Los despachos de abogados en el punto de mira de los ciberdelincuentes bajo la pandemia

Los bufetes de abogados se han convertido en uno de los blancos elegidos por los ciberatacantes en los últimos años. Su papel estratégico y la cantidad de información sensible que manejan no ha pasado desapercibida.

Así quedó reflejado en el debate organizado en el Congreso Internacional de ENATIC donde intervinieron Gianluca Dantonio, socio de Deloitte y presidente de la Asociación para el Fomento de la Seguridad de la Información (ISMS Forum); Félix Barrio, gerente de Cibeseguridad de INCIBE, y Mar López, jefa del área de Ciberseguridad del Departamento de Seguridad Nacional (DSN). El debate estuvo moderado por Francisco Pérez Bes, director de derecho digital de Ecix Group.

Ante este escenario, los bufetes asumen diferentes responsabilidades. Pérez Bes señaló que iría “por la vía deontológica, una sanción del CGAE, y por la vía jurisdiccional, responsabilidad de daños de la fuga de información por daños a esos clientes”.

A la vez podría haber “responsabilidad civil por esa fuga de información y daños terceros que podrían estar cubiertos por la póliza de responsabilidad civil del colegiado. Y por la vía administrativa si hay datos personales podrían ser denunciados ante la Agencia Española de Protección de Datos (AEPD) por incumplimiento del Reglamento General de Protección de Datos (RGPD)”.

Para Paz Martín, socia directora de Legal Things Abogados hay pocas sanciones a despachos de abogados desde la AEPD.

Paz Martín, socia directora de Legal Things Abogados.

Algunas de las más recientes tienen que ver, por ejemplo, con el hecho de enviar un email a ocho destinatarios con copia en abierto, por lo que se impuso una sanción de 10.000 euros. Por enviar un burofax, 4000 euros. Este tema fue polémico porque no es en sí por haber enviado un burofax a una persona cuyos datos fueron revelados a terceros.

Junto a ellas, “reutilizar papel con datos personales, 2.000 euros (esto es más habitual de lo que creemos. Sobre todo en despachos pequeños y es muy grave). Por tirar documentación confidencial a la basura. No le impusieron multa pero sí un apercibimiento».

También aclaró que “no existen tramos de multas, tal y como teníamos con la anterior ley (la Ley Orgánica 15/1999 ya derogada). Ahora, el Reglamento General de Protección de Datos (RGPD) solo establece los máximos: 10 millones de euros o el 2% de la facturación mundial o 20 millones o el 4% en los casos muy graves. Los criterios de graduación se encuentran establecidos en el artículo 83 del RGPD y son los que pueden agravar o atenuar la sanción».

“Por ello, una brecha de seguridad no comunicada en un despacho de abogados tendrá, por el mero hecho de no haberla comunicado, una multa cuyo importe dependerá de muchos factores tales como el volumen de datos, categorías de los datos tratados, por qué se ha producido la brecha, las consecuencias para las personas, etc.”, señala.

Los abogados manejan datos sensibles

En este debate se habló de despachos de abogados y los riesgos a los que están sometidos ante este tipo de ciberataques. En España no ha trascendido que hubiera más ciberataques, “es posible que hayan abordado incidentes pero no se ha conocido nada de trascendencia”, aclara.

Los bufetes de abogados manejan mucha información y de cierto carácter sensible, sobre todo de clientes y terceros. Para Dantonio “en el caso español no hay datos recientes sobre esta iniciativa, pero en el 2020 y 2021 han sido los años que más ataques han recibido los despachos de abogados”.

A este efecto recordó que, según el portal británico Cyfor, “uno de cada cuatro despachos fue víctima de ciberataques. Con un incremento del 60% en los dos últimos años. Más de la mitad del top cien de las firmas legales sufrieron estos ciberataques a nivel mundial”.

En esta tesitura recuerda que “durante el 2020 la única forma de seguir operando era el remoto y las herramientas digitales a raíz de la pandemia. Al mismo tiempo, hicieron un uso de la nube, tecnología ‘cloud’ que permite conectarse de cualquier sitio, pero no siempre con medidas de seguridad adecuadas”.

A su juicio, “la abogacía se enfrenta a un reto, seguir ahondando en la transformación digital y por otro por la misma sensibilidad de la información que tiene, deben tener cuidado con la información que gestionan. De hecho, el 73% de las firmas del Reino Unido fueron objeto de ciberataques el año pasado”.

Riesgos de la abogacía y el teletrabajo

Por su parte, Félix Barrio, gerente de seguridad del INCIBE, reconoció que es habitual que los despachos de abogados hagan consultas al CERT para pedir ayuda en la gestión de esos incidentes de seguridad.

“Los cibercriminales han mostrado interés en atacar a este tipo de empresas de servicios profesionales. De hecho les hemos asesorado desde nuestra aplicación ‘Protege tu empresa’”.

Para este experto, “hay que darse cuenta en que en la abogacía juegan elementos sobre la disponibilidad de los datos y su confidencialidad. Los cibercriminales han ido incrementado el interés la búsqueda de fórmulas de ataque en este sector”.

«Durante la crisis por la pandemia los cibercriminales han acelerado la búsqueda de factores. Uno de estos incidentes ha sido la búsqueda de fallos en el teletrabajo. La abogacía se ha metido en el teletrabajo, pero no siempre de forma acertada. Tiene una serie de riesgos adicionales evidentes”.

Barrio recordó que en abril del 2020 el ‘Sun Institute’ alertó de cómo los cibercriminales habían incrementado la búsqueda de vulnerabilidades en el teletrabajo en un 30% respecto a meses anteriores a la pandemia».

Sobre estas líneas de izquierda a derecha: Francisco Pérez Bes, Carlos Sáiz, Mar López, Gianluca D’antonio y Félix Barrio.

“Y es que, no basta con instalar una VPN desde el domicilio en el que se trabaja, sino que es necesario que tengamos unos servicios que protejan nuestros sistemas corporativos ante la facilidad de poder encontrar agujeros en espacios domésticos, ya que es mucho mayor que en entornos corporativos”.

Este experto habla de bandas criminales y ataques muy dirigidos. “Los expertos están analizando cómo se incrementa el nivel de sofisticación de organizaciones criminales. Hay más de 10 ciberatacantes detrás de un ciberataque. Estamos hablado de unos ataques bien dirigidos y perpetrados por lo que el sector de la abogacía debe reforzar su protección”.

A su juicio, “los incidentes más habituales en los despachos son los relacionados con ‘phising’, suplantación de mensajes, el ‘vhising’ que se ha incrementado para lograr hacer fraudes bancarios. Hay también ataques de supuestos clientes que buscan datos financieros y por supuesto ataques a través de proveedores”.

Abogacía, estratégica

Por su parte, Mar López explicó que la Estrategia Nacional de Ciberseguridad de 2013 recogía el papel de la abogacía y que en el 2019 esa línea de acción se reiteraba como una profesión a tener en cuenta y con muchas responsabilidades.

A su juicio, “los despachos de abogados deben vigilar su transformación digital. Hablamos de un mundo híbrido donde la parte digital se une a la física en la que se trabajaba. Es un mundo donde hay que reflexionar cuestiones claves como la IA y su regulación entre otras cuestiones«.

Para esta experta, “vivimos en un entorno con procesos continuos de conexión que dan nuevas oportunidades de negocio, pero que además nos enfrenta a grandes retos para la abogacía que deben abordarse desde diferentes visiones”.

Lopez habló de que en el ecosistema digital actual o ciberespacio donde se construyen nuevos mundos paralelos y simultáneos “se trata de compaginar lo físico con lo virtual, que no es fácil y es uno de los elementos que debe afrontar la abogacía en un mercado global. Hay disrupciones tecnolótgcas, usos ilícitos fugas de información o cualquier tipo de fraudes o delitos”.

Para esta experta, “este nuevo escenario híbrido requiere de la seguridad y de la protección de los sistemas e informaciones. Aquí contar con una buen normativa y la concienciación de los profesionales parece claro para crear una cultura de seguridad digital, en cuanto al uso de la tecnología. Al final trabajamos en un ciberespacio aún débilmente regulado”.

Ciberseguridad, clave para los despachos

Los ponentes reconocieron que los abogados van dándose cuenta de la importancia de contar con unas medidas de ciberseguridad adecuadas.

Gracias a la digitalización han podido mantener el contacto con los clientes. “La ciberseguridad no es un lujo y es una práctica que los despachos deben apostar por ella. El 80% de los bufetes son de menor tamaño y deben apostar por ello”, apuntó Dantonio.

Por su parte Barrio indicó que “el problema no es solo los incidentes que se detectan y comunican, sino que en todos casos las organizaciones tardan mucho en saber que son espiados por el ‘malware’ que le han instalado o desconocen que han sido atacados”.

“Ahí no hay oportunidad de aprendizaje. Se trata de saber que hay que tener herramientas tecnológicas que protejan las herramientas informáticas, desde el teléfono móvil a cualquier otro tema”, apuntó.

Desde su punto de vista, “empresas y despachos de abogados deben tener la conciencia de que deben gestionar los riesgos tecnológicos. Es algo habitual, no hay que tener miedo para tener análisis. Desde INCIBE podemos ayudarles a realizar dicho autodiagnóstico para luego establecer medidas de protección”, indicó Barrio.

Este experto cree que los abogados van a ser cada vez más atacados. “El fraude y la extorsión son los principales incidentes en materia de ciberseguridad. Que los ciberatacantes puedan manejar esta información sensible les ayuda a preparar sus estrategias”.

Por su parte, López mencionó que el “nomadismo digital, que supone trabajar en cualquier sitio, facilita los incidentes de seguridad si no se toman las medidas adecuadas en materia de ciberseguridad. Las vulnerabilidades en el teletrabajo son claras porque las medidas que se utilizan son diferentes que en la empresa”.

A su juicio, “nos movemos en el ciberespacio que no tiene fronteras y es muy dinámico. Creo que nunca ha sido tan hostil por los actores estatales y no estatales que conviven con sus intereses determinados. Tenemos que ser conscientes de los riesgos que tiene la seguridad nacional. El usuario debe saber y ver el riesgo tecnológico en el que ya nos movemos».

En su opinión, “todo esto impacta no solo al trabajo del día a día, siempre hablamos de la continuidad del negocio. Si no tienes esas medidas de seguridad adecuada puedes dejar de funcionar y no recuperar el trabajo. Hay empresas que tuvieron que cerrar seis meses ante el ciberataque”.

Para López, “es fundamental ser consciente donde nos estamos moviendo. La transformación digital se debe llevar desde la ciberseguridad. Se buscan espacios más híbridos y seguros y más regulados. Ahora la regulación es débil y debemos ir a una mejor regulación en el propio ciberespacio”, aclaró.

Los expertos insistieron en la necesidad de extremar las medidas de seguridad, tanto en copias de seguridad, actualización de servicio operativo o protocolos para monitorizar la red como en otras herramientas que impidan la entrada de los ciberatacantes. “Si tienen dudas deben pedir consejos a expertos en seguridad de la información o a entidades como INCIBE”, indicaron.

Noticias Relacionadas:

‘Papagorda’, el ‘hashtag’ viral sobre vídeos de gente borracha en la Feria de Sevilla, tiene consecuencias legales

Sacyr, multado con 15.000 euros por enviar un email a la cuenta personal de una empleada sin copia oculta

Allianz, condenada a pagar 3,3 millones de euros a una víctima de accidente de tráfico: la más alta hasta la fecha

Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena

Fieldfisher ficha a Javier Cuairán como nuevo socio de Penal

El TSJM anula la Ordenanza de Terrazas del Ayuntamiento de Madrid por deficiencias en evaluación ambiental y presupuestaria