Noticias JurídicasOrigen http://noticias.juridicas.com

Legal management forum
16/09/2019 08:53:57 | CIBERSEGURIDAD EN DESPACHOS

Ciberseguridad y tecnología realista para despachos

Ataques informáticos mundiales como WannaCry o Petya han puesto en jaque a numerosos despachos de abogados con el asunto de la ciberseguridad, un problema tan desconocido como sensible que exige su hueco en la lista de retos de la abogacía del futuro

J. M. Barjola - Eduardo Romero.- Todos los despachos de abogados utilizan Internet, pero no todos cuentan con medidas para blindarse contra los ciberataques. Un ataque informático de estas características puede provocar el robo de una gran cantidad de datos sensibles, que luego pueden ser objeto de petición de rescate para su devolución (ransomware).

En el contexto de los despachos de abogados, el problema puede acarrear enormes consecuencias. Máxime teniendo en cuenta lo sensible e importante que suelen ser los datos que almacenan estas firmas. 

Por ello, cada vez más especialistas y entidades están tratando la cuestión de la ciberseguridad como uno de los retos prioritarios a tener en cuenta para el abogado del futuro. ¿Cuáles han sido los últimos grandes ataques? ¿En qué consisten estas conductas? ¿Cómo puede un despacho implementar un plan básico de respuesta?

La próxima gran cita que estudiará la cuestión será la VI edición del Legal Management Forum, uno de los eventos jurídicos con más impacto en el sector, que tendrá lugar en Madrid los días 9 y 10 de octubre, donde la Ciberseguridad tendrá su propia mesa redonda. 

El Consejo General de la Abogacía aconseja tomar medidas

El nuevo Código Deontológico de la Abogacía ratifica la necesidad del secreto profesional, uno de los principios básicos del profesional del Derecho. Esta obligación, en virtud del artículo 5, permanece incluso después de haber cesado en la prestación de servicios. En esta línea, el artículo 21 obliga a un uso responsable y diligente de la tecnología de la información y comunicación, que impone al abogado el deber de preservar la confidencialidad, asegurándose de la recepción de la comunicación y privándose de enviar información sin expreso consentimiento. El profesional del Derecho es, por tanto, una herramienta fundamental en el proceso de prevención de los ciberataques.

En 2012, el máximo órgano de la abogacía española, junto con INCIBE (Instituto Nacional de Ciberseguridad) publicó una guía para asegurar la ciberseguridad en los despachos de abogados, en vista de la importancia de los datos que recogen. 

El documento resumió las medidas que todo despacho debe dar para protegerse de este tipo de acciones en varios pasos: 

1.    Analizar el estado del despacho en la actualidad y los objetivos a cumplir en cuestión de ciberseguridad.
2.    Crear una política y normativa interna para que los abogados sepan abordar cuestiones de ciberseguridad en el día a día.
3.    De la misma manera que podemos controlar quién accede a nuestras instalaciones, controlar mediante registro quién accede al sistema.
4.    Mantener copias de seguridad.
5.    Mantener actualizados las bases de antivirus y antimalware.
6.    Cuidar las comunicaciones hacia y desde el exterior, evitando cualquier tipo de inclusión intrusa en el sistema.
7.    Proteger los soportes utilizados para el almacenamiento de la información sensible de pérdidas o robos.
8.    Registrar la actividad de los usuarios para observar cómo interaccionan con los sistemas y detectar anomalías en su comportamiento.
9.    Garantizar la continuidad del negocio. Proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa su continuidad.

Despachos de abogados atacados

En los últimos años han saltado a la prensa varios casos de ciberataques dirigidos en exclusiva a grandes despachos jurídicos, que reportaron caídas masivas de emails y teléfonos y puesta en peligro de datos privados de clientes.

Uno de los casos más sonados fue el de la firma mundial Appleby, que en 2016 reconoció un robo de datos de clientes como consecuencia de un ciberataque. 

Tras la noticia de Appleby, otras firmas reconocieron a posteriori haber sufrido problemas similares. DLA Piper también fue víctima durante varios días del impacto del ransomware de ataque mundial Petya, en 2017. Su red de comunicaciones estuvo de baja durante varios días por cuestiones de seguridad. 

Hackeos y blackmailing

Si pensamos en ciberataques, probablemente los “hackers” sea la primera palabra que nos venga a la mente. Mediante complejos programas informáticos como “ramsomware” se logra encriptar datos personales de los clientes para después pedir una suma de dinero al despacho a cambio de recuperarlos y evitar su filtración de manera pública (lo que se conoce como “Blackmailing”). Durante el año 2016 se registraron al menos 70 ataques mediante la herramienta ramsomware, según datos del Instituto Nacional de Ciberseguridad (INCIBE).

Este tema fue extensamente tratado durante la V Edición del LMF del año 2018, donde un hacker ético realizó una ponencia y una demostración en vivo que dejaron en evidencia lo sencillo que es acceder a un dispositivo ajeno y manipularlo. Durante su intervención, el también ingeniero destacó las principales amenazas del sector legal: los Estados (APT), los grupos delictivos organizados, los grupos "hacktivistas", los intrusos (maliciosos o no) y los atacantes oportunistas (script-kiddies).

Como principales medidas a aplicar, Freaky Clown destacó mantener siempre un alto nivel de desconfianza y estar en contacto continuo con expertos sobre el tema, así como otras medidas más concretas como no reutilizar nunca la misma contraseña.


Phising , pharming y spoofing

También conocido como robo de identidad, es otro de los métodos habituales para obtener información personal o confidencial de la víctima. En este caso, el modus operandi suele consistir en un phisher o impostor que se hace pasar por una empresa mediante el envío de correos electrónicos u otro sistema que haga parecer que estamos recibiendo una comunicación “oficial”.

En dichos comunicados, suele incluirse un enlace, por ejemplo una solicitud de tu banco para restaurar la contraseña, con el objetivo de que la víctima responda con sus datos confidenciales o haga click en un enlace que contiene un malware.

Dentro del phishing podemos encontrar variantes como el “pharming”, que reemplaza una página web por una clonada, con el objetivo de que la víctima ingrese sus datos personales en ella pensando que está en la página real, o el “spoofing”, consistente en la suplantación de la dirección IP.

 

Legal Management Forum 2019

Toda la información sobre la VI edición del Legal Management Forum en la web del evento.

Consulta el programa y benefíciate ahora de precios especiales por compra anticipada y para clientes de laleydigital, inscríbete ya.


Te recomendamos