Aspectos de ciberseguridad para el teletrabajo de la abogacía

Francisco Pérez Bes, socio de Derecho Digital en Ecixy miembro de la Comisión Jurídica del Consejo General de la Abogacía Española

La abogacía es, por sus propias características, una profesión tradicionalmente acostumbrada al trabajo en movilidad. En efecto, el trabajo desde casa, los viajes de trabajo, los desplazamientos a las oficinas del cliente, o las gestiones desde los juzgados, hacen que, desde hace tiempo, cada vez sean más los abogados que utilizan las tecnologías para ser más eficientes en la prestación de sus servicios.

Sin embargo, no es menos cierto que, así como podemos considerar a la abogacía como pionera en el uso de soluciones a distancia, no podemos decir lo mismo en lo que a la ciberseguridad se refiere, aún a pesar de los esfuerzos que se vienen haciendo desde las instituciones públicas y las colegiales, en estos últimos tiempos.

Y es que los abogados seguimos siendo un punto de acceso clave a información sensible (del despacho, de clientes, de operaciones y asuntos en marcha, de asuntos terminados, de expedientes judiciales y transaccionales, etc.), razón ésta que justifica la exigencia de una constante observancia de la obligación ética de proteger el secreto profesional, tal y como se encarga de recoger el artículo 5 del Código Deontológico de la Abogacía[1].

Esta situación se ha agudizado aún más durante la declaración mundial de pandemia. Esto, como es sabido, ha obligado a los despachos de abogados (y al resto de empresas) a implantar un sistema de teletrabajo para el cual, en muchas ocasiones, no estaban suficientemente preparados, ni desde el punto de vista técnico ni del organizativo (terminología ésta que es la utilizada por el Reglamento General de Protección de Datos).

Tal extremo, como es evidente, altera el escenario de asunción de riesgos para cualquier organización, en el sentido de que una descentralización masiva de la actividad de sus empleados amplía la superficie de exposición a las amenazas cibernéticas, con el correspondiente incremento de la probabilidad de sufrir algún tipo de incidente de ciberseguridad que afecte a los sistemas y a la información que en ellos se encuentra alojada. Dicho con otras palabras, los despachos de abogados, en esta situación pierden control sobre la actividad de sus empleados online, quienes pasan a seguir desarrollando sus actividades en un escenario de riesgos distinto al que existe dentro de su ecosistema de trabajo habitual. Y la totalidad de sus miembros pasa ahora a realizar eventuales conexiones y accesos, distintos a los que habitualmente se producen desde la oficina.

Pero no solo eso. También los clientes y proveedores del despacho se han visto obligados a adoptar soluciones iguales o similares, alterando la manera en la que el despacho está habituado a comunicarse con estos terceros.

Esta situación, a la par que ofrece un sinfín de oportunidades y ventajas, si no se planifica de manera adecuada, también encarna una serie de peligros, que es preciso conocer, para poderlos evitar. Para ello, tanto el despacho como sus miembros van a tener que trabajar conjuntamente para implementar y poner en prácticas las medidas técnicas y organizativas que la organización tuviera acordadas en sus políticas internas de protección de la confidencialidad, integridad y accesibilidad de la información.

POLÍTICAS INTERNAS DE PROTECCIÓN

Por ello es importante analizar esta situación desde ambas visiones, la del despacho y la de los abogados que lo componen, así como la del resto del personal -si lo hubiere-, pues la responsabilidad de mantener la seguridad de los sistemas y de la información del despacho, es compartida entre todos ellos.

La del despacho pasa principalmente por diseñar y aplicar las políticas y los procedimientos internos diseñados a tal fin, dando soporte técnico a los abogados que lo necesiten, cuando lo necesiten. Mientras que la de los abogados, será la del cumplimiento y respeto escrupuloso de tales políticas, a la vez que hay que añadir el uso razonable y prudente de los recursos tecnológicos, que el despacho haya puesto a su disposición con el fin de poder continuar desarrollando su actividad con normalidad y eficiencia.

Evidentemente, si a fecha de hoy el despacho no dispone de un plan director de ciberseguridad, o de políticas específicas destinadas a la protección de la seguridad (pe., algún tipo de ISO o sello de calidad similar), se incrementa la posibilidad de sufrir incidentes de seguridad, que incluso pueden poner en peligro la continuidad del negocio.

En efecto, estos últimos meses hemos vuelto a ser testigos de cómo el ransomware hace estragos entre las pymes, o de cómo determinadas estrategias combinadas, logran –con gran eficacia- que se aprueben transferencias económicas a cuentas, aparentemente de titularidad de nuestros clientes, pero que en realidad son titularidad de organizaciones criminales. En ocasiones, estas estrategias pasan por la suplantación de identidad de un abogado, pues los ciberdelincuentes saben que los abogados somos un agente de confianza para los clientes a los que pretenden atacar.

Si bajamos al detalle de medidas concretas a adoptar durante esta fase de teletrabajo, podemos comenzar por referirnos a las medidas técnicas que conviene tener en cuenta.

MEDIDAS TECNOLÓGICAS A ADOPTAR

Como una de las principales medidas tecnológicas que debe aplicar el despacho para el que se teletrabaja, destaca la de la instalación de una red privada virtual (por sus siglas en inglés, VPN), gracias a la cual se permite a los empleados que se conectan a distancia, una conexión a los sistemas de la organización a través de un canal seguro, ya que permite –principalmente- la transmisión cifrada de los datos que circulan a través de aquellas. Esta técnica, la del cifrado, garantiza la confidencialidad y la integridad de las comunicaciones, de manera que, aunque sean interceptadas durante su transmisión, no será posible su lectura (salvo que se disponga de la clave).

Además, aunque existen soluciones VPN gratuitas en el mercado, lo recomendable es que sea la empresa la que ponga a disposición de sus empleados una red propia y de confianza, para reducir el riesgo de vulnerabilidades.

Ahora bien, si bien es cierto que la comunicación viajará segura gracias a una comunicación cifrada punto a punto, no hay que olvidar que, si el terminal del destinatario o del receptor han sido vulnerados, un tercero podría tener acceso a esa información antes de enviarse, o justo en el momento de recibirse. Por eso, tan importante es tener una VPN segura, como garantizar que los terminales usados (portátil, móvil, Tablet…) están libres de software malicioso del tipo troyano, o keylogger, que permiten a un cibercriminal el acceso inconsentido a la información almacenada en los dispositivos.

Adicionalmente, y ante el riesgo de que un tercero persiga tener acceso ilícito al sistema del despacho, resulta igualmente importante disponer de unos permisos de acceso robustos, con contraseñas fuertes y difíciles de adivinar, a lo que se recomienda sumar un factor adicional de autenticación. De esta manera, en el caso de producirse algún tipo de acceso no consentido, se advierte de inmediato a su legítimo titular, quien puede reaccionar de manera rápida a ese intento de acceso ilícito al sistema.

Y en caso de detectarse la producción de un incidente, es importante disponer del contacto con los proveedores que podrían prestarnos ayuda técnica en caso de necesitarla, quienes se encontrarán en una situación similar a la nuestra, en lo que a la dificultad de prestar su servicio con normalidad, se refiere. Entre estos proveedores, destacamos el contacto con el agente de seguros que nos gestiona la póliza de ciberseguro (en caso de disponer de una), y, en cualquier caso, el contacto del INCIBE-CERT.

Aunque es, especialmente, la principal fuente de riesgo, el entorno del usuario, quien, al encontrarse en un entorno de trabajo desconocido, tiene más probabilidades de verse afectado por algún tipo de amenaza específica, que en situaciones normales.

EMPLEADO DESLOCALIZADO

Por ello, es especialmente importante que el despacho facilite dispositivos corporativos, que dispongan de las medidas de seguridad acordadas en las políticas internas, evitando en la medida de lo posible que el abogado deba utilizar terminales personales, cuyas medidas de seguridad puedan no ser adecuadas. En el caso de que ello no fuera posible, deberá aplicarse la política de BYOD (Bring Your Own Device) que tenga implementada la organización, y facilitar al empleado deslocalizado cuantas medidas sean necesarias para garantizar la seguridad tecnológica del dispositivo y, por lo menos, de las conexiones a los sistemas del despacho. Este aspecto es especialmente relevante, ya que, durante los días de teletrabajo, los usuarios van a tender a descargarse en los dispositivos profesionales, aplicaciones de mensajería y videoconferencia, de formación online, etc., cuyas medidas de seguridad y de tratamiento de datos pueden no ser equivalentes a las que se exigen por el despacho.

Este es, además, un buen momento para reforzar las acciones preventivas y de concienciación que el despacho haya puesto en práctica, al objeto de que el abogado no olvide sus obligaciones a la hora de hacer un uso responsable de los dispositivos que le facilita el despacho. Ahí se incluyen otros comportamientos diligentes relacionados con el uso de la informática, como pueden ser los de utilizar software lícito y actualizado, no utilizar dispositivos extraíbles (pe. USB) que no sean de confianza, usar contraseñas robustas, y aplicar medidas de precaución durante la navegación, con las que evitar ser víctima de ataques de ingeniería social u otros tipos de fraudes online.

A esto último debe dársele una especial relevancia, ya que, al trabajar desde el domicilio particular, podemos no disponer de una conexión lo suficientemente segura, que podría permitir a un ciberdelincuente intentar engañarnos para realizar conexiones a páginas web inseguras (bajo la apariencia de licitud), o a facilitar información confidencial, bien sea personal, bien sea del despacho o de sus expedientes.

En conclusión, la ciberseguridad en el teletrabajo de los abogados pasa, de un lado, por la actuación responsable del despacho a la hora de facilitar todas aquellas medidas de seguridad que sean necesarias para lograr un nivel de seguridad y resiliencia adecuados (conexiones, parches, actualizaciones, configuración, etc.). Y, de otro lado, por la diligencia del abogado en su condición de usuario, quien deberá actuar extremando las precauciones y con una prudencia superior a la habitual, tanto a la hora de realizar conexiones a páginas web poco habituales o poco conocidas, como durante sus comunicaciones (por ejemplo, a la hora de facilitar información sensible por correo electrónico, teléfono o videoconferencia) o, incluso, a la hora de realizar compras online o de realizar transacciones económicas relacionadas con nuestra actividad profesional.

También hay que ser conscientes de que los ciberdelincuentes aprovechan estas situaciones para realizar llamadas telefónicas, haciéndose pasar por proveedores del despacho, al objeto de solicitar datos personales u otra información de compañeros o de clientes. Este tipo de prácticas delictivas puede acompañarse de envío de correos electrónicos que incluyen documentos o enlaces peligrosos, en muchas ocasiones aprovechando la temática del COVID-19. O de noticias falsas relacionadas con asuntos que pueden resultar de nuestro interés o del de nuestros clientes, que es importante contrastar, y no ayudar a su difusión.

Hay que ser conscientes de que el éxito de la ciberseguridad no sólo pasa por confiar en que las medidas técnicas que aporta el despacho son suficientes, o son lo único importante. En cuanto usuarios, debemos actuar con la diligencia propia de un ordenado abogado, a la hora de comportarnos online y de proteger la información (propia o ajena) que manejamos, o a la que tenemos acceso mientras nos encontramos alejados de nuestro puesto de trabajo habitual.

Actuar con prudencia y diligencia forma parte de nuestro deber como administradores y directivos de nuestro despacho, así como de nuestro compromiso deontológico, como abogados. No lo olvidemos.

[1] https://www.abogacia.es/actualidad/noticias/10-preguntas-a-francisco-perez-bes-el-grado-de-concienciacion-sobre-ciberseguridad-de-los-bufetes-todavia-es-bajo/