El abogado, el eslabón más débil de la cadena de ciberseguridad de cualquier bufete o firma legal

En la era digital, la ciberseguridad se ha convertido en una prioridad ineludible para todas las organizaciones, y los despachos de abogados no somos la excepción. Con la confidencialidad de la información del cliente como pilar fundamental de la profesión, cualquier brecha de seguridad puede tener consecuencias devastadoras, tanto económicas como reputacionales. Me veo en la obligación de señalar un punto crítico que, a menudo, pasamos por alto: el abogado, irónicamente, es con demasiada frecuencia el eslabón más débil de nuestra cadena de ciberseguridad, esto tómese con el debido respeto hacia los abogados con los que trabajo todos los días.

La paradoja de la confianza y el riesgo

Es natural que confiemos en nuestros abogados. Son profesionales altamente cualificados, expertos en su campo y garantes de la justicia. Sin embargo, esta misma confianza, unida a la naturaleza de su trabajo y a ciertas características inherentes a la profesión, crea una paradoja en el ámbito de la ciberseguridad.

Me explico, los abogados, por su dedicación a los clientes y su enfoque en el asunto, tienden a operar bajo una presión constante. Plazos ajustados, información sensible y la necesidad de una comunicación fluida los convierten en un objetivo atractivo para los ciberdelincuentes. Un correo electrónico de phishing bien elaborado que simule ser un cliente urgente o un colega solicitando información crucial puede ser respondido sin la debida cautela, especialmente si el abogado está inmerso en una negociación, preparando una vista o resolviendo un pleito.

Imagen: (E&J)

La formación, un talón de Aquiles

Aunque se invierte significativamente en tecnología de vanguardia (firewalls, sistemas de detección de intrusiones, cifrado de datos y un largo etc.), la tecnología por sí sola no es suficiente. El factor humano es el verdadero campo de batalla de la ciberseguridad. Y aquí es donde, a menudo, la formación de nuestros abogados se puede quedar corta.

La ciberseguridad no es una asignatura que se imparta en la facultad de Derecho. Muchos abogados, al salir de la universidad, tienen una comprensión limitada de las amenazas digitales y de las mejores prácticas para proteger la información. A esto se suma que, en ocasiones, ven la formación en ciberseguridad como una tarea más, una interrupción en su apretada agenda, en lugar de una habilidad esencial y crítica para su trabajo diario.

¿Cuántos abogados verifican rigurosamente la dirección de correo electrónico de un remitente desconocido antes de abrir un archivo adjunto? ¿Cuántos utilizan contraseñas robustas y únicas para cada servicio? ¿Cuántos son conscientes de los riesgos de conectarse a redes Wi-Fi públicas o de almacenar información confidencial en dispositivos personales no seguros? La respuesta, lamentablemente, es que no tantos como nos gustaría. Aunque también he de decir que cada vez ese número es menor.

La información como moneda de cambio

La naturaleza del trabajo legal implica manejar un volumen inmenso de información altamente sensible y confidencial. Datos personales de clientes, estrategias de litigio, secretos comerciales, acuerdos de fusión y adquisición… todo esto es un botín incalculable para los ciberdelincuentes. Un solo error, un clic imprudente, puede exponer esta información a terceros no autorizados, resultando en:

• Pérdida de la reputación: la confianza es la piedra angular de cualquier despacho de abogados. Una brecha de seguridad la erosionaría instantáneamente, con consecuencias a largo plazo en la captación de nuevos clientes y la retención de los actuales.
• Sanciones regulatorias: en España, el Reglamento General de Protección de Datos (RGPD) establece multas cuantiosas por el incumplimiento en la protección de datos personales. Además, la Ley de Enjuiciamiento Civil y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales también imponen obligaciones estrictas en la gestión de la información.
• Pérdidas económicas: más allá de las multas, una brecha puede derivar en demandas por daños y perjuicios por parte de los clientes afectados.

(Imagen: E&J)

El reto del trabajo híbrido y la movilidad

La pandemia aceleró la adopción del trabajo híbrido y la movilidad en los despachos. Si bien esto ofrece flexibilidad, también introduce nuevos riesgos de ciberseguridad. Los abogados, a menudo, trabajan desde múltiples ubicaciones: en casa, en un aeropuerto, en un hotel o en la oficina de un cliente. Esto significa que están utilizando una variedad de redes y dispositivos, algunos de los cuales pueden no ser tan seguros como la red corporativa del despacho.

¿Están todos los dispositivos personales que se utilizan para el trabajo debidamente protegidos? ¿Se utilizan VPNs para asegurar las conexiones remotas? ¿Se siguen los protocolos de seguridad al acceder a la información del despacho desde redes no confiables? La respuesta a estas preguntas es crucial para cerrar las brechas de seguridad que la movilidad puede abrir.

La resistencia al cambio y la «excepción»

Otro factor que contribuye a que el abogado sea un eslabón débil es una cierta resistencia al cambio o la percepción de que las normas de seguridad son una «excepción» que no aplica a ellos. Los abogados están acostumbrados a la autonomía y a la toma de decisiones rápidas. Esto, combinado con una posible falta de comprensión sobre la gravedad de las amenazas cibernéticas, puede llevar a que se salten protocolos de seguridad o a que busquen atajos que comprometan la integridad de los sistemas.

Por ejemplo, podrían compartir contraseñas con un compañero para agilizar una tarea urgente, guardar documentos en servicios de almacenamiento en la nube no autorizados para facilitar el acceso remoto, o ignorar actualizaciones de software críticas que perciben como inconvenientes. Cada una de estas «excepciones» es una puerta abierta para los ciberdelincuentes.

(Imagen: E&J)

Nuestra responsabilidad como líderes

Reconocer este problema no es señalar con el dedo, sino un llamado a la acción. Como responsables, nuestra obligación es proteger la información de nuestros despachos y, para ello, debemos fortalecer a nuestros eslabones más vulnerables. Esto implica:

1. Formación continua y obligatoria: no basta con una sesión anual. La formación debe ser constante, práctica y adaptada a las amenazas actuales. Debe ir más allá de la teoría y mostrar ejemplos reales de cómo un error puede tener consecuencias graves. Debe ser interactiva y gamificada para mantener el interés (plataformas de concienciación).
2. Cultura de ciberseguridad: la ciberseguridad debe ser parte del ADN del despacho, no solo un departamento técnico. Debe promoverse una cultura de conciencia y responsabilidad compartida, donde todos comprendan el impacto de sus acciones (apoyo de la dirección).
3. Tecnología accesible y amigable: las herramientas de seguridad deben ser intuitivas y fáciles de usar. Si son demasiado complejas, los abogados buscarán soluciones alternativas que pueden ser menos seguras (debemos facilitar el uso transparente).
4. Simulacros de phishing y pruebas de penetración: realizar simulacros de ataques controlados puede ayudar a los abogados a identificar las señales de alerta y a reaccionar adecuadamente en una situación real. Las pruebas de penetración a nuestros sistemas también nos permiten identificar vulnerabilidades antes de que lo hagan los ciberdelincuentes (debemos contar con un buen partner externo acorde con nuestro tamaño y presupuesto).
5. Comunicación abierta y sin miedo: fomentar un ambiente donde los abogados se sientan cómodos reportando incidentes o sospechas de seguridad, sin temor a represalias, es fundamental. Es mejor detectar un problema a tiempo que enfrentarse a una crisis mayor (es cosa de todos).

El abogado es el pilar de nuestro negocio, el motor que impulsa el despacho. No obstante, para que ese motor funcione a pleno rendimiento y de forma segura en este momento, es imperativo que reforcemos su blindaje digital. Solo así podremos garantizar la confidencialidad, la integridad y la disponibilidad de la información que nuestros clientes nos confían, y mantener la confianza. La ciberseguridad no es una opción, es una necesidad, y el futuro de cualquier despacho depende de que todos, especialmente los abogados, asumamos este reto con la seriedad que merece.