Abogados y seguridad informática 2017: el año que vivimos en peligro

“Do I Make You Nervous ?”, A Place in the Sun, 1951.

El fin de 2017 es buen momento para recordar qué nos trajo el año en materia de tecnología y práctica del Derecho. Diría que la noticia del año fue la secuela de ataques informáticos sufridos por bufetes, desde Centroamérica hasta Tierra del Fuego. Era predecible, ya que 2016 fue considerado como el “Año del Incidente” para los abogados , según lo atestigua una tersa nota del National Law Review. En este sentido, la seguridad informática que preocupa a los abogados (y a sus clientes) cada vez más, es la de su propio estudio jurídico. No es una cuestión muy accesible: a los abogados no les gusta hablar de este tema.

El Informe Anual de Seguridad Cisco 2015 ubicó a los estudios jurídicos en el séptimo lugar favorito de los delincuentes informáticos, antes aún que el mercado de seguros, lo que confirma la percepción del criminal sobre su seguridad relativa. Predijo un aumento del 50% de un año al otro en la posibilidad de que los estudios jurídicos enfrenten ataques de software maliciosos.

En su informe de 2016, la misma firma alertó sobre la edad provecta de los ordenadores de las empresas analizadas, de los cuales un tercio estaba en estadío final. Honestamente, pregúntese "¿cómo están los ordenadores de mi bufete?".

Por otra parte, si bien una fracción de la documentación de los estudios jurídicos aún se conserva en papel, cuando el 90% de la documentación comercial es digital y solo una tercera parte de ella se imprime, la probabilidad de acceder a información valiosa es más grande si se ataca una base de datos que a una caja de documentos impresos.

Un alto porcentaje de los ataques informáticos a los bufetes se realizan desde su interior, utilizando los accesos de usuarios autorizados con claves de acceso débiles, o sin querer, al consultar páginas indebidas desde las computadoras y la red interna.

¿Cuáles son los fallos más frecuentes de los abogados al cuidar su información?

• Un abogado o un empleado que abre un mensaje de correo electrónico falso, que descarga un virus o le engaña para robar información. Según el informe de Cisco de 2017, el correo electrónico no deseado representa casi dos tercios (65 %) del volumen total de correos electrónicos- y está aumentando, principalmente, debido a botnets extendidos y en crecimiento que envían correos electrónicos no deseados. Además, alrededor del 8 al 10 % de los correos electrónicos no deseados observados en 2016 en todo el mundo, podrían clasificarse como maliciosos.
• Una consecuencia no deseada de abrir estos correos es dar lugar al ataque denominado ransomware que, literalmente, ha hecho volar en pedazos la infraestructura de seguridad de bufetes en toda Latinoamérica. Es preocupante asimismo la habilidad de los asaltantes para monetizar sus incursiones. Los abogados pagan y pagan para rescatar la información de sus clientes que ha sido secuestrada por el pirata. En definitiva, le transmiten al malhechor la sensación de que lo volverán a hacer cuantas veces se lo exijan.
• Ataques externos que involucran a la piratería informática, incluyendo los de redes de delincuentes extranjeros y nacionales que buscan medios fáciles para robar información o a terceros subcontratistas, transferencia de datos, robo de empleados o personas con información privilegiada.
• La pérdida o el robo de una computadora portátil, una unidad de disco USB, un teléfono inteligente u otro dispositivo móvil. En estos dos casos, con el acceso al correo electrónico de la oficina y a otras redes de estudios jurídicos, dicho robo puede ser una puerta abierta para los delincuentes informáticos, quienes podrán robar información confidencial de clientes que generalmente no está encriptada.

A pesar del número y calidad de los bufetes atacados y lo corriente del mal, lo cierto es que pocas firmas de abogados se han preocupados por la prevención. En general, pasado el momento del ataque y sufridas las pérdidas, los abogados caen en un sueño comatoso. Hasta el siguiente.

Sin embargo, tomando en cuenta que el 57% de los especialistas consultados en Cisco 2107 señalan peligroso “el comportamiento descuidado del usuario” (por ejemplo, hacer clic en enlaces maliciosos en el correo electrónico o los sitios web), sería aconsejable capacitar a todos los miembros del estudio en la correcta manipulación y protección de datos propios y de clientes. Este punto es importante si los abogados usan computadoras portátiles propias que no pertenecen al estudio, trabajan en un lugar con WiFi abierto o, lo más importante, si se les ocurre la mala idea de mover información de una cuenta de correo corporativo a otra personal.

Lo más inquietante es que un simple cuestionario sobre temas de seguridad respondido por el letrado, es el primer paso de un ciclo virtuoso: si hay vulnerabilidades, se conocen primero y se corrigen después. Todos salen ganando. Aun así, no hay en el mercado de servicios legales rastros de esta práctica. No es hermetismo informativo: es que casi no se hacen. Y ni hablar de certificaciones en seguridad, sólo el 5% de los principales estudios estadounidenses (de más de 500 empleados) las lucen. En Latinoaméroca podemos envidiar esta magra cifra.

Por último, no está de más señalar que las pérdidas de oportunidades para los bufetes que sufrieron ataques en línea fueron enormes. Una consulta a las firmas afectadas por el huracán de los "Papeles de Panamá" y los "Papeles del Paraíso" lo podría atestiguar.