Los abogados están obligados a proteger la confianza de sus clientes, y los clientes están comenzando a exigir que las firmas de abogados tengan políticas establecidas para garantizar que la información del cliente esté protegida contra un ataque cibernético.
Muchas firmas de abogados son vulnerables a los ataques cibernéticos. Los costes para prevenir y prepararse para un ataque cibernético son altos, pero las firmas de abogados están comenzando a darse cuenta de la importancia de la ciberseguridad para sus clientes y para la reputación de la firma.
Por eso elaboramos esta guía para ayudarte a implementar una adecuada ciberseguridad en tu despacho. Con ello evitarás los ciberataques y, en caso de producirse estos, tendrás las herramientas adecuadas para responder a ellos y reducir los riesgos que pueden ocasionar.
Estos son los pasos que debes seguir para implantar esa política de ciberseguridad en el despacho.
Indice
Posibles vulnerabilidades
No puedes adoptar medidas de protección de la información que manejas en el despacho si antes no conoces las amenazas a las que te enfrentas.
Para ello, debes en primer lugar identificar los datos más importantes que tienes en tu despacho (sobre todo serán los expedientes de tus clientes) y dónde los guardas.
Debes también verificar los dispositivos y el software que usas para almacenar o transmitir esa información.
¿Cómo puede un bufete de abogados convertirse en víctima de un ciberataque?
Las principales amenazas a las que se enfrentan los abogados son:
- Malware: este software malicioso infringe los sistemas de información. El malware puede bloquear el acceso a la red de la firma de abogados o partes de la red, o puede copiar datos del disco duro de la firma de abogados.
- Phishing: el hacker se hace pasar por una empresa legítima e intenta robar información personal o credenciales de inicio de sesión.
- Ataque MITM (hombre en el medio): en esta estafa, también conocida como ataque de espionaje, el estafador intercepta y transmite mensajes entre dos partes que creen que se están comunicando entre sí.
Una vez que eres consciente de tus vulnerabilidades, debes comenzar a establecer las medidas de seguridad que impidan o reduzcan las posibilidades de que esas vulnerabilidades sean explotadas.
Protege tu software
La forma de proteger el software utilizado en el despacho es mantenerlo siempre actualizado.
Dentro del software más usado por los abogados está Lexnet, Abogest, Aranzadi Infolex o Lex tools. Cuando este software está desactualizado contiene errores que son aprovechados por los ciberdelincuentes para acceder al mismo y robar información importante.
Estos ataques pueden causar importantes pérdidas para tu despacho ya que pueden vender o publicar los datos confidenciales de tus clientes o acceder a sus números de cuenta bancaria o tarjeta de crédito.
Una desactualización del software fue el origen del ciberataque sufrido por un despacho de abogados en Panamá y que dio lugar a la publicación de los papeles de Panamá. Aquí aparecían una serie de famosos y personas importantes que tenían dinero o propiedades en paraísos fiscales.
Para proteger el software de tu despacho, si tú mismo gestionas los equipos, es recomendable instalar Windows Update para que actualice automáticamente el sistema.
Instala un buen antivirus
Una de las formas de proteger el software utilizado en el despacho es instalar un buen antivirus.
Los virus y el malware pueden dañar tus dispositivos y destruir tus archivos. Los programas antivirus están diseñados para encontrar e interceptar virus antes de que causen algún daño.
Un programa antivirus es esencial en un PC con Windows, y también puede ser muy útil para usuarios de Mac y Linux.
Instala un firewall
En términos generales, un firewall es un programa de software que impide el acceso no autorizado desde una red privada. Los firewalls son herramientas que se pueden usar para mejorar la seguridad de los ordenadores conectados a una red, como LAN o Internet. Son una parte integral de un marco de seguridad integral para tu red.
Es importante que en el bufete de abogados instales un firewall que proteja todos tus dispositivos y software frente a amenazas externas.
Para más información sobre los cortafuegos, lee esta guía completa.
Protege tu hardware
Podemos definir el hardware como los dispositivos externos usados para conectarnos a Internet: ordenador de escritorio, portatil, tablet o smartphone.
Es importante proteger estos dispositivos frente a amenazas externas. Sobre todo los portátiles, que podemos sacarlos del despacho, lo que aumenta el riesgo de sufrir un ciberataque.
En caso de sacar esos dispositivos fuera del despacho, te enfrentas a la posibilidad de que te lo roben o que accedan a los datos si te conectas desde una red no segura.
Para evitar esto, debes introducir contraseñas de acceso al dispositivo y usar una VPN.
Configura contraseñas de acceso
Si bien muchos pasos de seguridad se relacionan con amenazas intangibles, siempre existe la posibilidad de que alguien pueda coger tu ordenador o smartphone. Una línea de defensa simple aquí es tener una contraseña segura para al menos dificultarles la entrada.
Si te preocupa que alguien realmente acceda a tu dispositivo, otra opción es un bloqueo físico. Esta es una solución ideal para portátiles. Además, ten en cuenta que las contraseñas deben ser fuertes para que sea más difícil descifrarlas. En esta página tienes más información sobre las contraseñas.
Usa una VPN
Una red privada virtual (VPN) es una excelente manera de aumentar tu seguridad, especialmente cuando navegas en línea. Mientras usas una VPN, todo tu tráfico de Internet se cifra y se canaliza a través de un servidor intermediario en una ubicación separada. Esto enmascara tu IP y la reemplaza por otra diferente, de modo que tu ISP ya no puede monitorizar tu actividad.
Cuando se trata de elegir un proveedor, hay algunas ofertas gratuitas, pero las tarifas mensuales para los servicios de pago pueden ser bastante bajas, incluso de 3 euros al mes.
Algunas opciones de pago tienen períodos de prueba gratuitos para el servicio completo y la mayoría ofrece períodos generosos de garantía de devolución de dinero.
Asegura los datos de tu despacho
Los abogados disponen de gran cantidad de información confidencial sobre sus clientes. Esto incluye datos sobre condenas penales y datos de salud, considerados como especialmente protegidos.
Por eso es fundamental asegurar esa información frente a accesos no autorizados.
Para proteger esa información es importante realizar copias de seguridad, utilizar sistemas de cifrado de datos, usar contraseñas seguras, asegurar las redes wifi y navegar de forma segura en Internet.
Realiza copias de seguridad (Backup)
Si solo necesitas hacer una copia de seguridad de datos específicos, usa un software que te permita elegir qué archivos deseas guardar. Para estar seguro, haz una copia de seguridad de carpetas enteras de forma recurrente para asegurarte de que los archivos recién creados o actualizados se respalden en una fecha posterior.
Debes realizar copias de seguridad de los expedientes de tus clientes almacenados de forma digital, de las nóminas de tus empleados …, es decir, de toda la información de tu empresa.
Almacenamiento en la nube
Imprescindible para cualquier abogado con más de un ordenador o dispositivo en uso, el software de sincronización garantiza que tengas los mismos archivos en todos tus dispositivos.
Realiza un cambio en un archivo y se enviará automáticamente a todos los dispositivos utilizando la cuenta, incluso en otros sistemas operativos. Siempre incluyen una copia de seguridad de archivos en línea, a la que puedes acceder desde cualquier lugar, incluso a través de teléfonos inteligentes.
Dentro del software para almacenar información en la nube, podemos destacar Dropbox , Google Drive y Microsoft OneDrive.
Cifra los datos
El cifrado de datos traduce los datos a otra forma o código, de modo que solo las personas con acceso a una clave secreta (formalmente llamada clave de descifrado) o contraseña puedan leerla.
Actualmente, el cifrado es uno de los métodos de seguridad de datos más populares y efectivos utilizados por las empresas, y también por los despachos de abogados.
Los abogados se enfrentan al desafío de proteger los datos y prevenir la pérdida de datos a medida que los empleados usan dispositivos externos, medios extraíbles y aplicaciones web con mayor frecuencia como parte de sus procedimientos comerciales diarios.
Es posible que los datos confidenciales ya no estén bajo el control y la protección del despacho, ya que los empleados copian datos en dispositivos extraíbles o los cargan en la nube.
Aquí más información sobre el cifrado de datos.
Asegura las redes wifi
Para un abogado es fundamental proteger su red wifi para evitar que terceros se conecten a ella y puedan acceder a la información de sus correos electrónico, a los datos bancarios de sus clientes o a cualquier otra información confidencial.
Para asegurar la wifi, lo primero que debes hacer es comprobar la contraseña. Los routers tienen una contraseña por defecto normalmente. Pero esta puede no ser suficiente ya que un hacker puede llegar a descifrarla y acceder a la red.
Navega de forma segura en Internet
Existen una serie de recomendaciones para poder navegar de forma segura en Internet sin poner en peligro la información que manejas en el despacho:
- Utiliza un navegador seguro
- Usa un administrador de contraseñas
- Accede solamente a páginas web https
- No abras emails extraños procedentes de remitentes desconocidos
- Utiliza una VPN
7 consejos de Ciberseguridad para abogados
Para garantizar una adecuada seguridad de la información en los despachos de abogados es fundamental seguir estos siete pasos:
- Identifica el sistema de la empresa que alberga datos confidenciales.
- Segrega datos confidenciales.
- Limita el acceso a datos confidenciales.
- Cifra todos los datos.
- Monitoriza quién tiene acceso a datos confidenciales.
- Capacita a todos los abogados y al personal legal en prácticas de ciberseguridad.
- Realiza evaluaciones periódicas de seguridad cibernética.
Ciberataques a bufetes de abogados
Al igual que cualquier sector que trabaja a través de Internet, los abogados sufren cada día miles de ciberataques. Haremos mención a algunos de los más conocidos.
Papeles de Panamá
El bufete de abogados Mossack Fonseca sufrió un hackeo en sus sistemas informáticos que permitió acceder a miles de documentos de sociedades opacas creadas para esconder dinero en paraísos fiscales. Es lo que se conoció como los papeles de Panamá.
Este ciberataque se produjo a partir de un plugin de WordPress denominado Revolution Slider, que permite presentar las páginas web de forma atractiva para los usuarios.
La página web de este despacho de abogados usaba una versión vulnerable de este plugin que permitió a los hackers el acceso a su información.
Como vemos, el hecho de no realizar actualizaciones constantes del software puede ocasionar graves consecuencias para el negocio.
El comisario Villarejo espía a un despacho de abogados
El comisario Villarejo ha sido imputado también por espiar al despacho de abogados Balder IP, contratado por el bufete Herrero y Asociados.
A Villarejo le encargaron averiguar si unos empleados que se habían cambiado de despacho al de la competencia, se habían llevado datos de clientes de su anterior bufete. Para ello le piden que realice un ataque informático.
Fallo de seguridad en Lexnet
Lexnet es uno de los softwares más usados hoy en día por los profesionales de la abogacía. Se trata de un software creado por el Ministerio de Justicia que permite recibir notificaciones judiciales vía telemática. De esta forma, los abogados comparten documentos con juzgados, procuradores u otros abogados.
En 2017 se produjo un importante fallo de seguridad en dicha aplicación que permitía acceder a datos personales e información confidencial en una gran cantidad de expedientes judiciales.
Esta brecha de seguridad obligó a paralizar el funcionamiento de la plataforma. Los abogados fueron quienes se dieron cuenta de este fallo de seguridad al poder acceder a expedientes judiciales de otros compañeros. Únicamente debía cambiarse en la URL la ID para poder acceder a toda la información de esos expedientes e incluso descargarlos.
Esto supuso un grave riesgo para los datos personales y la privacidad de los usuarios.
El fallo se produjo por un error de programación del código ocurrido al realizarse una actualización.