25 mayo 2017
La ciberseguridad en la deontología del abogado
- Por Francisco Pérez Bes, secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE)
LA EVOLUCIÓN NORMATIVA Y LA CIBERSEGURIDAD COMO PARADIGMA DEL CAMBIO
El artículo 3.1 de nuestro Código Civil señala que las normas también deben ser interpretadas conforme a la realidad social del tiempo en que han de ser aplicadas, atendiendo fundamentalmente al espíritu y finalidad de aquellas.
En este caso la nueva realidad conectada en la que vivimos exige, del legislador, no sólo que cree nuevas normas o adapte las existentes, sino que comprenda los cambios que provoca, casi precipitadamente, el impacto de la tecnología.
En lo que ciberseguridad se refiere, en estos últimos años hemos sido testigos de un constante desarrollo de legislación específica relativa a la protección de la información, y a las infraestructuras que la soportan.
El nuevo Reglamento General de Protección de Datos (RGPD)[1] o la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como Directiva NIS, de Network Information Services)[2], son claros ejemplos de esta evolución normativa. A nivel nacional merece una especial mención la Disposición Adicional 9ª en Ley 34/2002, de Servicios de la Sociedad de la Información, gracias a la cual se regula por primera vez el papel de los equipos de respuestas a emergencias cibernéticas o CERT.
La abogacía no es un sector ajeno a la ciberseguridad. Es más, puede afirmarse que la ciberseguridad está siendo un elemento transformador del ejercicio de la abogacía. Y lo está siendo porque está cambiando la tradicional organización y funcionamiento de los despachos y de los colegios, pero también del abogado en su condición de usuario de internet y de profesional del Derecho.
Dentro de este escenario, la seguridad aplicada a la digitalización de la justicia o a la transformación digital de la profesión, son un claro indicador de cómo este colectivo y todas sus instituciones están sensibilizadas ante este fenómeno global.
En consecuencia, resulta imprescindible analizar cuál es el impacto de la ciberseguridad también en los aspectos deontológicos de la profesión. No en vano el prólogo del Estatuto General de la Abogacía española se encarga de recordarnos que somos un colectivo cuyo ejercicio profesional afecta tanto a intereses corporativos generales como a intereses públicos del conjunto de la sociedad española, colectivo en el que –además- la deontología profesional siempre ha sido una seña de identidad.
A nadie escapa que los profesionales del derecho somos un colectivo donde los riesgos cibernéticos a los que nos enfrentamos son especialmente relevantes. Esto se debe a, entre otras cosas, la confidencialidad de la información, propia y ajena, que manejan los despachos y sus abogados.
Y eso, hay que decirlo, plantea cuestiones éticas. Cuestiones que no siempre son nuevas, sino que traen causa de antiguos problemas, aparentemente superados, pero que se vuelven de nuevo a plantear en estas nuevas circunstancias derivadas de un ecosistema digital.
LOS CIBERRIESGOS EN LA ABOGACÍA
En lo que respecta a la Abogacía Española, varios han sido los casos en que un despacho de abogados se ha visto afectado por un incidente de ciberseguridad. Según datos del CERT de Seguridad e Industria (CERTSI) operado de forma coordinada por el Instituto Nacional de Ciberseguridad de España (INCIBE)[3] y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), en 2016 se gestionaron 70 incidentes por ransomware que afectaron a este tipo de organizaciones. Se detectaron 66 páginas web de despachos de abogados que habían sido infectadas con malware inyectado, y 158 habían sido víctimas de una alteración de su apariencia original (defacement). Mientras que 40 webs de despachos alojaban phishing.
El 12 de mayo de 2017 se detectó al malware tristemente conocido como #wannacry, que cifraba los ficheros de todos aquellos terminales que sufrían una vulnerabilidad determinada, y que supuso una amenaza que podría haber afectado a los sistemas de innumerables despachos de abogados.
Siendo numerosos los riesgos cibernéticos a los que se enfrentan cada día los despachos de abogados, están obligados -y así debemos exigírselo- a implantar una serie de medidas técnicas y organizativas, tanto de naturaleza preventiva como reactiva. Gracias a estas podrían impedirse, o cuando no sea posible que puedan minimizarse, los impactos negativos provocados por un incidente de seguridad cibernético, los cuales, recordemos, pueden ir desde daños materiales y económicos, hasta daños reputacionales de, en ocasiones, imposible reparación.
Por poner sólo algunos ejemplos de los principales riesgos cibernéticos a los que se enfrenta la profesión, podemos destacar algunos de los más habituales:
1.- La suplantación de identidad.
En este caso, los atacantes crean, con propósitos ilícitos, perfiles falsos del despacho o de alguno/s de sus integrantes para robar información sensible de sus clientes, para perjudicar a su reputación, o para cometer fraudes online.
Para ello, recurren a diferentes técnicas, entre las que el phishing tiene una especial incidencia. En este caso, el delincuente envía a un cliente una comunicación electrónica con la apariencia de provenir del despacho o de uno de sus abogados para, aprovechándose de esa apariencia de veracidad, ganarse la confianza del destinatario, quien revelará los datos y credenciales que persigue el cibercriminal.
Otra modalidad relacionada con la suplantación es el pharming, a través del cual y mediante manipulaciones técnicas, el usuario es dirigido a una página web fraudulenta que suplanta a la oficial del despacho para, una vez allí, solicitarle información personal o hacerle llegar mensajes indeseados bajo una legítima apariencia de nuestro despacho.
2.- Los ataques de denegación de servicio (ataques DDoS).
También son habituales los ataques de denegación de servicio, o ataques DDos, que consisten en un conjunto de técnicas mediante las cuales se realiza un envío masivo de peticiones al servidor contra el que se pretende atacar, consiguiendo saturar su capacidad de respuesta y, en consecuencia, dejándolo inoperativo.
Los daños que un ataque de esta naturaleza pueden provocar afectan a la normal prestación de los servicios del despacho, llegando a la total interrupción de la continuidad de los mismos durante un periodo de tiempo más o menos largo. Eso puede impedir que el despacho lleve a cabo alguna actuación procesal necesaria para la defensa de los derechos e intereses de sus clientes.
3.- Las fugas de información.
Esta modalidad se ha convertido en una de las principales amenazas para los despachos de abogados, ya que el daño que provocan perjudica muy intensamente la confianza del cliente en su abogado, cuya reputación se ve seriamente perjudicada.
Estas fugas de información pueden afectar a datos de muy distinta naturaleza, que van desde información interna del propio despacho y de sus miembros (en ocasiones de gran valor comercial y personal) hasta información de sus clientes y proveedores.
En el caso de los clientes, el robo de esa información suele ir acompañada de su revelación y publicación inconsentida en foros públicos o, en ocasiones, puede servir de elemento de chantaje y extorsión.
Las fugas de información, que suelen incluir datos de carácter personal (en cuyo caso solemos hablar de data breach), pueden tener origen interno o externo. En el primero de esos supuestos, en el que la fuga se produce por causas internas de la propia organización, suele destacar el error accidental de uno de los abogados o empleados del despacho, el cual por negligencia o desconocimiento, comete un error con consecuencias hacia el exterior.
Por esto se insiste de manera tan intensa en la necesidad de planificar acciones formativas y de concienciación a los empleados y otros colaboradores con acceso a los sistemas del despacho[5].
De otro lado, es muy habitual que esa fuga provenga de una acción deliberada de uno de los empleados, quien de manera consciente y malintencionada provoca o facilita el robo o la revelación de esa información (lo que viene siendo conocido como insider).
Finalmente, el incidente descrito también puede provenir del exterior, de manera que un tercero ajeno a la organización utiliza diferentes medios (de naturaleza tecnológica o mediando engaño a las personas) para conseguir el robo de información almacenada en los equipos y sistemas de la entidad atacada. Por ejemplo, la infección con malware para robo de datos (lo que habitualmente se conoce por troyano) permite que, una vez que el software malicioso es instalado en el equipo de la víctima, se dedica a recopilar información y remitírsela al atacante, sin que su propietario se percate.
Aunque cada vez son más numerosos los casos en que media lo que se conoce como “ingeniería social”, que consiste en técnicas (por ejemplo, la propia suplantación de identidad antes analizada) que a través del engaño, buscan confundir a los empleados de la organización para que facilite el acceso a los sistemas o revele cierta información que permita tal intrusión. Este puede ser el caso del conocido como “fraude del CEO”, en el que el cibercriminal, haciéndose pasar por el Director de la organización afectada (en nuestro caso podría ser un socio del despacho), contacta con uno de sus abogados con el objetivo de que éste se descargue un fichero con apariencia de ser un archivo con contenidos relacionados con la actividad del despacho, pero en realidad ocultando un fichero malicioso, a la vez que apremia al receptor para que acceda a dicho archivo bajo una aparente e imperiosa urgencia profesional.
LAS AMENAZAS A LA DEONTOLOGÍA PROFESIONAL DEL ABOGADO
En el año 2013, la American Bar Association hizo pública una Resolución, que ha servido de base para una progresiva modificación del resto de códigos deontológicos de los colegios de abogados estadounidenses[6].
Tal Resolución, fundamentada en un estudio del año 2012, introdujo una serie de cambios interpretativos y, en ocasiones, adaptaciones terminológicas, derivadas de la necesidad de que los abogados adaptasen su práctica profesional a unos nuevos tiempos dominados por la tecnología. De entre tales cambios destacamos dos, especialmente relevantes e ilustrativos para el caso que aquí nos ocupa.
El primero se refiere a la necesidad de que el abogado asesore adecuadamente a su cliente, obligándole a tener la formación y conocimientos suficientes para una correcta representación de aquel.
Esta obligación ya viene recogida en el código deontológico español, aunque la ABA le da una interpretación más amplia. Esto es, que respecto de la obligación de mantenerse continuamente formado y permanentemente actualizado, se exige que el abogado esté al corriente de los cambios en la ley y en su aplicación, incluyendo las ventajas y los riesgos asociados con la tecnología:
“to maintain the requisite knowledge and skill, a lawyer should keep abreast of changes in the law and its practice, including the benefits and risks associated with relevant technology […]”.
El segundo de estos aspectos tiene que ver con la obligación para los abogados de proteger eficazmente la confidencialidad de la información de sus clientes, y que en dicho código se exige de la siguiente manera:
“A lawyer shall make reasonable efforts to prevent the inadvertent or unauthorized disclosure of, or unauthorized access to, information relating to the representation of a client”.
Dentro de esta última, la ABA considera que la exigencia de que los esfuerzos sean “razonables” incluye la utilización de instrumentos tecnológicos que garanticen la seguridad de esa información, así como la posibilidad de que los propios clientes puedan exigir, en determinados casos, un refuerzo en las medidas de seguridad implantadas, a tenor del grado de confidencialidad de la información tratada.
Estas adaptaciones éticas denotan la necesidad de interpretar los códigos deontológicos conforme a la realidad de estos nuevos tiempos, donde la tecnología es un elemento esencial en la práctica diaria de los profesionales, e Internet se ha convertido en el ecosistema habitual en el que los abogados prestan sus servicios y se comunican con sus clientes y con la administración de justicia.
En el caso español, es importante señalar cuáles son los preceptos de nuestro código deontológico que se ven afectados, en mayor medida, por este nuevo escenario tecnológico de práctica profesional. Y, con posterioridad, hacer una reflexión sobre la necesidad de su adaptación o, en su caso, del alcance de su interpretación acorde a la nueva sociedad en la que vivimos.
Entre estos preceptos destacamos los que afectan a las siguientes materias:
1.- La independencia del abogado.
La independencia en todas sus actuaciones es un derecho y un deber para el abogado, además de una exigencia del Estado de Derecho y del efectivo derecho de defensa de los ciudadanos. Así lo señalan la Constitución española, y el artículo 2 del código deontológico de la Abogacía española.
Esta independencia es la que permite asesorar y defender adecuadamente los legítimos intereses de los clientes, de manera que se hace necesario preservar aquella frente a cualquier tipo de injerencias externas a su labor. Para ello deberán realizarse cuantas acciones sean necesarias para evitar presiones o exigencias de cualquier tipo, así como de intromisiones de intereses ajenos, pero también de los propios.
En el campo que ahora nos ocupa, existen algunos riesgos relacionados con la ciberseguridad que pueden amenazar a la independencia del abogado, en el sentido de ser aptas para interferir en la libertad del profesional a la hora de defender a su cliente. Este sería el caso, por ejemplo, de ciertas actividades ilícitas (comúnmente conocidas como defacement), las cuales, aprovechándose de determinadas vulnerabilidades técnicas, modifican la configuración original del blog o de la página web de un despacho para insertar de manera inconsentida e indeseada, mensajes o imágenes críticos con ese despacho o, incluso, amenazadoras. Tenemos ejemplos de organizaciones o individuos que, para mostrar su disconformidad con una determinada política del despacho (caso de grupos denominados “hacktivistas”), o por razón de los clientes a los que defienden, tratan de mostrar su desacuerdo a través de esa vía, lo que podría ser susceptible de alterar la independencia del abogado en su proceder.
2.- La confianza en el abogado.
El artículo 4 del Código Deontológico recoge la obligación para el abogado de no defraudar la confianza de su cliente, exigiendo de aquel una conducta profesional íntegra, honrada, leal, veraz y diligente.
Esta diligencia no se refiere única y exclusivamente a la práctica profesional del derecho como tal, sino que debe entenderse como una actitud que debe mantenerse también durante todas las fases de la relación que el abogado mantenga con su cliente. Así las cosas, el abogado deberá adoptar medidas técnicas adecuadas para proteger dicha confianza (plan de gestión de riesgos, auditorías de seguridad periódicas, formación a empleados…), pero también de fomento de la reputación del despacho y del propio abogado.
En el aspecto técnico, el cliente confía en que la infraestructura tecnológica de su abogado es adecuada para estar a salvo de incidentes de ciberseguridad que puedan poner en peligro la información que afecte a dicho cliente. Así, un incidente que revele la falta de medidas de seguridad de la página web del despacho; un ataque exitoso de denegación de servicio que suponga una interrupción de la actividad del negocio; una infección por ransomware derivada de una práctica poco diligente de alguno de los miembros del despacho, o una infección de la IP del despacho que lo convierte en parte de una botnet o red de ordenadores zombies desde la cual se puedan producir ciberataques a sus propios clientes, son supuestos que deben tratar de evitarse ya que suponen una clara y grave amenaza a esta confianza, que hay que proteger.
En la parte más social de la actividad de los despachos, es recomendable que todos implementen medidas de monitorización de sus marcas y de su imagen (y de la de sus integrantes) a los efectos de detectar lo antes posible situaciones de suplantación de identidad, de registro ilícito de nombre de dominio, o de cualesquiera otras situaciones de carácter exógeno que puedan poner en peligro dicha confianza.
En lo que se refiere a elementos de naturaleza interna del propio despacho, es habitual que esa confianza se pierda como consecuencia de comportamientos desafortunados de los abogados del despacho a través de sus perfiles en redes sociales (comentarios, fotos, opiniones…), por lo que resulta también recomendable el diseño e implantación de políticas internas de buen comportamiento en redes sociales (netiqueta), y gestión de la identidad y reputación digitales (brand protection).
3.- El secreto profesional.
Posiblemente sea éste el principio que más afectado se haya visto por el uso generalizado de Internet y de los medios sociales.
Se trata éste de un aspecto que, -como señala el artículo 5 del Código Deontológico- derivado de los principios de confianza y confidencialidad, impone al abogado el deber y le confiere el derecho de guardar secreto respecto de todos los hechos o noticias que conozca por razón de su actuación profesional.
Tal obligación, lejos de detenerse en el ámbito propio del abogado, se extiende a la esfera de su personal y de cualquiera otra persona que colabore con él en su actividad profesional, a los que deberá hacer respetar igualmente ese secreto.
El robo de terminales de comunicación y almacenamiento (USB, teléfonos móviles, etc.) es una clara amenaza al secreto profesional, ya que si no se han implantado medidas de seguridad adecuadas, un tercero podría tener fácil acceso a información sensible y confidencial del despacho y de sus clientes.
La introducción en el sistema informático del despacho de un malware del tipo troyano, va a tener como consecuencia la fuga de documentación e información confidencial del despacho (expedientes, datos contables, nombres de clientes, etc.). Las fugas de información se han convertido en una situación que la nueva legislación ya recoge, tanto el nuevo Reglamento europeo de protección de datos en lo que a las fugas de datos personales se refiere (data breach), como la Directiva NIS respecto a las fugas de información derivadas de un incidente de ciberseguridad, lo que ha llevado a establecer un sistema de notificación de dichos incidentes a los organismos competentes e, incluso, a los clientes afectados. Esta situación podría tener un impacto deontológico a la vista de lo que dispone el artículo 10.9.e) del Código Deontológico en relación al deber de informar al cliente de la evolución del asunto encomendado.
Bien es cierto que muchas de estas amenazas tecnológicas alcanzan su objetivo por culpa de una insuficiente protección o actualización de los sistemas informáticos empleados. De hecho, en ocasiones, hasta resulta inevitable sufrir un incidente de esta naturaleza, por las propias vulnerabilidades de los programas y de la tecnología empleada. Este sería el caso, por poner un ejemplo, de las denominadas vulnerabilidades de día cero o “zero days”.
Pero para el resto de casos, la diligencia profesional exige haber implantado todas aquellas medidas técnicas que resulten necesarias para impedir o, en su caso, minimizar un eventual incidente de seguridad que ponga en peligro toda aquella información que le sea facilitada al abogado por su cliente.
Una ayuda a lograr este objetivo es la implementación de la norma técnica ISO 27000, la cual describe cómo gestionar la seguridad de la información en una empresa -o despacho de abogados- para poder reducir el riesgo de pérdida, robo o corrupción de información.
Ahora bien, es cierto que cada vez son más los despachos que migran toda su información a la nube, con la expectativa de que su proveedor cumpla con todas las medidas de seguridad suficientes para proteger el secreto profesional, que se vería afectado en el caso de un eventual acceso inconsentido, o una fuga de información derivado de una vulnerabilidad que pudiera ser explotada por un tercero. Por eso es importante que, en estos casos se extreme la diligencia del profesional, y se exija, también por vía contractual, que el proveedor de cloud computing que contratemos nos garantice la protección de la información que vamos a almacenar en esos sistemas.
Además de la inversión en infraestructura que se desprende del caso que se acaba de citar, también resulta igualmente exigibles la implementación de medidas organizativas a través de las cuales se forme y conciencie a los empleados del despacho en lo relacionado con los riesgos cibernéticos que amenazan a la información custodiada por el abogado.
En la actualidad la iniciativa “protege tu empresa” desarrollada desde el INCIBE es una iniciativa gratuita y de fácil acceso que ayuda a los despachos de abogados a cumplir con esta obligación de protección de la información, especialmente cuando los daños se derivan de malas prácticas de los empleados.
Este secreto profesional también puede verse quebrantado como consecuencia de interceptaciones de comunicaciones electrónicas de las que sea responsable el despacho. Ante esta posibilidad, el cifrado de la información sensible del despacho es una solución técnica de fácil implementación, y de gran eficacia. Además, es una solución que ya viene recogida en los apartados 3 y 4 del artículo 17 del Estatuto de la Abogacía Española, cuando señalan lo siguiente:
- Cuando un Abogado sea requerido para prestar sus servicios profesionales por este medio, deberá adoptar las medidas necesarias para garantizar el secreto profesional y obtener del cliente acreditación suficiente de su identidad y la restante información que le permita evitar conflictos de intereses y prestar el asesoramiento adecuado al solicitante de sus servicios.
- Las comunicaciones confidenciales deberán enviarse encriptadas y con firma electrónica segura, siempre que las circunstancias del cliente lo permitan.
LA COBERTURA ASEGURADORA
En relación a este extremo, por todos es sabido que la actividad del abogado debe estar cubierta por un seguro de Responsabilidad Civil.
Tal obligación también es un deber de carácter deontológico, por cuanto el artículo 21 del código deontológico de la abogacía española incluye, en su apartado 1, la obligación de tener cubierta su responsabilidad profesional en la cuantía adecuada a los riegos que implique, con medios propios o con el recomendable aseguramiento.
Esto nos lleva a analizar si el actual sistema asegurador que da cobertura a la actividad profesional de la abogacía ofrece cobertura adecuada y suficiente a los riegos cibernéticos a los que la profesión se enfrenta, o si bien es necesario buscar cobertura adicional, a través de los conocidos como ciberseguros, que incluya entre sus riesgos a cubrir, todos los ciberriesgos presentes en el desarrollo de la abogacía moderna, algunos de los cuales ya hemos apuntado en el presente artículo.
——————————————
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos – RGPD).
[2] Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 (DOUE L-194/1 de 19 de julio de 2016).
[3] Organismo perteneciente al ministerio de Energía, Turismo y Agenda Digital a través de su Secretaría de Estado para la Sociedad de la Información y Agenda Digital.
[5] https://www.abogacia.es/2012/10/24/guias-tic-gestionar-una-fuga-de-informacion/
[6] http://www.americanbar.org/content/dam/aba/administrative/ethics_2020/2012_hod_annual_meeting_105a_filed_may_2012.authcheckdam.pdf