Inicio » Artículos destacados » Concienciación y formación de Ciberseguridad de los profesionales del derecho
Concienciación y formación de Ciberseguridad de los profesionales del derecho

Concienciación y formación de Ciberseguridad de los profesionales del derecho

Por  Fernando Antonio Acero Martín. Jefe de Operaciones de Ciberdefensa del Ejército del Aire

 

 

ÍNDICE

Ciberdependencia e información sensible en un despacho de abogados

La Estrategia de Ciberseguridad Nacional

Necesidad de una formación específica en tecnología y ciberseguridad

¿Qué debe saber de ciberseguridad un abogado no especialista en tecnología?

 

La concienciación en ciberseguridad y la capacitación tecnológica, deben ser parte integral de la formación académica de cualquier profesional del derecho.

 

Ciberdependencia e información sensible en un despacho de abogados

 

A nadie es ajeno que los profesionales del derecho manejan documentación altamente sensible, en ocasiones y dependiendo del caso, del más alto nivel en lo que a protección de datos se refiere, como ideología, religión, creencias, afiliación sindical, origen racial, salud o vida sexual. Dicha información es de alto valor, tanto para el abogado como para su cliente, pero también lo es para los ciberdelincuentes, ya que la información es poder y dinero, como se demostró con la filtración de documentos del despacho Mossack Fonseca y las graves consecuencias que tuvo la misma para el despacho y sus clientes.

 

La normativa de protección de datos, o el secreto profesional, son muy importantes para el ejercicio de la abogacía desde siempre. Los códigos deontológicos, que pueden llevar a una inhabilitación, o la normativa legal, que puede conllevar fuertes sanciones administrativas, e indemnizaciones, o incluso penas de prisión para los casos más graves, son un buen motivo para extremar las precauciones. Sin embargo, no se nos debe pasar por alto, que cuando un despacho de abogados es víctima de un ciberataque, por ejemplo, mediante el robo de información sensible (troyano)[1], o el secuestro de sus datos (ransomware)[2], lo que está realmente en riesgo, además de su continuidad de negocio o el beneficio económico de sus miembros, es el derecho constitucional a una tutela judicial efectiva de sus clientes, tal como se establece en el artículo 24 de la Constitución Española.

 

La obligada protección del secreto profesional y de la información compartida entre el abogado y sus clientes, representan importantes retos tecnológicos en la actualidad, algo que es necesario tener en cuenta para establecer los medios técnicos que sean necesarios. Por ejemplo, el cifrado de la información sensible es básico para garantizar la seguridad de la misma. Sin embargo, la sociedad en general no suele estar preparada para afrontar con garantías el reto tecnológico de la seguridad lógica. Por ejemplo, pocos usuarios saben usar certificados digitales para lograr unas comunicaciones electrónicas seguras. Sin haber llegado a una política de mínimos en lo que a ciberseguridad y protección de datos se refiere, hay otros frentes abiertos y es previsible que se abran otros nuevos con la adopción de nuevas tecnologías. Los efectos del nuevo Reglamento Europeo de Protección de Datos[3], los recientes ciberataques a escala mundial, o los programas de vigilancia masiva llevados a cabo por algunos gobiernos, son factores a tener en cuenta a la hora de tomar decisiones e implementar medidas técnicas para mejorar la ciberseguridad de los despachos de abogados.

 

Por otra parte, el colectivo de los profesionales del derecho se ha convertido en muy ciberdependiente y la tecnología forma parte integral de su día a día desde hace años. Los abogados no pueden trabajar sin la tecnología, e incluso, tienen obligación legal de usarla, como es el caso de Lexnet, o la firma electrónica. Ordenadores, tablets, conexiones a Internet, redes locales, libros electrónicos, teléfonos móviles de última generación, o servicios en la nube, forman parte de las herramientas de trabajo de cualquier abogado actual y sin ellas, no sería competitivo, o simplemente, no podría trabajar ni relacionarse adecuadamente con sus clientes o con la Administración de Justicia.

 

Aquí hay que tener presente lo que decía Melvin Kranzberg, fundador de la Sociedad para la Historia y la Tecnología, en sus Leyes para la Tecnología: “La tecnología no es buena, ni mala, ni neutral”. Es decir, la tecnología nos puede ayudar mucho si la conocemos y controlamos, pero también nos puede perjudicar seriamente, si no la conocemos y no la controlamos adecuadamente.

 

A los riesgos del ciberespacio, a los que estamos sujetos todos los que usamos tecnología, los profesionales del derecho suman otros riesgos y amenazas que les son específicas. Primero, por el hecho de poder convertirse en objetivos de interés cuando se encargan de determinados casos sensibles y en segundo lugar, por la información digital, que transmiten, almacenan y reciben en su trabajo diario, que en muchas ocasiones procede de fuentes desconocidas o no fiables. Cuando un abogado recibe en su despacho a un cliente que le trae documentación en formato digital dentro de un dispositivo USB y lo introduce en su ordenador de trabajo para revisarla, el abogado desconoce por completo los riesgos y amenazas que se pueden esconder en dicho dispositivo de almacenamiento. No es la primera vez que ese simple gesto, familiar y cotidiano para todos nosotros, provoca una grave brecha de seguridad en las redes y sistemas de un despacho de abogados. De forma similar, cuando sus clientes son captados por Internet y un abogado recibe correos del exterior, le cuesta mucho discernir si se trata de un correo legítimo de un cliente nuevo, o si se trata de un intento de ataque mediante técnicas de ingeniería social tecnológica, como el phishing[4] o el scam[5]. No en vano, el principal medio de infección de los sistemas en este momento son los dispositivos USB y el principal vector de ataque a las organizaciones es el correo electrónico. Además, la aparición del ciberataque como servicio, con  precios muy reducidos, ha aumentado de forma dramática el número de ataques dirigidos específicamente a determinados profesionales y empresas.

 

Por otra parte, los reducidos ciclos de vida de la tecnología de propósito general, provoca que proyectos complejos se conviertan en obsoletos antes, o poco después, de ponerse en producción. Un ejemplo de ello lo tenemos en Lexnet. Si vamos a la página del Ministerio de Justicia en la que se habla de la configuración recomendada para los equipos, encontramos software como Java 1.6, o Windows XP, que están llenos de vulnerabilidades y que ya no disponen de soporte del fabricante. Es cierto que también aparece Windows 7, que aunque todavía recibe actualizaciones, está al final de su ciclo de vida. Microsoft ha declarado que se trata de un sistema operativo inseguro en relación a otros sistemas más modernos, por lo que recomienda abandonarlo lo antes posible, algo que hay que plantearse seriamente cuando se trabaja con datos sensibles. Solamente hay que retroceder unos pocos días en el tiempo, para ver de la mano del ransomware WannaCry[6], los serios peligros que se derivan de mantener un sistema operativo desactualizado, o sin soporte del fabricante. Es decir, que a todos los riesgos indicados anteriormente, sumamos la posibilidad de tener la obligación de usar sistemas obsoletos y por lo tanto, con vulnerabilidades que no se pueden corregir y que son explotables por un atacante.

 

La Estrategia de Ciberseguridad Nacional

 

La Estrategia de Seguridad Nacional del año 2013[7], establece como reto para la Seguridad Nacional, la protección ante el uso nocivo de las nuevas tecnologías y como consecuencia, se elaboró una Estrategia de Ciberseguridad Nacional[8], que también se publicó en el año 2013.

 

Dicho documento detalla los riesgos y amenazas para la Seguridad Nacional que pueden provenir del ciberespacio y tiene como objetivo último, lograr que España haga un uso seguro de los Sistemas de Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección y respuesta a los ciberataques, algo que nos afecta a todos en casa y en el trabajo.

 

La Estrategia de Ciberseguridad Nacional marca los siguientes objetivos secundarios:

 

  • Sensibilizar a los ciudadanos, profesionales, empresas y Administraciones Públicas españolas de los riesgos derivados del ciberespacio.

 

  • Las empresas deben ser conscientes de la responsabilidad en la seguridad de sus sistemas, la protección de la información de sus clientes y proveedores y la confiabilidad de los servicios que prestan.

 

  • Alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de ciberseguridad.

 

  • Impulsar la seguridad y resiliencia de los Sistemas de Información y Telecomunicaciones usados por el sector empresarial en general y los operadores de Infraestructuras Críticas en particular.

 

Evidentemente, el dominio cibernético es transversal a toda la sociedad y no tiene fronteras nacionales o unos límites definidos. Aunque estamos personalizando el problema para profesionales del derecho, solamente son matices de una realidad global que nos afecta a todos por igual.

 

Necesidad de una formación específica en tecnología y ciberseguridad

 

Muchos de los objetivos indicados por la Estrategia de Ciberseguridad Nacional tienen una fuerte componente de concienciación, formación y adiestramiento en el uso de la tecnología. Desde hace tiempo se viene detectando un déficit de profesionales del derecho especializados en asuntos relacionados con la tecnología, como ciberdelitos, licencias de software, servicios en la nube, etc. De hecho, hay varios ciclos formativos, que con mejor o menor acierto, cubren esta necesidad. Sin embargo, se detecta una clara falta de formación específica y generalista que capacite a los profesionales del derecho para trabajar de forma segura con la tecnología que usan a diario.

 

Para los proveedores de soluciones de hardware y de software de seguridad, lo más importante es que las empresas adquieran e implanten sus soluciones tecnológicas, pero lo cierto es que todo ese hardware y software de seguridad es prácticamente inútil, sin una adecuada concienciación y formación de ciberseguridad de los usuarios. La persona es siempre el eslabón más débil de la cadena de la seguridad lógica, lo que supone un riesgo a mitigar con formación y concienciación.

 

También es cierto, que algunas caras soluciones de hardware y software, como cortafuegos de última generación y algunos antivirus avanzados, eran capaces de detectar y detener los efectos de WannaCry, pero también es cierto, que bastaba con tener el sistema actualizado para no ser afectado por dicho malware, algo que con una adecuada formación en ciberseguridad hubiera sido percibido como necesario y urgente, dada la enorme criticidad del malware robado a la NSA, que posteriormente ha sido utilizado para crear WannaCry. Lo cierto es que cientos de organizaciones a lo largo de todo el mundo han sido víctimas de este malware, probablemente, por la falta de concienciación de sus usuarios. La filtración del malware de la NSA ha tenido el mismo efecto en el ciberespacio, que hubiera podido tener el poner un arma de fuego convencional en las manos cualquier delincuente.

 

¿Qué debe saber de ciberseguridad un abogado no especialista en tecnología?

 

Para usar la tecnología con un mínimo de seguridad, un profesional del derecho debería tener conocimientos sobre los siguientes aspectos tecnológicos:

 

  1. Los riesgos y amenazas del ciberespacio.
  2. Análisis de riesgos y mitigación de los mismos.
  3. Normativa de ciberseguridad.
  4. Técnicas y herramientas de protección de datos, cifrado de la información.
  5. Técnicas y herramientas de protección del puesto de trabajo.
  6. Técnicas y herramientas de seguridad en dispositivos móviles.
  7. Seguridad y protección de servicios en la nube.
  8. Técnicas y herramientas de protección de la red local.
  9. Técnicas y herramientas de protección de servidores (web, correo y archivos).
  10. Buenas prácticas ante las ciberamenazas comunes (USB, navegación, phishing, scam, etc).
  11. Planes de contingencia, continuidad y de recuperación ante un desastre.
  12. Infraestructura de clave pública, firma digital y normativa aplicable.
  13. Huella en Internet y riesgos asociados.
  14. Gestión de incidentes de ciberseguridad.
  15. Almacenamiento de la información, interoperabilidad y estándares de datos.

[1] Un troyano es un programa malicioso que roba información del usuario.

[2] Un ransomware es un programa malicioso que secuestra los datos del usuario y pide una cantidad económica como rescate.

[3] https://www.boe.es/doue/2016/119/L00001-00088.pdf

[4] Técnica por la que se intenta robar información sensible de un usuario mediante un correo electrónico que suplanta la identidad de una persona, empresa u organización.

[5] Técnica por la que se intenta robar información sensible de un usuario mediante una página web que suplanta la identidad de una empresa u organización.

[6] WannaCry es una ransomware que fue creado a partir de un malware robado a la Agencia de Seguridad Nacional de los EEUU y que ha afectado a una gran cantidad de redes informáticas en todo el mundo.

[7] http://www.lamoncloa.gob.es/documents/seguridad_1406connavegacionfinalaccesiblebpdf.pdf

[8] http://www.dsn.gob.es/es/file/146/download?token=Kl839vHG

El resto del contenido es exclusivo para suscriptores
Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí
Por tan solo 8€/mes

Contenidos relacionados

Ver Todos >>

La obligatoriedad internacional de contar con un programa de Compliance

La obligatoriedad internacional de contar con un programa de Compliance

Por Víctor Jiménez. Abogado del Departamento de Compliance. Bufete Escura La responsabilidad de las personas jurídicas por los delitos cometidos en su contexto organizativo y en su beneficio es una realidad en un número de países creciente. De hecho, la mayor parte de Estados europeos cuentan con regulaciones internas en esta materia que adaptan las diversas Directivas comunitarias existentes. No ... Leer Más »

Indemnización por fallecimiento tras la caída en un autobús público

Indemnización por fallecimiento tras la caída en un autobús público

Nos encontramos en un día de octubre como otro cualquiera en la bella Ciudad de Salamanca y una pareja espera pacientemente la llegada del ansiado autobús urbano a fin de que los traslade hasta un conocido establecimiento comercial. El autobús llega, realiza su parada y abre la puerta para que suban los viajeros. Todos sin excepción validan su billete y ... Leer Más »

¿Quién paga la cuenta? Reflexión sobre las recientes sentencias del Supremo en materia de gastos hipotecarios

¿Quién paga la cuenta? Reflexión sobre las recientes sentencias del Supremo en materia de gastos hipotecarios

Por Daniel García Mescua. Abogado Tras varios meses en los que se nos ha tenido en vilo tanto a hipotecados como a abogados, finalmente se han publicado dos sentencias del Tribunal Supremo, 147/2018 y 148/2018, ambas con fecha de 15 de marzo, sobre los archiconocidos gastos de formalización de hipoteca, y sobre la nulidad de aquellas cláusulas mediante las que ... Leer Más »

Reforma de la regulación de las costas procesales en los órdenes jurisdiccionales civil y contencioso-administrativo

Reforma de la regulación de las costas procesales en los órdenes jurisdiccionales civil y contencioso-administrativo

  Proposición de Ley para la reforma de la regulación de las costas procesales en los órdenes jurisdiccionales civil y contencioso-administrativo   Luis Franco. Abogado del departamento de Derecho procesal en Marimón Abogados.   Actualmente se encuentra en tramitación la proposición de ley nº 122/000128, para la reforma de la Ley 1/2000, de 7 enero, de Enjuiciamiento Civil (“LEC”) y ... Leer Más »

Primera colegiación y alternativa para la previsión social

Primera colegiación y alternativa para la previsión social

Nielson Sánchez Stewart. Abogado, Doctor en Derecho. Consejero del Consejo General de la Abogacía Española   SUMARIO:   Evolución de la regulación Carencia absoluta Mutualidad de la Abogacía Alternatividad con el sistema público Situación actual   La preocupación de la Abogacía institucional respecto de la previsión social de los Letrados es relativamente reciente. El Artículo 7 del primer Estatuto General ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon