Francisco Pérez Bes, secretario general del Instituto Nacional de Ciberseguridad: “El grado de concienciación sobre ciberseguridad de los bufetes todavía es bajo”

El abogado Francisco Pérez Bes es uno de los más destacados expertos en España sobre la regulación jurídica de las nuevas tecnologías. Desde sus responsabilidades como secretario general del Instituto Nacional de Ciberseguridad (INCIBE) tiene un gran conocimiento para que los bufetes de abogados puedan disponer -a través de esta institución- de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación para aprovechar al máximo las posibilidades de las TIC de forma segura y confiable.

1. ¿Están concienciados los bufetes españoles de la prevención de riesgos en asuntos de ciberseguridad?

Me gustaría poder ser más optimista en este aspecto, pero si atendemos a la naturaleza de la información que almacena cualquier bufete y al carácter tan sensible de los datos que constantemente maneja un abogado, y lo comparamos con las medidas de seguridad que aplican muchos despachos, podemos afirmar que –con carácter general- el grado de concienciación todavía es bajo, tanto en la prevención como en cuanto a la reacción ante un ciberincidente que afecte a su organización.

Las constantes noticias sobre incidentes de seguridad, que afectan a cada vez más empresas, han alertado a muchos despachos acerca de la importancia de la seguridad lógica. Es decir, cada vez más abogados conocen de la importancia de proteger adecuadamente la información que manejan, pero eso no se está reflejando en una mejora perceptible de la ciberseguridad de los despachos, aún a pesar de que lo que se trata de abordar con este asunto no es tanto un tema de seguridad, sino de confianza digital en el colectivo de la abogacía.

Bien es cierto que los despachos con más recursos están invirtiendo cada vez más en este extremo, pues son conscientes de los riesgos a los que se enfrentan. Y aunque en este caso no importa tanto el tamaño del bufete, sino la calidad de la información que manejan, todavía hay mucho trabajo por hacer en cuanto a sensibilización se refiere.

2. Los activos tecnológicos de la información son fundamentales para los despachos de abogados ¿qué medidas de protección se deben adoptar?

La ciberseguridad es un asunto que debe abordarse de manera global. La implementación de medidas tecnológicas no tiene sentido si no va acompañada de una cultura corporativa que integre actividades de prevención y reacción, lo que incluye formación continua, acciones de concienciación, simulacros de incidentes, y otras muchas actividades que ayuden a mejorar el conocimiento -por parte de la propia organización- de los riesgos que amenazan a esos activos.

Si atendemos a medidas puramente técnicas, podemos destacar las que pasan por instalar versiones de software originales y actualizadas, hacer copias de seguridad, tener antivirus, cortafuegos, usar contraseñas robustas, usar herramientas de cifrado y VPN cuando proceda, realizar auditorías de seguridad periódicas, reforzar la seguridad de los terminales en caso de pérdida o sustracción, etc. Estas medidas deben aplicarse no solo internamente, sino también deben comenzar a exigirse en los contratos que el despacho celebre con sus prestadores de servicios externos, ya que la cadena es tan fuerte como el más débil de sus eslabones. Por lo tanto, existe un sinfín de precauciones que, aún a pesar del aparente coste, son fundamentales para la continuidad de un negocio, por lo que deben verse como una inversión imprescindible.

Y aún después de haber implementado todas las medidas que consideremos necesarias, nunca debemos olvidar que la amenaza no siempre proviene del exterior, sino que, en ocasiones, pueden tener su origen en una mala práctica (intencionada o no) de un empleado, en un acceso provocado por un tercero de nuestra confianza (pe., un phishing con ingeniería social) o, incluso, puede tener su origen en un cliente que pueda haber sido infectado sin su conocimiento, o al que le hayan suplantado su identidad. Cualquier comunicación puede esconder una amenaza grave. De ahí la importancia de crear cultura de ciberseguridad entre nuestro personal, que nos permita, ya por parte de nuestro propio personal, identificar posibles amenazas y atenderlas adecuadamente antes de que causen un eventual incidente de seguridad en nuestros sistemas. Y, en caso de duda, siempre confirmar que el origen de la comunicación o del archivo, es legítimo.

3. Aparte de los instrumentos tecnológicos ¿Qué herramientas jurídicas existen para el cumplimiento de la legislación y de las normas de protección de datos en materia de ciberseguridad?

Las leyes tienden cada vez más a exigir a las organizaciones y a las administraciones públicas la implantación de medidas efectivas de seguridad que protejan la información que manejan. Por poner un ejemplo, el de la creación de la figura del DPO que contempla el recientemente aprobado Reglamento Europeo de Protección de Datos; o el del tan mencionado –a la vez que desconocido- Compliance Officer; sin mencionar las nuevas obligaciones que prevé la Directiva NIS (actualmente en fase de transposición).  Estas normas se dotan de medidas coercitivas que garanticen su cumplimiento, sabedoras de que un incidente de seguridad no sólo afecta al terminal o al usuario perjudicado, sino que se trata de un riesgo que puede afectar potencialmente a una multitud de usuarios, llegando incluso a convertirse en un problema de seguridad nacional (como es el caso de las botnets, difusión de malware, etc.).

La normativa sobre protección de datos ha sido un ejemplo de la importancia que tiene la adecuada protección de –en este caso- datos de carácter personal. Pero en este nuevo escenario del mundo conectado no se trata únicamente de nuestra información personal, sino de la protección de cualquier tipo de información y de la lucha contra el software malicioso. El desarrollo de códigos de conducta y la autoridad de los CERT (Computer Emergency Response Team) son nuevas herramientas jurídicas que van a complementar a la regulación tradicional, siendo organismos a los que se dota de la potestad, con ayuda de los ISP, de aislar a equipos informáticos de la red en el caso de que sus titulares no colaboren en la desinfección o eliminación de los elementos causantes del incidente de seguridad identificado.

Adicionalmente a lo anterior, y estrechamente relacionado con las buenas prácticas empresariales y la responsabilidad social corporativa, el régimen de responsabilidad de los administradores es un aspecto que legalmente también debe tenerse en cuenta de cara a exigir a las organizaciones la implementación diligente de las medidas de ciberseguridad necesarias para proteger el negocio.

4. ¿Qué riesgos tienen los dispositivos extraíbles y que medidas debemos adoptar para evitar ser víctima de un delito informático?

Existen infinidad de amenazas que pueden afectar a nuestros dispositivos y, por ende, a nuestra actividad, por lo que es necesario saber gestionar los riesgos existentes en cada momento. Eso exige realizar un ejercicio previo de conocerlos, identificarlos y clasificarlos dentro de un plan de gestión de riesgos del despacho. En este sentido, la guía recientemente publicada por el Consejo General de la Abogacía en colaboración con el INCIBE, es un documento de gran ayuda de cara a elaborar ese plan y poder ayudar a los despachos de abogados a gestionar sus ciberriesgos de manera más efectiva.

Centrándonos en los dispositivos extraíbles, son herramientas muy útiles para extraer información de los sistemas del despacho, por lo que el acceso a dicho dispositivo deberá ir protegido con contraseña, y su contenido completamente cifrado y con factor de acceso. Además, no está de más que las organizaciones del sector jurídico instalen  un servicio (comúnmente conocido como DLP o Data Loss Prevention) que les permita controlar cuándo y quién se descarga información importante de los sistemas del despacho, y si está autorizado a ello.

A su vez, este tipo de dispositivos extraíbles también pueden ser un fácil vía de acceso de software malicioso en las organizaciones, por lo que antes de instalar cualquier tipo de dispositivo de esta naturaleza (cuyo origen deberá ser siempre confiable) deben tomarse medidas que garanticen que no existe amenaza, como ejecutar un previo análisis con el antivirus.

Hago especial hincapié en la confianza porque en nuestra experiencia, una práctica que habitualmente utilizan los cibercriminales para acceder a los sistemas de una empresa consiste en dejar abandonado un pendrive dentro (pe., los baños) o cerca de las instalaciones (pe., el parking) con el ánimo de que algún empleado lo recoja y su curiosidad le lleve a instalarlo en un ordenador de la organización para ver sus contenidos, que previamente habrá nombrado con un nombre que incite a su rápido acceso y a su posterior difusión interna (pe., identificando el fichero como “nóminas”, por poner un ejemplo). Por ello desde INCIBE siempre recomendamos que los bufetes hagan uso del kit de concienciación que aparece publicado en el área denominada “protege tu empresa” en su página web, donde se ofrece gratuitamente información y buenas prácticas también en el uso de este tipo de terminales.

5. ¿Es segura ‘la nube’ para tener información confidencial?, ¿Cuáles son sus recomendaciones para evitar el acceso a información en la nube por delincuentes informáticos?

La nube es una manera más eficaz y barata de almacenar información, pero por sí sola no es ni más ni menos segura que cualquier otra forma de almacenamiento. Para poder valorar el nivel de protección y seguridad que ofrece cada plataforma de cloud habrá que analizar las medidas de seguridad que tenga implantadas y el diseño de su arquitectura.

En cualquier caso, es importante diferenciar el tipo de nube de que se trate, ya que no es lo mismo disponer de una nueve privada que una pública. En relación a esta última, muchas han sido las advertencias de falta de seguridad de sistemas de almacenamiento del tipo Dropbox o similares, que son herramientas que no deberían ser utilizadas por la abogacía para almacenar expedientes del despacho.

Uno de los debates que se abrieron al tratar el tema de la seguridad de la nube era, precisamente, el mayor impacto que podría tener un acceso inconsentido, ya que habitualmente el volumen de información que se almacena en un sistema en la nube es muy superior al de un almacenamiento tradicional. Pero a los efectos de securizar una nube es importante que se implementen medidas de seguridad dirigidas a evitar accesos no deseados, tanto desde el punto de vista técnico como de control de usuarios.

6. ¿Considera que la filtración que ha sufrido el bufete Mossack Fonseca debe llevar a los despachos a reforzar la protección de su seguridad de la información?

Los despachos siempre deberían tener un nivel alto de protección de la seguridad de la información, con independencia de que se produzcan o no este tipo de desgraciados incidentes. Y digo que deberían porque es habitual que los incidentes informáticos se descubran transcurridos varios meses desde que se produjeron, por lo que el hecho de reforzar la seguridad hoy no nos salva de que hayamos podido haber estado sufriendo una fuga de información desde hace tiempo, sin haberlo detectado. Entre los profesionales de la seguridad existe un dicho que refleja esta triste circunstancia, y que afirma que hay dos tipo de organizaciones: las que han sido hackeadas y las que no saben que han sido hackeadas.

En todo caso, la información de los clientes es, para cualquier despacho, un activo fundamental, y deben ser protegidos como tal, sin perjuicio de que exista un deber legal y deontológico de protección. No olvidemos que nuestra profesión tiene un alto componente de confianza del cliente, por lo que la divulgación de un rumor o una noticia que cuestiona la seguridad de un despacho puede tener un impacto muy negativo en su reputación.

7. Tras los ‘Papeles de Panamá’ se ha cuestionado la confidencialidad y seguridad de la información proporcionada por los clientes a los abogados ¿Qué medidas de gestión de acceso a la información deben tener en cuenta los bufetes? ¿Considera necesaria la suscripción de ciberpólizas por parte de bufetes o apuesta por otro tipo de medidas?

El principio es el de mínimo privilegio, que significa que las personas de la organización solo puedan acceder a la información que resulte imprescindible por razón de su función en la misma. Y en los aspectos de almacenamiento y archivo de la documentación de los expedientes, se recomienda mantenerlos aislados en un terminal sin acceso a internet. Aun así, cada despacho es distinto, por lo que es importante que elaboren el plan de riesgos ad hoc al que me he referido antes, donde puedan identificar qué riesgos deben gestionar en cada momento y, a partir de ahí, instauren las medidas de ciberseguridad adecuadas.

Respecto al tema de los ciberseguros, es un producto que cada vez está tomando más relevancia, y ya existen en el mercado varias compañías de seguros están ofreciendo productos cada vez más completos, gracias, entre otras cosas, al impulso que se le viene dando a este tema desde el INCIBE. Se trata de una decisión que se hará imprescindible en breve, ya que, además de ser una buena práctica empresarial, la ciberseguridad no deja de ser un aspecto estrechamente relacionado con la responsabilidad civil del profesional.

El riesgo de daño informático, de daño a la reputación, de sanciones o multas del regulador, lucro cesante por paralización del negocio, robo de información, etc., son riesgos que pueden ser cubiertos por este tipo de productos, por lo que es claramente recomendable que los despachos elijan la póliza que mejor se adapte a sus riesgos y necesidades. No sólo por la seguridad en sí, sino también –insisto- por la responsabilidad y el deber de diligencia que los despachos deben aplicar a la gestión de los datos de su clientela y de sus propios empleados.

8. En los ‘Papeles de Panamá’ se robaron 11,5 millones de documentos, de los cuales casi 5 millones son correos electrónicos ¿Qué medidas se deben adoptar para tener un correo electrónico seguro?

Yo soy partidario de hablar de un enfoque holístico de la ciberseguridad, esto es, que la aborde en todos sus aspectos, y no sólo se centre en acciones puntuales y concretas.

Y conviviendo con la parte de cultura empresarial que he mencionado antes, existen herramientas de cifrado del correo electrónico que ayudan a tener una conexión segura (las denominadas VPN), que evitan el acceso a esas comunicaciones. Pero no debemos olvidar que esos correos se almacenan en un servidor de correo, al cual se tiene acceso desde el ordenador, pero también se puede tener acceso desde el móvil. Es decir, debemos reforzar al máximo la seguridad de nuestros servidores de correo, pero si resulta que extraviamos nuestro Smartphone, y no habíamos habilitado un sistema de protección de acceso suficiente, no habrá servido de nada. En este sentido, recientemente hemos visto el caso de los correos de Hillary Clinton, cuya filtración se debió a que utilizó un servicio de correo electrónico que no disponía de las medidas de seguridad adecuadas a la confidencialidad de su contenido.

Por tanto, debemos exigir a nuestro proveedor del servicio de correo electrónico que nos garantice la seguridad y la confidencialidad de los mensajes, sin perjuicio de que podamos utilizar otro tipo de herramientas alternativas de cifrado (algunas de las cuales tienen versión gratuita, tipo Prot-On, por citar alguno).

9. ¿Cómo deben ser los protocolos de seguridad que deben adoptar los abogados y los bufetes para evitar la fuga de información confidencial?

Los protocolos de seguridad lógica (pe., el protocolo de seguridad https, imprescindible si se realizan pagos a través de la web) y los protocolos de actuación interna deben ser elementos que formen parte inherente a la cultura del despacho. Deben estar actualizados y en constante evolución, pues de su correcta aplicación puede depender la continuidad del negocio.

Estos protocolos deben ser de obligado cumplimiento para toda la organización, y prever situaciones que deben ser evitadas por sus integrantes. Por poner algún ejemplo de práctica habitual que deberíamos abandonar: llevarse a casa expedientes en un USB sin contraseña, enviar información de nuestros clientes por correo electrónico sin proteger, acceder al correo corporativo desde nuestro terminal particular sin aplicar medidas específicas para garantizar el acceso seguro, etc., son prácticas que todos los abogados del bufete deben tratar de evitar por el alto nivel de riesgo que ello supone para la organización y para ellos mismos.

10. ¿Son eficaces códigos de conducta y sellos de confianza establecidos en la era digital para garantizar la seguridad de la información?

Los códigos de conducta serán sin duda un instrumento que nos ayudará a mejorar la seguridad de la información, ya que a través de ellos las empresas se comprometen a asumir una serie de obligaciones de seguridad adicionales a las legalmente impuestas, que ayudarán a incrementar los niveles de protección de la organización. Todavía nos encontramos en la fase de desarrollo e implementación de este tipo de códigos en la industria y no disponemos aún de datos fiables que nos permitan acreditar el nivel de mejora que aportan.

Sin embargo, soy optimista en cuanto a los beneficios que aportarán este tipo de soluciones, más basadas en una actitud de querer hacer mejor las cosas. Pero la industria deberá encontrar en este tipo de prácticas algún incentivo que les recompense por su actitud y buen hacer, y que bien pueden encontrarlo a través de la responsabilidad social empresarial.