en la web del Poder Judicial.
Una de ellas indica que el visor de expedientes del Poder Judicial funciona bajo el protocolo HTTP. Esto significa que la información que viaja entre el usuario y el servidor del Poder Judicial no está cifrada. En otras palabras, los datos se transmiten en formato legible y pueden ser interceptados o alterados si alguien observa el tráfico de red.
En términos simples, cuando un sitio usa HTTP en lugar de HTTPS, los datos transmitidos —como formularios, consultas o cookies— circulan en texto claro por la red. Eso significa que cualquiera con acceso intermedio, como un proveedor de internet o alguien conectado a la misma red Wi-Fi, podría ver, copiar o modificar esa información antes de que llegue a destino. En sitios institucionales que manejan datos judiciales, esta vulnerabilidad representa un riesgo importante, incluso si la información visible parece inocua.
De hecho, cuando entrás en Google Chrome a una web que es http (y no https como la mayoría de sitios), el propio navegador te advierte: "La conexión con este sitio web no es segura. No deberías introducir información confidencial en este sitio web (por ejemplo, contraseñas o tarjetas de crédito) porque los atacantes podrían robarla".
Según explicó, este hallazgo se obtuvo solo a partir de datos públicos, sin realizar accesos no autorizados ni pruebas activas sobre los sistemas, cumpliendo con los principios éticos de la seguridad informática.
Espino subrayó que el servicio analizado no permite acceder directamente a información sensible, lo que reduce el peligro inmediato. Sin embargo, advirtió que la existencia de un servicio público sin cifrado podría reflejar debilidades más amplias en la infraestructura del Poder Judicial.
Según su análisis, la falta de HTTPS no solo implica un problema técnico, sino también una señal de políticas de seguridad insuficientes o desactualizadas dentro del sistema estatal.
El especialista explicó que exponer servicios sin cifrado incrementa las chances de ataques, es decir, las posibles puertas de entrada para ciberdelincuentes.
A través de estas brechas, un atacante podría interceptar comunicaciones, suplantar sitios legítimos o incluso utilizarlas como punto de partida para movimientos más profundos dentro de la red interna.
Espino aclaró que este tipo de vulnerabilidades no deben interpretarse como un “sitio lento” o un error menor, sino como fallos con impacto real en la confidencialidad y la integridad de la información judicial.
Además del visor de expedientes, Espino utilizó una herramienta pública que permite consultar registros de nombres de dominio (DNS). Esto significa observar cómo están configurados los 'nombres' que vinculan una dirección web con los servidores que la alojan. Es como una guía telefónica de internet: permite ver qué equipos responden detrás de un dominio. De esa forma, Espino identificó qué servidores y servicios del Poder Judicial son visibles desde internet.
El resultado mostró múltiples servidores expuestos, lo que, en sus palabras, “refuerza la sospecha de que la política de exposición podría ser laxa”. En ciberseguridad, “exposición” significa que los servicios están accesibles desde fuera de la red interna, aun cuando no deberían estarlo, lo que facilita la labor de potenciales atacantes.
El ingeniero explicó que la presencia de servicios visibles no implica necesariamente una vulneración, pero sí constituye un indicador de riesgo. Cada servidor que responde a solicitudes desde internet puede convertirse en un punto de ataque o exploración. Si esos servicios no están correctamente configurados o actualizados, se convierten en puertas de entrada que los atacantes pueden aprovechar para obtener información o comprometer sistemas más críticos.
Uno de los aspectos que Espino destacó es que la ciudadanía debería interesarse por este tipo de fallas, aunque parezcan temas técnicos. Los servicios judiciales pueden contener datos personales sensibles, como direcciones de correo electrónico, notificaciones, documentos de causas y comunicaciones entre partes. Si alguno de esos elementos fuera interceptado o modificado, el daño podría alcanzar a personas, procesos judiciales y la confianza pública en el sistema de justicia.
El ingeniero aclaró que su intención no es generar alarma, sino promover una revisión urgente de las medidas de seguridad digital del Poder Judicial. En su publicación, concluyó que es necesario auditar la infraestructura tecnológica y aplicar “medidas básicas ya".
