Innovación Legal
07 septiembre 2020
La ciberseguridad también es parte de la transformación digital
Por Jorge Morell
Grubman Shire Meiselas & Sacks es seguramente el despacho de abogados más importante en el mundo del espectáculo en Estados Unidos. Su fundador, Allen Grubman, es considerado como el abogado más relevante en esa materia, y su firma representa a clientes como Elton John, Lady Gaga, Barbra Streisand o Madonna, entre muchos otros.
Sin embargo en los últimos meses, y en pleno confinamiento casi mundial, el despacho saltó a la fama por un tema muy diferente: un equipo de piratas informáticos había hackeado su web y las bases de datos de la firma, obteniendo acceso a 756 GB de datos, incluidos contratos y correos electrónicos personales. Los hackers reclamaban al despacho 21 millones de dólares (luego aumentados a 42 millones) para no desvelar detalles personales de sus clientes.
Este ataque no es una cuestión puntual, y pone de manifiesto una tendencia que es fácilmente observable en los últimos años: los despachos de abogados cuentan con mucha información de alto valor, pero dada su reticencia casi histórica al uso de tecnología, la protegen en general no muy bien. Por tanto, se están convirtiendo en un suculento objetivo para muchos atacantes.
Basta ver que algunas de las mayores investigaciones periodísticas de los últimos años, por ejemplo los Panama Papers o Football Leaks, han tenido su origen en ataques informáticos a despachos de abogados (Mossack Fonseca en el primer caso y PLMJ en el segundo).
Por si eso fuera poco, en julio de este año la firma especializada en ciberseguridad Kaspersky daba a conocer el descubrimiento de un grupo de hackers especializado en atacar a despachos de abogados, algo que venían haciendo durante la última década. El grupo se hace llamar Deceptikons APT, y mediante ataques de spear phishing se habían dedicado a espiar y atacar a firmas europeas durante todo el último año. La finalidad era conseguir información financiera, listas de clientes de la firma y detalles sobre negociaciones.
Toda esa información debe ponerse en contexto respecto a los procesos de transformación digital emprendidos por el sector legal. Es decir, cuando hablamos de transformación digital normalmente nos referimos a la reinvención de una organización a través de la utilización de la tecnología para mejorar la forma en que esa la organización se desempeña y sirve a quienes la constituyen. Esa transformación supone la aplicación de capacidades digitales a procesos, productos y activos para mejorar la eficiencia, mejorar el valor para el cliente, gestionar el riesgo y descubrir nuevas oportunidades de generación de ingresos.
Por tanto, si transformación digital implica mejorar el valor para el cliente y gestionar mejor el riesgo, no parece la mejor de las ideas dejar de lado la ciberseguridad de la firma en ese proceso, ya que implica crear un riesgo serio para la firma, el cliente y el valor que se ofrece al mismo.
De hecho, ¿cómo de caro puede salir un ciberataque a un despacho? Según un reciente informe de la Solicitors Regulation Authority (SRA) en Reino Unido, algo más del 50% de las firmas entrevistadas (40) perdieron más de 4 millones de libras en el ataque, y si bien los seguros cubrieron parte de lo perdido, muchas de ellas debieron abonar más de 400 mil libras para cubrir las pérdidas.
La cuestión es que si bien el 87% de las firmas contaba con antivirus, firewalls y protección mediante contraseñas, la realidad es que solo dos tercios de los equipos habían recibido alguna formación sobre ciberseguridad, con muchos perfiles senior siendo incapaces de responder cuestiones básicas sobre ciberseguridad.
Por ello, el 60% de las firmas que sufrió un ciberataque responsabilizaba a su equipo de ello, y no a los ciberatacantes en sí. O lo que es lo mismo, el éxito de la mayoría de los ciberataques se debió a errores individuales o no entender o aplicar debidamente los procesos de la firma, no a la sofisticación del ataque.
Por tanto, el tema de la ciberseguridad por parte de los despachos de abogados no debe ser tratado como un tema secundario y al margen de los procesos de transformación digital que muchos están ahora emprendiendo, especialmente cuando muchos de ellos están trabajando en remoto más que nunca y con ello aumentando los riesgos potenciales.
De hecho, el Consejo General de la Abogacía Española e INCIBE ya publicaron en su momento una guía de ciberseguridad y reputación online para despachos de abogados, que puede ser un buen inicio en este mundo.
¿Y el caso de Allen Grubman cómo ha finalizado? Pues el despacho se negó a pagar el rescate y el grupo de hackers puso a subasta la información por más de 2 millones de dólares el pasado mes de julio.
Información muy valiosa vendida al mejor postor.
Jorge Morell
Fundador de Legaltechies
TWITTER:Jorge_Morell