Concienciación y formación de Ciberseguridad de los profesionales del derecho
Concienciación y formación de Ciberseguridad de los profesionales del derecho
Por Fernando Antonio Acero Martín. Jefe de Operaciones de Ciberdefensa del Ejército del Aire
ÍNDICE
Ciberdependencia e información sensible en un despacho de abogados
La Estrategia de Ciberseguridad Nacional
Necesidad de una formación específica en tecnología y ciberseguridad
¿Qué debe saber de ciberseguridad un abogado no especialista en tecnología?
La concienciación en ciberseguridad y la capacitación tecnológica, deben ser parte integral de la formación académica de cualquier profesional del derecho.
Ciberdependencia e información sensible en un despacho de abogados
A nadie es ajeno que los profesionales del derecho manejan documentación altamente sensible, en ocasiones y dependiendo del caso, del más alto nivel en lo que a protección de datos se refiere, como ideología, religión, creencias, afiliación sindical, origen racial, salud o vida sexual. Dicha información es de alto valor, tanto para el abogado como para su cliente, pero también lo es para los ciberdelincuentes, ya que la información es poder y dinero, como se demostró con la filtración de documentos del despacho Mossack Fonseca y las graves consecuencias que tuvo la misma para el despacho y sus clientes.
La normativa de protección de datos, o el secreto profesional, son muy importantes para el ejercicio de la abogacía desde siempre. Los códigos deontológicos, que pueden llevar a una inhabilitación, o la normativa legal, que puede conllevar fuertes sanciones administrativas, e indemnizaciones, o incluso penas de prisión para los casos más graves, son un buen motivo para extremar las precauciones. Sin embargo, no se nos debe pasar por alto, que cuando un despacho de abogados es víctima de un ciberataque, por ejemplo, mediante el robo de información sensible (troyano)[1], o el secuestro de sus datos (ransomware)[2], lo que está realmente en riesgo, además de su continuidad de negocio o el beneficio económico de sus miembros, es el derecho constitucional a una tutela judicial efectiva de sus clientes, tal como se establece en el artículo 24 de la Constitución Española.
La obligada protección del secreto profesional y de la información compartida entre el abogado y sus clientes, representan importantes retos tecnológicos en la actualidad, algo que es necesario tener en cuenta para establecer los medios técnicos que sean necesarios. Por ejemplo, el cifrado de la información sensible es básico para garantizar la seguridad de la misma. Sin embargo, la sociedad en general no suele estar preparada para afrontar con garantías el reto tecnológico de la seguridad lógica. Por ejemplo, pocos usuarios saben usar certificados digitales para lograr unas comunicaciones electrónicas seguras. Sin haber llegado a una política de mínimos en lo que a ciberseguridad y protección de datos se refiere, hay otros frentes abiertos y es previsible que se abran otros nuevos con la adopción de nuevas tecnologías. Los efectos del nuevo Reglamento Europeo de Protección de Datos[3], los recientes ciberataques a escala mundial, o los programas de vigilancia masiva llevados a cabo por algunos gobiernos, son factores a tener en cuenta a la hora de tomar decisiones e implementar medidas técnicas para mejorar la ciberseguridad de los despachos de abogados.
Por otra parte, el colectivo de los profesionales del derecho se ha convertido en muy ciberdependiente y la tecnología forma parte integral de su día a día desde hace años. Los abogados no pueden trabajar sin la tecnología, e incluso, tienen obligación legal de usarla, como es el caso de Lexnet, o la firma electrónica. Ordenadores, tablets, conexiones a Internet, redes locales, libros electrónicos, teléfonos móviles de última generación, o servicios en la nube, forman parte de las herramientas de trabajo de cualquier abogado actual y sin ellas, no sería competitivo, o simplemente, no podría trabajar ni relacionarse adecuadamente con sus clientes o con la Administración de Justicia.
Aquí hay que tener presente lo que decía Melvin Kranzberg, fundador de la Sociedad para la Historia y la Tecnología, en sus Leyes para la Tecnología: “La tecnología no es buena, ni mala, ni neutral”. Es decir, la tecnología nos puede ayudar mucho si la conocemos y controlamos, pero también nos puede perjudicar seriamente, si no la conocemos y no la controlamos adecuadamente.
A los riesgos del ciberespacio, a los que estamos sujetos todos los que usamos tecnología, los profesionales del derecho suman otros riesgos y amenazas que les son específicas. Primero, por el hecho de poder convertirse en objetivos de interés cuando se encargan de determinados casos sensibles y en segundo lugar, por la información digital, que transmiten, almacenan y reciben en su trabajo diario, que en muchas ocasiones procede de fuentes desconocidas o no fiables. Cuando un abogado recibe en su despacho a un cliente que le trae documentación en formato digital dentro de un dispositivo USB y lo introduce en su ordenador de trabajo para revisarla, el abogado desconoce por completo los riesgos y amenazas que se pueden esconder en dicho dispositivo de almacenamiento. No es la primera vez que ese simple gesto, familiar y cotidiano para todos nosotros, provoca una grave brecha de seguridad en las redes y sistemas de un despacho de abogados. De forma similar, cuando sus clientes son captados por Internet y un abogado recibe correos del exterior, le cuesta mucho discernir si se trata de un correo legítimo de un cliente nuevo, o si se trata de un intento de ataque mediante técnicas de ingeniería social tecnológica, como el phishing[4] o el scam[5]. No en vano, el principal medio de infección de los sistemas en este momento son los dispositivos USB y el principal vector de ataque a las organizaciones es el correo electrónico. Además, la aparición del ciberataque como servicio, con precios muy reducidos, ha aumentado de forma dramática el número de ataques dirigidos específicamente a determinados profesionales y empresas.
Por otra parte, los reducidos ciclos de vida de la tecnología de propósito general, provoca que proyectos complejos se conviertan en obsoletos antes, o poco después, de ponerse en producción. Un ejemplo de ello lo tenemos en Lexnet. Si vamos a la página del Ministerio de Justicia en la que se habla de la configuración recomendada para los equipos, encontramos software como Java 1.6, o Windows XP, que están llenos de vulnerabilidades y que ya no disponen de soporte del fabricante. Es cierto que también aparece Windows 7, que aunque todavía recibe actualizaciones, está al final de su ciclo de vida. Microsoft ha declarado que se trata de un sistema operativo inseguro en relación a otros sistemas más modernos, por lo que recomienda abandonarlo lo antes posible, algo que hay que plantearse seriamente cuando se trabaja con datos sensibles. Solamente hay que retroceder unos pocos días en el tiempo, para ver de la mano del ransomware WannaCry[6], los serios peligros que se derivan de mantener un sistema operativo desactualizado, o sin soporte del fabricante. Es decir, que a todos los riesgos indicados anteriormente, sumamos la posibilidad de tener la obligación de usar sistemas obsoletos y por lo tanto, con vulnerabilidades que no se pueden corregir y que son explotables por un atacante.
La Estrategia de Ciberseguridad Nacional
La Estrategia de Seguridad Nacional del año 2013[7], establece como reto para la Seguridad Nacional, la protección ante el uso nocivo de las nuevas tecnologías y como consecuencia, se elaboró una Estrategia de Ciberseguridad Nacional[8], que también se publicó en el año 2013.
Dicho documento detalla los riesgos y amenazas para la Seguridad Nacional que pueden provenir del ciberespacio y tiene como objetivo último, lograr que España haga un uso seguro de los Sistemas de Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección y respuesta a los ciberataques, algo que nos afecta a todos en casa y en el trabajo.
La Estrategia de Ciberseguridad Nacional marca los siguientes objetivos secundarios:
- Sensibilizar a los ciudadanos, profesionales, empresas y Administraciones Públicas españolas de los riesgos derivados del ciberespacio.
- Las empresas deben ser conscientes de la responsabilidad en la seguridad de sus sistemas, la protección de la información de sus clientes y proveedores y la confiabilidad de los servicios que prestan.
- Alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de ciberseguridad.
- Impulsar la seguridad y resiliencia de los Sistemas de Información y Telecomunicaciones usados por el sector empresarial en general y los operadores de Infraestructuras Críticas en particular.
Evidentemente, el dominio cibernético es transversal a toda la sociedad y no tiene fronteras nacionales o unos límites definidos. Aunque estamos personalizando el problema para profesionales del derecho, solamente son matices de una realidad global que nos afecta a todos por igual.
Necesidad de una formación específica en tecnología y ciberseguridad
Muchos de los objetivos indicados por la Estrategia de Ciberseguridad Nacional tienen una fuerte componente de concienciación, formación y adiestramiento en el uso de la tecnología. Desde hace tiempo se viene detectando un déficit de profesionales del derecho especializados en asuntos relacionados con la tecnología, como ciberdelitos, licencias de software, servicios en la nube, etc. De hecho, hay varios ciclos formativos, que con mejor o menor acierto, cubren esta necesidad. Sin embargo, se detecta una clara falta de formación específica y generalista que capacite a los profesionales del derecho para trabajar de forma segura con la tecnología que usan a diario.
Para los proveedores de soluciones de hardware y de software de seguridad, lo más importante es que las empresas adquieran e implanten sus soluciones tecnológicas, pero lo cierto es que todo ese hardware y software de seguridad es prácticamente inútil, sin una adecuada concienciación y formación de ciberseguridad de los usuarios. La persona es siempre el eslabón más débil de la cadena de la seguridad lógica, lo que supone un riesgo a mitigar con formación y concienciación.
También es cierto, que algunas caras soluciones de hardware y software, como cortafuegos de última generación y algunos antivirus avanzados, eran capaces de detectar y detener los efectos de WannaCry, pero también es cierto, que bastaba con tener el sistema actualizado para no ser afectado por dicho malware, algo que con una adecuada formación en ciberseguridad hubiera sido percibido como necesario y urgente, dada la enorme criticidad del malware robado a la NSA, que posteriormente ha sido utilizado para crear WannaCry. Lo cierto es que cientos de organizaciones a lo largo de todo el mundo han sido víctimas de este malware, probablemente, por la falta de concienciación de sus usuarios. La filtración del malware de la NSA ha tenido el mismo efecto en el ciberespacio, que hubiera podido tener el poner un arma de fuego convencional en las manos cualquier delincuente.
¿Qué debe saber de ciberseguridad un abogado no especialista en tecnología?
Para usar la tecnología con un mínimo de seguridad, un profesional del derecho debería tener conocimientos sobre los siguientes aspectos tecnológicos:
- Los riesgos y amenazas del ciberespacio.
- Análisis de riesgos y mitigación de los mismos.
- Normativa de ciberseguridad.
- Técnicas y herramientas de protección de datos, cifrado de la información.
- Técnicas y herramientas de protección del puesto de trabajo.
- Técnicas y herramientas de seguridad en dispositivos móviles.
- Seguridad y protección de servicios en la nube.
- Técnicas y herramientas de protección de la red local.
- Técnicas y herramientas de protección de servidores (web, correo y archivos).
- Buenas prácticas ante las ciberamenazas comunes (USB, navegación, phishing, scam, etc).
- Planes de contingencia, continuidad y de recuperación ante un desastre.
- Infraestructura de clave pública, firma digital y normativa aplicable.
- Huella en Internet y riesgos asociados.
- Gestión de incidentes de ciberseguridad.
- Almacenamiento de la información, interoperabilidad y estándares de datos.
[1] Un troyano es un programa malicioso que roba información del usuario.
[2] Un ransomware es un programa malicioso que secuestra los datos del usuario y pide una cantidad económica como rescate.
[3] https://www.boe.es/doue/2016/119/L00001-00088.pdf
[4] Técnica por la que se intenta robar información sensible de un usuario mediante un correo electrónico que suplanta la identidad de una persona, empresa u organización.
[5] Técnica por la que se intenta robar información sensible de un usuario mediante una página web que suplanta la identidad de una empresa u organización.
[6] WannaCry es una ransomware que fue creado a partir de un malware robado a la Agencia de Seguridad Nacional de los EEUU y que ha afectado a una gran cantidad de redes informáticas en todo el mundo.
[7] http://www.lamoncloa.gob.es/documents/seguridad_1406connavegacionfinalaccesiblebpdf.pdf
[8] http://www.dsn.gob.es/es/file/146/download?token=Kl839vHG