Cuestiones básicas de ciberseguridad para despachos de abogados

Por Samuel Parra. Abogado.

Eran las 21:15 horas de un viernes cuando me llamó mi compañero David. Al descolgar noté en sus primeras palabras angustia y desesperación. Algo muy malo le acababa de suceder. El problema parecía simple, pero las consecuencias tenían dimensiones catastróficas: el ordenador de su despacho no arrancaba.

Le comenté que muchas podían ser las causas, pero que lo más operativo sería concluir el trabajo en casa avisar a su servicio técnico para reparar el ordenador. Le pregunté si tenía copia de seguridad y me respondió que “sí, claro, todos los días hacemos una copia de seguridad de todos los documentos”. Pero ése era parte del problema: la única copia de seguridad la hacía en ese mismo ordenador. Iba a ser un fin de semana largo.

La historia terminó bien porque el problema de arranque no estaba relacionado con los discos duros. Pero David aprendió, sin darse cuenta, una lección básica en ciberseguridad: las copias de seguridad no ofrecen seguridad si se almacenan en el mismo dispositivo donde están los datos originales.

Pero ¿qué es la ciberseguridad?

La ciberseguridad –o seguridad informática- son aquellas medidas adoptadas para proteger la confidencialidad, integridad y disponibilidad de la información. En el ámbito concreto de un despacho de abogados, el corazón de la información a proteger son los expedientes de los clientes. Y es importante entender que esa protección no lo es exclusivamente a los efectos de evitar que un tercero no autorizado pueda acceder a esa información (confidencialidad), sino también a asegurar su disponibilidad (que las personas autorizadas puedan acceder) así como la integridad (que solo las personas autorizadas puedan modificar o alterar la información).

Los abogados debemos ser conscientes de que manejamos información muy sensible sobre nuestros clientes. La documentación es vital en cualquier despacho de abogados y debemos hacer una inversión en soluciones tecnológicas y de formación para protegerla adecuadamente.

En este artículo voy a exponer algunas de las medidas de ciberseguridad más relevantes y sencillas de adoptar para un despacho pequeño o mediano de abogados.

1.- Copias de seguridad

Es la medida más efectiva frente a cualquier tipo de incidencia en materia de seguridad informática.  Pero no a cualquier cosa podemos llamar copia de seguridad. Una copia de seguridad debe reunir los siguientes requisitos:

• Debe estar alojada en un lugar distinto al origen de los datos. Por ejemplo, deberemos alojar la copia en un disco duro externo, otro ordenador, una memoria USB, etc. La idea que debemos perseguir es que si falla nuestro sistema principal a consecuencia de una destrucción total (por ejemplo, sale ardiendo) tendremos disponible una copia para restaurar.
• Debe poder ser restaurable. Esto es, la copia de seguridad tiene que poder ser leída para poder restaurarse. Para ello, es recomendable hacer un simulacro de restauración de vez en cuando, para asegurarnos que las copias de seguridad se están realizando correctamente.
• Debe tener una periodicidad adecuada. No se trata de hacer copias de seguridad cada hora, pero tampoco cada 6 meses. Personalmente, recomiendo una copia de seguridad diaria y adicionalmente otra copia de seguridad semanal y otra mensual. Las diarias se pueden ir sustituyendo cada 7 días, las semanales cada 5 semanas y las mensuales cada año. Con una configuración así podemos retroceder en el tiempo de nuestro sistema de información con flexibilidad.
• Debe ser segura. La copia de seguridad no puede suponer bajar las defensas de nuestro sistema. Si vamos a utilizar un dispositivo externo, como un disco duro externo, es muy recomendable que la copia de seguridad se almacene cifrada; así, si el disco duro se pierde o lo sustraen, no podrán acceder al contenido, mantendremos protegida la confidencialidad de nuestros clientes y evitaremos una eventual sanción por incumplir la normativa de protección de datos en materia de seguridad informática.

2.- Cifrado de documentos

Ya he comentado al inicio de este artículo que lo primero que debemos hacer los abogados es ser conscientes que estamos manejando información muy sensible, que en muchos casos afectará a la más profunda intimidad de nuestros clientes. Cuando interiorizamos esta realidad es cuando nos preocuparemos de intentar proteger las intimidades que los clientes nos confían. Y esta preocupación nos debe llevar a implementar medidas de seguridad específicas para los documentos informáticos que componen los expedientes de nuestros clientes.

No es suficiente con que nuestro ordenador nos solicite una contraseña para acceder a la sesión; debemos acordonar los documentos de los clientes aplicando alguna medida que los proteja en casos de que alguien consiguiera acceso a nuestro ordenador, tuviéramos una intrusión externa o simplemente para evitar que los del mantenimiento informático puedan acceder a los expedientes de los clientes.

Por ese motivo, el cifrado de los documentos se convierte en una cuestión esencial en cualquier despacho de abogados. En la actualidad, cifrar una carpeta es muy sencillo y no requiere de ningún conocimiento técnico avanzado. Existen muchas herramientas para conseguirlo. Una de ellas es Veracrypt, gratuita y de fácil instalación: permite crear contenedores cifrados donde poder almacenar, en nuestro disco duro, todos los documentos y no necesitamos los servicios de ningún proveedor en la nube ni siquiera una conexión a Internet; con esta herramienta podremos cifrar todos los documentos automáticamente. Si trabajamos con portátiles, tener un contenedor de este tipo es esencial, porque aunque nos roben o perdamos el portátil podremos estar tranquilos respecto a que no podrán acceder a documentación confidencial.

3.- Cuidado al abrir documentos por email

Un gran número de ataques e intrusiones en despachos de abogados vienen por la apertura negligente de documentos que nos llegan por email. Todos los días se producen este tipo de ataques, y aunque la mayoría suelen ser frenados sin darnos cuenta por nuestros proveedores de servicio de correo electrónico, es posible que se cuele alguno y nos llegue un correo malicioso que nos invita a abrir un inocente documento PDF o DOC.

Debemos ser conscientes que la simple apertura de un PDF o DOC/DOCX puede suponer la infección automática de nuestro ordenador, dándole su control a un pirata informático.

Aquí expongo algunas recomendaciones a tener en cuenta si sospechamos que nos están intentando engañar con un mensaje de correo fraudulento:

• Verificar el remitente. Falsificar el remitente de un correo electrónico es tan sencillo como falsificar un remitente en una carta postal. Hacerse pasar por alguien que conocemos es muy habitual en este tipo de ataques. Si tenemos dudas sobre si esa persona que conocemos nos ha enviado un correo con un documento, lo más sencillo es llamarlo por teléfono y preguntarle.
• Escanea el documento. Existen diversos servicios gratuitos online que escanean un archivo en busca de contenido malicioso. Por ejemplo, Kaspersky y Virustotal.
  Para utilizarlo es tan sencillo como arrastrar o subir el documento que hemos recibido (sin abrirlo), y la herramienta online nos avisará si encuentra algo raro.

4.- Un espacio para trabajar y otro para todo lo demás

Si utilizamos nuestro ordenador para algo más que para trabajar, recomiendo tener dos sesiones distintas en el ordenador. Una sesión exclusiva para trabajar, desde la que no visitaremos ninguna web que no sea imprescindible para trabajar ni la utilizaremos para ver series o películas o para jugar o redes sociales, y otra sesión para hacer todo lo que no sea trabajar.

5.- Utiliza antivirus

Utilizar un antivirus es una forma pasiva de estar protegido frente a amenazas invisibles y también en muchos casos pueden protegernos de abrir documentos que no deberíamos. En el mercado existen antivirus gratuitos y de pago. Cualquiera de los más conocidos son una buena opción.

Con estas cinco medidas incrementaremos notablemente la ciberseguridad de nuestro despacho además de cumplir con algunas obligaciones legales en materia de protección de datos.