“All the rules of logic don't apply” - Vonda Shepard
Algunos males dan nombre a su época. Así como en los tiempos de la peste negra, hoy día estamos en la era de los ataques informáticos. Que son masivos, devastadores, igualitarios y disruptivos. Sin duda, a este tiempo, en términos de seguridad informática, le llamarán “La época del ransomware”.
Como abogados, pensamos que los hackers solo atacan a nuestros clientes. Consideramos cuáles son los remedios legales que lleven compensación a los perjudicados y repartan responsabilidades entre los actores de este drama tecnológico. Males ajenos, actividad y ganancias propias.
Pero esta vez, ocurre que aquel mal ajeno se convierte en propio y, en vez de proyectar una acción en masa contra el proveedor de Internet desvalijado, vemos con horror que los datos que guardamos en el estudio se han convertido en rehenes de un ransomware. Similar a los casos en que el médico se tiene que operar de urgencia.
Siendo honestos, no importa cuantos reparos tomemos, el ataque puede llegar. Pero está claro que mientras más medidas tomemos menos dañino será, y permitirá que salvemos nuestra responsabilidad frente a los titulares de los datos que integran las bases atacadas.
Los ordenamientos jurídicos latinoamericanos tienden a distinguir entre titular y responsable de los datos personales. Los abogados almacenamos cantidades formidables de datos ajenos que organizamos en bases de datos. Somos responsables de su seguridad frente a los titulares. Esta diferencia no es advertida por muchos colegas, que cuando son atacados se lamentan por sus datos, sin tomar en cuenta la formidable responsabilidad en la que han incurrido frente a los terceros que son titulares de los ajenos.
La primera línea de defensa es ser consciente que el abogado es una víctima más de estos ataques que, por masivos, no distinguen a qué se dedica su víctima. Y si lo saben, por tratarse de un ataque más dirigido, conocen la calidad y cantidad de los datos de terceros que están almacenados en un bufete. La segunda barrera es considerar la responsabilidad que trae no tomar ninguna medida. Hay que preguntarse: ¿quién podría estar interesado en atacarme a mí o a mi firma? Si no nos hacemos la pregunta o, al hacerla, desterramos la amenaza por pensar "a mí no me va a pasar", dejamos demasiados agujeros por los que pueden colarse los piratas.
La base de la concienciación en seguridad es desterrar lo que los expertos llaman el "mito de la irrelevancia". Ese mito suele estar alojado en la cabeza, por opuesto a los sistemas, de muchos abogados. Ahora vamos a los consejos, presentados como “leyes” - pues somos abogados después de todo:
Ley primera: hacer backups
Al menos dos copias de seguridad actualizadas, para asegurarnos de seguir teniendo nuestros archivos si uno de ellos falla. Además, es (muy) conveniente que no estén las dos copias en el mismo servidor ni en el mismo dispositivo. Incluso es mejor que no estén en el mismo edificio. En cuanto a los backup en las nubes, también pueden ser atacados, ya que se sincronizan automáticamente. Esto es lo que ocurrió en los últimos ataques, que revelaron una pasmosa habilidad de contagio.
Ley segunda: no abrir emails de origen desconocido
Nunca se deje tentar por el Banco Central de Uganda que le sugiere enviar a su sede unos pocos dólares, a cambio de recibir mil millones de dólares (¿ugandeses?). Si bien seguir este precepto es recomendable, lo cierto es que las campañas de phishing del mes de junio pasado, atacaron desde las redes sociales, imitando muy bien orígenes y corresponsales frecuentes y conocidos. Una pesadilla.
Ley tercera: limitar los privilegios de acceso a los equipos del estudio
En otra palabras, no todos los integrantes del estudio pueden acceder o modificar todos los documentos. Este sistema permite crear una suerte de compartimentos estancos. Sin embargo, los ataques recientes sugieren, como dije antes, una fuerte capacidad de vulnerar estas defensas.
Ley cuarta: mantener actualizados los programas antivirus
Y permitir que se descarguen las actualizaciones que a la vez mejoran la seguridad. Algunas llevan cierto tiempo y uno se impacienta. Más va a doler el ataque.
Ley quinta: correr programas auténticos y licenciados para todos
No hay más remedio. Es lo que indica la normativa y el sentido común. En las versiones “piratas” no hay actualizaciones y no se descargan los “parches” de seguridad. Es como conducir sin frenos por que es caro el líquido…
Ley sexta (la más importante): capacitar a todos los miembros de la organización en estos temas
De nada vale tener un programa licenciado si guardamos los backups en el mismo ordenador, por ejemplo. O abrimos el email de una supuesta Kate Hudson que nos declara su amor.
Ley séptima: saber dónde se está parado en lo que a seguridad se refiere
Un test de penetración se lo dirá. La base de un buen tratamiento preventivo es el diagnóstico de la vulnerabilidad del organismo.
Ley octava: notificar el incidente a sus clientes
Es duro, pero es una manera de prevenir más daños y responsabilidades. Hacer lo correcto no siempre es hacer lo que uno quisiera.
}
Add new comment