Skip to main content
#PanamaPapers: La seguridad de la información en los estudios de abogados

#PanamaPapers: La seguridad de la información en los estudios de abogados

por Martín Elizalde
publicado el26/04/2016
Compartir
Una noticia asombrosa en un océano de imprudencias

Primero, el bufete panameño Mossack Fonseca lo reconoció: "Tenemos un informe técnico que dice que fuimos hakeados desde servidores extranjeros." Después, la noticia conmovió al mundo entero. La falta de seguridad de la información en los sistemas de la firma fue especialmente llamativa. Veamos:

  • Mossack Fonseca no había actualizado su programa de Outlook Web Access desde 2009.

  • El portal de clientes corre en una versión desactualizada de Drupal y tiene por lo menos 25 vulnerabilidades, que incluyen una vulnerabilidad a inyecciones SQL de alto riesgo.

  • Los mensajes de correo electrónico de Mossack Fonseca no estaban encriptados.


Si bien el efecto de los descuidos fue desastroso para la firma y para sus clientes, en realidad no eran difíciles de corregir o prevenir.

Un caso, pero no una rareza

El desastre de la fuga de información puso en evidencia la falta de cuidados básicos en la que la firma había incurrido. Pero no esto no es un caso aislado. En un informe de Citigroup se llega a la conclusión de que los estudios jurídicos son blancos “atractivos” para los hackers, porque estos acceden y almacenan datos sensibles de los clientes como parte de sus operaciones diarias. Y en concreto, porque es más fácil atacar a un estudio de abogados, que a un banco - para obtener el mismo botín. El mismo informe concluye que, debido al silencio de las víctimas, “no es posible determinar si los ataques informáticos contra estudios jurídicos están creciendo”. El Informe Anual de Seguridad Cisco 2015 ubicó a los estudios jurídicos en el séptimo lugar favorito de los delincuentes informáticos —¡antes que las compañías de seguros!—, y predijo un aumento del 50% en la posibilidad de que los estudios jurídicos enfrenten ataques de software maliciosos.

Un atractivo fatal

“Los estudios jurídicos son blancos muy atractivos. Poseen información de los clientes sobre negociaciones en las cuales sus adversarios están muy interesados”, según Harvey Rishikof, presidente del Comité Legal y de Seguridad Nacional de la Asociación de Abogados de Estados Unidos.

Por otra parte, si bien una fracción importante de la documentación de los estudios aún se conserva en papel, cuando 90% de la documentación comercial es digital y solo una tercera parte de ella se imprime, la probabilidad de acceder a información valiosa es más grande cuando se ataca una base de datos que a una caja de archivos gráficos.

Los delincuentes informáticos están constantemente buscando blancos fáciles y fuentes de datos valiosos. ¿Qué es lo que hace que estos datos sean valiosos? Si se pueden usar exitosamente para robar identidades, entonces los delincuentes los usan para cometer un fraude, aún antes de que se detecte la falla.

Veamos algunos ejemplos, con la intención de que el lector se identifique (o no) con el uso de esta data de sus clientes:

Un nombre, número de documento de identidad, símbolo u otra identificación asignada a una persona; cualquier información que describa algún elemento acerca de una persona; cualquier información que indique acciones realizadas por o hacia una persona; y cualquier información que indique que una persona posee determinadas características físicas. Más en detalle: Currículum vitae; correspondencia; direcciones; números telefónicos; número de permiso de conducir; número de matrícula profesional; información contable; información médica y de salud; información impositiva; clasificaciones laborales e información salarial de personas físicas; etc.

Sume a esa data propuestas comerciales de todo tipo, información derivada de prácticas de due diligence, historial de conflictos societarios de una empresa o de divorcios.

Un tesoro de información que le fue confiada al abogado.

Esta situación se extiende a aquella documentación que está en “la nube”, dado que si bien el profesional delega el control y la seguridad de la información a un proveedor, no delega la responsabilidad legal.

Esa tendencia a errar...

¿Cuáles son las fallas más frecuentes de los abogados al momento de cuidar su información?

  • Un abogado o un empleado que abre un mensaje de correo electrónico falso.

  • Ataques externos que involucran piratería informática, que incluyen los de redes de delincuentes extranjeros y nacionales, que buscan medios fáciles para robar información o a terceros subcontratistas, transferencia de datos, robo de empleados o personas con información privilegiada.

  • Pérdida o robo de una computadora portátil, una unidad de disco USB, un teléfono inteligente, una tableta u otro dispositivo móvil. En estos dos casos, con el acceso al correo electrónico de la oficina y a otras redes de estudios jurídicos, dicho robo puede ser una puerta abierta para que los delincuentes informáticos obtengan acceso a información confidencial- que generalmente no está encriptada.


Los clientes se hacen oír

Tras la debacle, son los clientes los que se harán oír: si sufren daños como resultado de la violación de datos, tales como daños a su credibilidad como consecuencia de un robo de identidad, la pérdida de fondos de cuentas bancarias, o su cargo público, pueden presentar un reclamo por culpa o mala praxis. Son muchos los que en las últimas semanas están presionando a los estudios jurídicos para que refuercen sus defensas, incluso interrogándoles al respecto.

Algunas medidas de prevención

No son infalibles, pero los expertos recomiendan:

  • Realizar una evaluación de riesgos, que suele contar con la ayuda de los servicios de proveedores de tecnología informática independientes. Aplicar luego las recomendaciones recibidas.

  • Usar una tecnología de encriptación apropiada en servidores, computadoras de escritorio, computadoras portátiles y todos los dispositivos móviles.

  • Establecer mecanismos que limiten el acceso a sistemas informáticos y al correo electrónico solamente a los usuarios autorizados y seguir políticas de contraseñas apropiadas.

  • Desarrollar y seguir una política de retención y destrucción de datos, de manera tal que los datos personales no estén en riesgo.

  • Mantener actualizado el software antivirus y de seguridad, y aplicar habitualmente los parches recomendados en todos los programas y sistemas utilizados.

  • Capacitar a los empleados en la manipulación y protección apropiada de datos sensibles y en el uso y la protección de las contraseñas

  • Finalmente, desarrollar un plan amplio de preparación para violaciones para permitir la acción decisiva y evitar la parálisis operativa cuando ocurre una violación de datos.


Conclusiones

Su negocio recolecta información de terceros que es confidencial y de la que usted es responsable. Es aconsejable abandonar la mentalidad de “a mi no me puede pasar” o “somos demasiado chicos para interesar a nadie”. Una acción proactiva no lo salvará de los incidentes, pero lo pondrá más allá de una imputación masiva de negligencia. Y eso no es poco.

¡Únete a la discusión!

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.